Confrontés depuis quelques jours à la diffusion de faux pass sanitaires de vaccination, dont certains aux noms d’Adolf Hitler ou de Bob l’Eponge, les pays européens ont fini par révoquer des clés cryptographiques mal protégées, tandis que les autorités françaises et polonaises ont lancé une enquête. «Nous avons bien connaissance de manipulations frauduleuses présumées du QR Code du certificat Covid européen», a indiqué vendredi un porte-parole de la Commission européenne. Depuis mercredi, certains internautes affirment sur des forums et les réseaux sociaux disposer des clés cryptographiques secrètes utilisées pour générer un QR code valide du pass sanitaire européen. Ce code contient l’identité de son détenteur et des informations sur son état de vaccination ou son immunité. En guise de preuve, ces utilisateurs ont créé des codes bien valides aux noms fantaisistes, comme Adolf Hitler ou Bob l’Eponge.
Pour autant, les clés de chiffrement privées n’ont pas été compromises, a assuré la Commission européenne, qui écarte la piste de la défaillance technique et dénonce plutôt une «activité illégale». Dans certains cas, «les certificats ont été générés par des personnes disposant d’informations d’identification valables pour accéder aux systèmes informatiques nationaux», affirme l’institution. Mais selon des experts, des portails internet dont notamment celui de la Macédoine du nord (pays hors UE mais intégré depuis août au dispositif sanitaire européen) manquaient également des protections les plus basiques et ont permis de générer de nombreux codes frauduleux. «Chaque pays dispose d’une ou plusieurs signatures, et dans chaque pass, on retrouve par quelle clé il a été signé», a expliqué Gaëtan Leurent, chercheur en cryptographie à l’Institut national de recherche en sciences et technologies du numérique. Pour que le système fonctionne, il faut que tous les serveurs utilisés pour signer les pass soient correctement protégés. «Si un service reste ouvert et signe n’importe quoi, en pratique c’est un peu la même chose» que si la clé avait été volée, a-t-il ajouté. Pour remédier à la faille, les Etats membres du réseau eHealth – santé publique à l’échelle de l’Union européenne – ont convenu de «bloquer les deux certificats frauduleux afin qu’ils soient considérés comme non valides par les applications de vérification». Le portail macédonien a également été désactivé. En France, la mise à jour de l’application TousAntiCovid Verif s’est faite jeudi matin. Le réseau eHealth va également travailler sur «l’amélioration des systèmes d’invalidation et de révocation, afin de pouvoir réagir encore plus rapidement à de tels cas». L’affaire n’est pas totalement close car l’origine de certains pass sanitaires frauduleux reste mystérieuse. Un certificat de vaccination au nom de Mickey Mouse semble avoir été signé par les autorités françaises, d’autres par les services polonais, peut-être grâce à des complicités parmi les professionnels de santé. Les deux pays ont lancé une enquête, a indiqué la Commission européenne. Contactée, la Direction générale de la santé n’était pas en mesure de confirmer dans l’immédiat.En septembre, les QR codes des vrais pass sanitaires d’Emmanuel Macron et Edouard Philippe avaient été diffusés sur les réseaux sociaux, le premier par des soignants qui avaient consulté le dossier vaccinal du président selon l’Assurance maladie, et le second par des internautes qui étaient parvenus à le scanner à partir d’une photo de presse.
