Tech&Co
Replay Direct tv DirectTV
Tech

Pass sanitaire: pourquoi les faux QR Codes vendus en ligne ne vous seront d'aucune utilité

Le
Sur le Web, de nombreuses annonces promettent de faux pass sanitaires, contre rémunération. Mais la création de QR Codes falsifiés et fonctionnels est théoriquement impossible.

Généralisé à de nombreuses activités du quotidien, le pass sanitaire a provoqué une explosion des prises de rendez-vous de vaccination. Mais sur les réseaux sociaux, certains opposants au vaccin tentent de mettre la main sur de faux pass sanitaires. Des documents proposés à la vente, en toute illégalité, parfois au prix de centaines d’euros. En plus de risquer trois ans de prison et 45 000 euros d’amende, les clients potentiels risquent de se faire arnaquer.

Pour créer les QR Codes liés au pass sanitaire (au format français comme au format européen), les autorités ont travaillé avec des spécialistes de la cryptographie afin de les sécuriser. Comme avec un document d’identité ou un billet de banque, le but est d’éviter la création de faux en ajoutant des éléments infalsifiables.

Signature numérique

“Le point important pour éviter les faux, c'est la signature cryptographique. Il s’agit d’un calcul effectué avec les données du pass et une clé secrète, mais que tout le monde peut vérifier avec une clé publique. La signature certifie que les données viennent bien de l'État français (ou d'un autre État pour le pass européen)” résume Gaëtan Leurent, chercheur en cryptographie à l’INRIA, auprès de BFMTV.

Cette signature, qui ne peut être générée que par les organisations délivrant le pass sanitaire (par exemple l’Assurance maladie en France), rend la création de faux QR Code théoriquement impossible.

Dans les faits, les organismes générant le QR Code disposent d’une clé numérique secrète: un bout de code informatique qui va inscrire les informations dans un format unique, qui ne peut être créé qu’avec cette clé. Par analogie, il est possible d’assimiler ce format à une “empreinte digitale numérique”.

En parallèle, une clé publique (qui n’a pas besoin de rester secrète) est intégrée à TousAntiCovid Vérif, l’application utilisée pour scanner le pass sanitaire. Elle est spécifiquement conçue pour reconnaître le format généré grâce à la clé secrète.

Là encore, il s’agit d’un bout de code informatique, qui va donc cette fois vérifier l’authenticité de cette “empreinte digitale” par un calcul informatique complexe.

L’ensemble des organisations autorisées à émettre le pass sanitaire dans l’Union européenne ont reçu une clé secrète afin de générer des QR Code infalsifiables, car associé à cette empreinte unique. Sans cette clé, il est impossible de créer une empreinte qui s’avérera exacte après le calcul informatique de la clé publique.

Des complices dans le système

Si ces protections informatiques sont difficiles à contourner, des manipulations illégales peuvent parfois venir directement des organisations officielles, pour produire “de vrais faux QR Code”. Mais cela implique la présence de complices au sein même de l’Assurance maladie ou parmi les professionnels de santé.

“Un médecin véreux pourrait déclarer frauduleusement avoir vacciné quelqu'un. Ou quelqu'un pourrait se faire vacciner en se faisant passer pour un autre, pour lui permettre d'avoir un certificat de vaccination” rappelle Gaëtan Leurent.

En juin, une infirmière de l’hôpital Saint-Anne (Paris) a ainsi été suspendue après avoir organisé de fausses injections, au sein même d’un centre de vaccination. Une pratique bien plus rare, qui inspire toutefois des escrocs en ligne.

Sur Snapchat ou Telegram, certains internautes anonymes proposent de faux pass sanitaires, assurant avoir un ou une complice au sein de l’Assurance maladie et promettant l’arrivée du document au sein même du portail officiel Ameli. Des affirmations qu’il est impossible de vérifier, à moins de verser les centaines d’euros demandés.

Avec à la clé quatre principaux risques: ne pas être protégé contre le Covid, se voir infliger une lourde amende et/ou une peine de prison, voir son argent disparaître dans la nature et voir les données réclamées par les escrocs (nom, prénom, date de naissance, numéro de sécurité sociale) utilisées pour des tentatives d'arnaque ou d'usurpation d'identité.

Sur le même sujet

Il est par ailleurs fortement déconseillé de partager son propre QR Code en ligne, afin d'éviter tout détournement ou revente frauduleuse.

https://twitter.com/GrablyR Raphaël Grably Rédacteur en chef adjoint Tech & Co

A la Une

"C'est sa vie personnelle": des fans de Kendji Girac regrettent le déballage de l'intimité du chanteur