Le principe est simple mais ne fait pas l’unanimité. Et pour cause, depuis mercredi 21 juillet 2021, si l’on souhaite se rendre dans un lieu culturel (cinéma, musée, zoo…) la possession d’un pass sanitaire est désormais obligatoire. La mesure est une des nouvelles actions censées freiner une potentielle et imminente 4ème vague. 

Ce pass permet de connaitre le statut de vaccination d’une personne, le résultat d’un test négatif ou le certificat de rétablissement de celle-ci, ce qui lui permettra d’avoir accès à tous lieux ou événement accueillant plus de 50 personnes. 

Comment le code 2D-DOC et le QR Code protègent nos informations ? 

Le pass sanitaire intègre deux systèmes de protection. Un code 2D-DOC et un QR Code. La norme de code à barres 2D-Doc comprend l'insertion d'un code barre à deux dimensions contenant : 

• Les informations essentielles du fichier 
• La date d'émission du document ou deux code barre dimensionnels 

Ces informations sont ensuite sécurisées grâce à la signature électronique du hachage de ces données garantissant l'identité de l'organisme émetteur et l'intégrité du fichier. Le code-barres bidimensionnel est signé électroniquement par une clé privée correspondant à la clé publique placée dans le certificat de type "cachet serveur". Ce chiffrement permet à tous les participants disposant de la clé publique du signataire émetteur de vérifier la signature.

Le QR Code, quant à lui, est utilisé pour stocker le document dans l’application TousAntiCovid et ainsi être détenteur d’un pass sanitaire. Celui-ci peut être scanné depuis un smartphone pour accéder aux données personnelles de son propriétaire. Grâce à cette simple opération, des pirates peuvent ainsi voler l’identité de leur victime et circuler librement dans des lieux demandant un contrôle sanitaire.

Ces pass-sanitaires sont-ils facilement piratables ? 

Le QR code contenu dans un pass sanitaire permettra aux hackers de consulter les nom, prénom, et date de naissance du titulaire. L’utilisation du test ou du certificat d’une autre personne en changeant le nom ne fonctionnera pas. L’identité du détenteur du pass sanitaire s'affichera sur l’application TousAntiCovid Verif et sera toujours vérifiée grâce à une simple carte d’identité.

Malgré toutes ces précautions les faussaires numériques affirment pouvoir falsifier les QR Codes. Les spécialistes sont formels, cela n’est pas possible puisque les QR codes générés après un test ou une vaccination sont sécurisés Afin de générer un pass sanitaire, il faut rentrer les données du patient, ainsi qu’une clé secrète, seulement connue de l'Assurance maladie. Si la clé générée n'est pas intégrée à la signature cryptographique du QR code, ce dernier ne fonctionnera pas sur TousAntiCovid Verif.

Piratage ou coup de pouce ?

Le pass sanitaire contient plusieurs informations qui peuvent être considérées comme sensibles et potentiellement intéressantes pour tout pirate. En effet le document numérique reprend les nom, prénom, date de naissance, date de l’injection, type de vaccin.  En plus de cela le dispositif comporte deux codes-barres spécifiques : un code 2D-DOC nommé datamatrix ainsi qu’un QR code. Malheureusement ces codes peuvent être scannés par n’importe quel pirate en recherche de données confidentielles.

Pour autant, de tels système de protections ne semblent pas empêcher le nombre de certificats falsifiés d’augmenter. Au travers des réseaux sociaux, plateformes de petites annonces ou encore sur le darknet et les réseaux parallèles, les faux certificats sont vendus une centaine d’euros. 

Le problème que les services de santé et les autorités rencontrent vient du fait que les certificats contenus dans ces pass frauduleux sont authentiques, puisqu’ils sont en fait émis par des personnes complices faisant partie d’hôpitaux, et qui en profitent pour simuler les vaccinations ou les test PCR et ainsi émettre un certificat valide. 

Ce genre de pratiques voit toujours l’arrivée de personnes malhonnêtes qui n’hésitent pas à arnaquer les pauvres âmes à la recherche du sésame. On dénombre en effet une augmentation des personnes se faisant léser après avoir payé en ligne pour leur faux pass. 

Grâce aux données récoltées sur le document, les pirates peuvent ensuite se faire passer pour quelqu’un d’autre auprès de l’Assurance maladie, ou même un hôpital, en mettant en avant les coordonnées exactes de leurs victimes. 

Au Royaume-Unis la fiabilite du test inquiète 

D’autres pays ne sont pas encore passés au pass-sanitaire et utilisent les test PCR pour permettre à leurs citoyens de voyager. C’est le cas au Royaume-Uni où certaines entreprises font appel à différents prestataires pour effectuer ces tests et ont reçu des résultats variés et interprété ces résultats de différentes manières.

De manière assez surprenante, la légitimité des documents fournis est un point qui peut poser question. En tant que spécialistes de la sécurité et de l'authenticité des documents, nous avons constaté que plusieurs fournisseurs n'utilisent pas de méthode cryptée pour signer les documents. Ces derniers, qui coûtent entre 150 et 300 £, peuvent être rendus inutilisables et, dans certains cas, être manipulés facilement pour modifier des détails importants.

L’expérience a été réalisé sur un résultat de test PCR. Le document a pu être modifié une minute à peine après avoir reçu les résultats : des informations importantes, telles que le résultat, le nom et la date, ayant été changées facilement. D'autres fournisseurs ont simplement proposé une page de marque pour valider les résultats du test. Ce qui est inquiétant, c'est que cette page est facilement accessible depuis des sources externes et qu'elle peut être considérée comme légitime par un fonctionnaire non averti.

En conclusion

Quel que soit le pays ou le type de fonctionnement – simple test ou pass sanitaire -, la légitimité de ces documents peuvent être remis en question. Nous pensons que les états ou les entreprises offrant ce service devraient au minimum sécuriser les documents pour éviter toute manipulation et assurer l'intégrité de ce type de documents – après tout, il s'agit toujours de documents médicaux qui contiennent des informations confidentielles (quelqu'un a-t-il dit GDPR ?).

Si ces documents sont acceptés comme la confirmation qu'une personne est "sans Covid" et "apte à prendre l'avion ou à se rendre dans un lieu public", alors que ce n'est peut-être pas le cas, cela soulève des inquiétudes non seulement pour le bien-être des personnes titulaires de ces faux, mais également pour la sécurité de nations entières et les efforts globaux pour contrôler la pandémie.