Pass sanitaire : des clés de chiffrement dérobées, des QR codes au nom d'Adolf Hitler et Bob l'éponge

Publié par Théophile Robert le 29/10/2021 à 12:13 , Mis à jour le 08/03/2022 à 00:00

Une importante brèche dans le système de sécurité de génération des passes sanitaires en Europe a été détectée. Un hacker ou groupe de hackers ont réussi à mettre la main sur les clés privées permettant de générer les QR codes valides des passes. Des passes indifférenciables des « vrais » ont donc pu être créés, remettant en question le système dans sa totalité.

Des clés de chiffrement dérobées permettant de créer d'authentiques pass sanitaires

Le jeudi 28 octobre 2021, le système de pass sanitaire a montré certaines limites. Des « faux » passes ont pu être générés, sans qu'il soit possible de les différencier des « vrais ».

Pour générer un pass sanitaire valide et son QR code, il faut détenir les clés de chiffrement privées. Ces clés ne sont remises qu'aux professionnels de santé via des interfaces dédiées. Ces professionnels de santé ne peuvent pas eux-mêmes avoir accès à ces clés. Mais comment ces clés ont-elles pu tomber entre les mains de hackers ? Plusieurs pistes sont possibles.

Premièrement, un professionnel de santé aurait pu produire ces passes. Une tierce personne aurait également pu avoir accès à l'ordinateur ou au compte Ameli Pro d'un professionnel. Mais cela n'explique pas le nombre et la diversité de ces passes générés.

Deuxièmement, les clés privées d'un ou plusieurs gouvernements ont pu être trouvées. En effet, certains hackers ont prouvé détenir des clés en générant plusieurs passes valides, parfois à des noms fantaisistes. Mais cela impliquerait pour les gouvernements de recourir à de nouvelles clés de chiffrement afin d'éviter la création massive de ces passes. Et donc de devoir générer à nouveau les passes de tous les citoyens en possédant déjà.

Autre hypothèse : un site réservé aux autorités sanitaires permettant de générer des passes a été rendu accessible en raison d'un défaut de sécurité.

Des QR codes au nom d'Adolf Hitler, de Bob l'éponge ou de Mickey Mouse

Tous ces passes sont ou ont été valides sur l'application TousAntiCovid Verif et sur l'application de la Confédération. Certains hackers en ont par ailleurs mis en vente, notamment sur le Deep Web. Sur un forum, un utilisateur proposait de générer des codes valides pour 300 dollars (260 euros). Un autre utilisateur lui a alors demandé une preuve de la validité du pass via la création d'un pass au nom d'Adolf Hitler. Un pass a donc été créé à ce nom et sa validité a été confirmée.

D'autres codes ont pu être générés de la sorte. Ont par exemple circulé sur les réseaux sociaux des QR codes au nom de Mickey Mouse ou encore de Bob l'éponge. « Aujourd'hui, Bob l'éponge a pu aller travailler avec son pass ! Carlo est surpris de le voir au travail après la discussion de l'autre jour sur l'obligation du pass sanitaire pour travailler », peut-on lire sur un tweet en italien. Avec l'accès au formulaire de création des passes, il est possible d'en créer à n'importe quel nom et d'entrer n'importe quelle information souhaitée (date de naissance et lieu de vaccination notamment).

La faille pourrait venir de Macédoine du Nord car certains de ces passes ont été émis depuis ce pays. D'ailleurs, tous les pass générés avec la clé du pays ont été invalidés ce vendredi et l'application TousAntiCovid Verif. Conséquence, les « vrais » passes provenant de Macédoine du Nord ont également été invalidés. Le système dans son intégralité est donc en sursis à l'heure actuelle.

Économisez jusqu'à 40% sur votre assurance santé

Grâce à Assurland.com, comparez gratuitement vos assurances personnelles en quelques minutes pour être protégé au meilleur prix !

 
LAISSEZ UN COMMENTAIRE
 
0 RÉACTION
Pas encore de commentaire, soyez le premier.

RECHERCHEZ DANS LES ARTICLES