Il pourrait s’agir d’une des affaires les plus sensibles concernant la création et l’usage de pass sanitaires dans toute l’Europe.
Plusieurs sites internet permettant de créer des QR Code ont été, pendant quelques jours, accessibles publiquement sur le web à quiconque en avait le lien, sans aucune étape de vérification ni de mesures de sécurité additionnelles. Au moins l’un d’entre eux permettait de générer des certificats de vaccination authentifiés dans l’Union européenne.
Numerama a par exemple pu avoir accès à un site anglophone et vérifier qu’il permettait bien de générer de faux pass sanitaires, pourtant certifiés valides. Nous avons également pu voir que plusieurs autres sites, similaires dans leur forme, mais dans des langues étrangères (vietnamien, par exemple) étaient encore en ligne à l’heure où nous publions ces lignes.
Un faux pass sanitaire généré par un des sites accessibles publiquement
Au cours de notre enquête, nous avons pu vérifier qu’il était possible de générer des QR Codes fonctionnels ainsi que des PDF similaires à ceux qui sont en circulation dans l’Union européenne, intitulés Certificat numérique européen COVID. Toutes les informations rentrées dans le formulaire étaient pourtant inventées, et aucune preuve n’a été demandée à chaque étape du remplissage.
Plusieurs d’entre eux s’affichaient comme étant « valides » une fois scannés par l’application TousAntiCovid-Verif, qui sert à vérifier l’authenticité d’un certificat. Cela permettrait, en l’état, à n’importe qui d’accéder aux lieux accueillant du public soumis à l’obligation de présenter un pass sanitaire en règle en France, ou bien de voyager librement avec un faux pass.
Certains faux pass sanitaires générés ont été indiqué « valides » dans TousAntiCovid
Un site d’une simplicité affolante, sans aucune vérification
Le site auquel nous avons accédé, floqué du drapeau « Union européenne », est d’une banalité surprenante : une page d’accueil permet de choisir si l’on souhaite générer un certificat de vaccin, un certificat de rétablissement ou un certificat attestant un test négatif au covid. Il s’agit des trois éléments différents qui peuvent constituer un pass sanitaire valide.
Le formulaire qui permet de créer un QR Code exige plusieurs champs obligatoires : nom, prénom, date de naissance, date d’injection, quel vaccin et par quel pays émetteur. Ensuite… le tour est joué. Aucune étape supplémentaire de validation ni aucune vérification d’identité ne sont demandées : on accède directement à un pass sanitaire, en règle.
La page d’accueil d’un des sites qui servaient à faire des pass sanitaires
Comment un site accessible publiquement et non protégé a-t-il pu permettre de créer des pass sanitaires certifiés et validés ? Nous avons remonté la piste de cette histoire rocambolesque, qui contient encore ses zones de flou.
Que vient faire la Macédoine dans cette histoire ?
Le site auquel a accédé Numerama permettait jusqu’à ce matin de créer des pass sanitaires fonctionnels avec une clé publique, que nous avons identifiée remontant à la Macédoine du Nord. Plusieurs faux pass sanitaire, qui circulaient en ligne depuis la veille et que nous avons retrouvés (dont un Adolf Hitler né en 1989, un Bob l’Éponge et un Joe Mama), possédaient cette même clé de signature macédonienne. Ils ont vraisemblablement été émis du même site que celui auquel nous avons eu accès.
Fort heureusement, ce site n’est aujourd’hui plus accessible, depuis 10h30. Une modification très importance a eu lieu : la clé publique macédonienne mise en cause a été modifiée.
On peut retracer la clé publique à la Macédoine en lisant les informations plus précises du QR Code
Par conséquent, l’application TousAntiCovid-Verif, qui signalait notre pass sanitaire frauduleux comme « valide » au matin, assène désormais que le QR Code est non valide. Selon les informations que nous a partagées @Gilbsgilbs, une des clés macédoniennes mises en cause, qui a été ajoutée le 15 septembre, a bien été révoquée le 28 octobre.
Un des faux pass sanitaires générés a été indiqué « non valide » dans TousAntiCovid
Autre preuves permettent de remonter à la Macédoine : le site que nous avions utilisé ce 28 octobre renvoie désormais vers un site officiel macédonien dédié à la vaccination.
Qu’est-ce qu’une clé publique ?
Les QR codes des pass sanitaires contiennent plus d’informations que celles révélées par TAC Covid. L’utilisation de scripts ou de sites comme sanipasse.fr permet d’y accéder, et notamment d’obtenir des informations sur le certificat de signature électronique.
Ce certificat est la clé publique qui permet de vérifier l’authentification d’un QR code, grâce à sa signature, comme l’expliquait en juin dernier dans un fil Twitter l’ingénieur en informatique @gilbsgilbs, qui décortique les détails de sécurité du pass sanitaire depuis plusieurs mois. Chaque organisation autorisée émet ces clés publiques à partir de clés privées. Clés publiques qui permettent donc de comprendre d’où vient le pass sanitaire. Mais ces clés publiques ne dévoilent pas leurs clés privées, qui restent confidentielles.
« Je propose des passeports covid européens à 300 dollars »
Là où l’histoire devient plus complexe, c’est que certains faux pass sanitaires qui circulent en ligne ne sont pas identifiés comme étant liés à la Macédoine, mais à d’autres pays. Ils n’auraient donc pas été générés depuis le même site que celui auquel a eu accès Numerama. Cela pourrait vouloir dire qu’il existe plusieurs points de vulnérabilité différents à cette affaire.
Tout commence il y a plusieurs jours, le 24 octobre, sur un forum spécialisé dans la vente de données volées, bien connu des pirates. Le thread en anglais, débuté en juillet, est sobrement intitulé « Fabriquer des UE Green Pass », en référence au pass sanitaire européen. Un utilisateur publie un message, depuis supprimé : « Je propose des passeports covid européens avec l’entrée comme vaccinée en Pologne. Le prix est de 300$ l’unité.» Un intéressé lui propose d’en acheter 5, mais lui demande d’abord d’en faire un nommé « Adolf Hitler », pour prouver que ce n’est pas une arnaque. Ce que fait le vendeur.
Numerama a scanné ce QR Code dans TousAntiCovid Verif, l’application vérification officielle française : on y découvre un pass jugé valide, né en 1930, et vacciné en Pologne d’une dose de vaccin Janssen.
Or cette clé polonaise n’est pas la même que la clé macédonienne. Lorsque l’on scanne ce faux pass sanitaire « polonais » avec TousAntiCovid-Vérif, l’app dit encore que le pass est valide. Il a toutefois été signalé, à la main, comme frauduleux, ce qui semble logique vu que le QR Code en question circule sur de nombreux forums depuis plusieurs jours.
Quelles hypothèses ?
Sans compter ce faux pass sanitaire, lié à une une clé publique polonaise, nous avons identifié au mois deux autres pass sanitaires créés ces derniers jours, qui semblent frauduleux, et disposent eux… d’une même clé publique française. Un troisième Adolf, né en 1900, et un Mickey Mouse, né en 2001. Ceux-ci sont également toujours valides à l’heure où nous écrivons ces lignes, mais ils ont été aussi signalés manuellement comme frauduleux.
Plusieurs hypothèses, plus ou moins probables, coexistent pour expliquer cette situation.
Depuis quelques jours, des pirates revendiquent sur des plateformes de ventes de données volées avoir obtenu une ou plusieurs clés privées européennes, qui permettraient donc de créer des pass sanitaires valables comme bon leur semblerait. Cette compromission mettrait en péril la légitimité de toutes les clés publiques liées à ces clés privées, et pourrait aller jusqu’à obliger les autorités à annuler puis refaire tous les pass concernés.
C’est notamment ce qui s’est passé en Macédoine du Nord, dont la clé privée n’a pas été compromise, mais a du être révoquée car de faux pass étaient produit librement avec cette dernière. Mais @Gilbsgilbs nuance auprès de Numerama : « Il n’est pas possible de savoir combien de personnes sont concernées par la suppression, peut-être 0, peut-être des milliers. La clé (macédonienne) révoquée était assez récente » La difficulté technique d’un piratage qui permettrait d’accéder aux clés permet de douter sérieusement de cette possibilité (un bruteforce semble par exemple hautement irréaliste). Ici, c’est plus probablement la constatation d’un site public mal sécurisé qu’une compromission qui a engendré une telle décision des autorités.
Une caractéristique qui fait pencher vers une autre possibilité est qu’aucun des pass générés ne précède l’année 1900 — la plus petite valeur des formulaire comme celui qu’a pu consulter Numerama dans le cas macédonien. Par exemple, impossible de rentrer la vrai date de naissance du dictateur allemand. Ce qu’aurait en revanche pu techniquement faire un pirate disposant directement des clés privées.
Pour les cas français et polonais, il n’existe pas de certitude. Ces pass pourraient par exemple simplement provenir de soignants ayant créé des profils de personne, sans qu’elles existent. En France, il est par exemple possible pour un soignant de créer un profil pour une personne qui n’est pas assuré par l’assurance maladie. Comme l’explique le guide de l’assurance maladie, un soignant doit en principe vérifier les informations à partir d’une pièce d’identité quand il crée un pass sanitaire, mais rien n’empêche un acte mal intentionné.
La temporalité interroge toutefois, car tous les pass ont été générés en quelques jours. Pire qu’un soignant blagueur, il est possible que des ordinateurs ayant accès à ces formulaires aient été piratés. C’est ce que revendique un groupe de pirates sur un des forums que nous avons consulté, sans que Numerama n’ait pu vérifier cette affirmation.
Interrogés sur le sujet le 27 octobre au soir, le ministère du Numérique et l’Agence nationale de la sécurité des systèmes d’information ne sont pas encore revenus vers nous avec un commentaire.
Cet article a été réalisé en collaboration avec Marie Turcan
Si vous disposez d’informations sur le sujet, vous pouvez nous contacter à [email protected] ou [email protected]
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
