Razzia sur nos data

Commander la revue

Razzia sur nos data

 Commander la revue
Santé Actu

Adolf Hitler et Mickey Mouse ont un certificat Covid valide en Suisse

Exceptionnellement, nous avons décidé de mettre cet article à disposition gratuitement, tant ces informations sont utiles pour comprendre l'épidémie. L'information a néanmoins un coût, n'hésitez pas à nous soutenir en vous abonnant.

Grégoire Barbey
Grégoire Barbey Journaliste
Le certificat Covid au nom d'Adolf Hitler est validé par l'application suisse Covid Certificate Check | DR
Le certificat Covid au nom d'Adolf Hitler est validé par l'application suisse Covid Certificate Check | DR

Adolf Hitler aurait-il reçu deux doses de vaccin? En Europe, de faux certificats Covid circulent depuis quelques heures mercredi 27 octobre. Deux d’entre eux sont attribués à Adolf Hitler, et un troisième à Mickey Mouse. D’après des discussions sur le site GitHub, plusieurs certificats falsifiés ayant des signatures valides circulent sur différents groupes de la messagerie Telegram. Le problème a également été relevé par des experts sur Twitter.

Mick.jpg
En plus de deux certificats Covid associés à Adolf Hitler, un troisième au nom de Mickey Mouse est validé par l'application suisse Covid Certificate Check / Photo DR

Pourquoi c’est important. Cette situation pourrait indiquer qu’une base de données contenant des clés privées a été compromise, ce qui pourrait créer une faille dans l’ensemble de la chaîne de confiance de l’architecture du Green Pass, la solution de certificat Covid valable au sein de l’Union européenne. Le fait que deux certificats Covid portant le même nom puisse être valide simultanément et signé par des autorités de différents pays aurait pu indiquer un piratage généralisé.

Selon le mathématicien Paul-Olivier Dehaye, qui a mené des recherches sur la genèse de ces faux certificats, il ne s’agit vraisemblablement pas d’un problème global. Deux utilisateurs d’un forum se seraient lancés le défi de créer de faux certificats au nom d’Adolf Hitler.

Les certificats sont valides en Suisse. Heidi.news a vérifié les trois QR codes associés à Adolf Hitler et Mickey Mouse via l’application Covid Certificate Check diffusée par la Confédération. Les trois certificats Covid falsifiés sont validés. En principe, lorsque des clés sont compromises, le système devrait les révoquer. Contacté, l’Office fédéral de l’informatique et de la télécommunication n’était pas joignable mercredi soir pour expliquer pourquoi les clés n’ont pas été révoquées. Contactée au téléphone par Heidi.news, l'OFIT affirmait jeudi être au courant du problème. De surcroît, les certificats suisses font l’objet d’un problème technique qui empêchent leur émission. L’OFIT devrait fournir de plus amples informations dans le courant de la journée.

Les hypothèses. A ce stade, l’ampleur du problème n’est pas encore connu. Selon Denys Vitali, un ingénieur Swisscom qui a publié son analyse de la situation sur GitHub, les probabilités qu’il puisse s’agir d’une fuite de clés privées sont faibles, même si elles existent.

Selon l’expert, l’hypothèse la plus plausible, c’est qu’un individu a rompu la chaîne de confiance entre un gouvernement et les médecins, pharmacies et hôpitaux qui peuvent émettre des certificats. Un logiciel malveillant pourrait aussi avoir été installé sur leurs ordinateurs et serait maintenant capable de générer des certificats comme s’ils émanaient d’un tiers de confiance.

Denys Vitali estime que la seule manière de démontrer que des clés privées ont effectivement fuité serait de signer un certificat Covid à une date antérieure à la pandémie.

La piste de la Macédoine du Nord. Selon les informations de la chaîne française BFMTV, la faille se situerait au niveau de serveurs basés en Macédoine du Nord. Pour des raisons inconnues, écrit le média, une page web dédiée à la création de QR codes a été accessibles à tous pendant plusieurs heures. N’importe quel utilisateur était ainsi en mesure de produire de faux certificats.

Selon Gaëtant Laurent, chercheur spécialisé en cybersécurité à l’Institut national de recherche en sciences et technologies du numérique (INRIA), cité par BFMTV:

«Le problème est que l'autorité de santé a laissé un serveur accessible publiquement, qui signe tout ce qu'on lui demande sans rien vérifier. C'est assez similaire à des faux QR codes qui auraient été générés en piratant le compte d'un pharmacien ou d'un médecin, sauf que là c'est au niveau du service de génération de QR code plutôt qu'au niveau du professionnel de santé.»

«Il ne s'agit pas d'une faille technique, mais cela montre les limites organisationnelles du certificat Covid européen», a pour sa part confié Bastien Le Querrec, membre de l'association La Quadrature du Net, à la chaîne française.

L’application TousAntiCovid Verif, qui permet de vérifier l’authenticité des certificats Covid, a révoqué les pass sanitaires falsifiés. Ce n’était toujours pas le cas de Covid Certificate Check, l’application suisse, ce jeudi 28 octobre vers 17h50, alors que Heidi.news a averti les autorités le mercredi 27 octobre vers 22h.

Un problème qui concerne plusieurs pays. Le média français Numerama a mené l’enquête et a découvert que le problème est plus large. Un site anglophone permettait par exemple de générer de faux certificats Covid, qui étaient considérés comme valides par les applications de vérification.

Le média a pu générer de faux pass sanitaires associés à des QR codes fonctionnels, ainsi que des PDF similaires à ceux qui circulent au sein de l’Union européenne. Cette situation permettrait à quiconque d’utiliser un tel certificat Covid pour accéder aux lieux soumis à l’obligation de présenter le pass sanitaire.

Numerama confirme la piste de la Macédoine du Nord, mais affirme que d’autres clés, deux françaises et une polonaise, sont associées à d’autres certificats frauduleux. Faute de réponse officielle à ce stade, seules des hypothèses sont permises. Un groupe de pirates malveillants revendique cette opération sur RaidsForum, mais ni Numerama, ni Heidi.news n’a pu vérifier cette allégation.

Des précédents de falsification. Quatre personnes ont été arrêtées en Suisse début octobre. Elles auraient revendu 400 francs pièce de faux certificats Covid.

OFIT.PNG
L'OFIT s'est contenté de communiquer par Twitter, alors qu'il s'était engagé à répondre en fin de journée aux questions de Heidi.news / Photo capture d'écran

Une panne dans l’émission de certificats. L’Office fédéral de l’informatique et de la télécommunication a fait part en milieu de journée jeudi 28 octobre d’une panne dans l’émission de nouveaux certificats Covid. Plus tard dans l’après-midi, il a communiqué sur Twitter pour informer que tout était rentré dans l’ordre et que cela n’avait aucun lien avec les faux certificats circulant sur internet.

L’OFIT précise étudier la façon dont il faut traiter les faux certificats. A noter que Heidi.news a contacté l’OFIT a plusieurs reprises et qu’il avait été convenu que des réponses aux questions posées par notre média seraient transmises en fin de journée, mais les autorités ont préféré se limiter à une communication succincte sur Twitter. Ce n’est pas la première fois que l’OFIT agit de la sorte.

**Mise à jour 28 octobre, 7h06:* la situation continue d’évoluer. D’autres certificats falsifiés circulent en Europe et sont également valables avec l’application Covid Certificate Check. Certains semblent avoir été émis en Macédoine du Nord.

Mise à jour 28 octobre, 12h05: Réaction téléphonique de l’OFIT.*

**Mise à jour 28 octobre, 17h50:* Ajouts des informations de BFMTV et Numérama.*

**Mise à jour 28 octobre, 19h45:* Ajouts des éléments sur la panne d’émission de nouveaux certificats Covid.*

A lire sur BFMTV

sécurité informatique certificat Covid Covid-19 cybersécurité
Grégoire Barbey
Grégoire Barbey Journaliste
Consulter ses autres articles

le Point du jour

Chaque matin, un résumé de l'actualité envoyé d’une ville différente du monde.

S'inscrire à la newsletter