(Paris) Confrontés depuis quelques jours à la diffusion de faux passeports sanitaires de vaccination, dont certains aux noms d’Adolf Hitler ou de Bob l’Éponge, les pays européens ont fini par révoquer des clés cryptographiques mal protégées, tandis que les autorités françaises et polonaises ont lancé une enquête.
« Nous avons bien connaissance de manipulations frauduleuses présumées du QR Code du certificat COVID-19 européen », a indiqué vendredi un porte-parole de la Commission européenne.
Depuis mercredi, certains internautes affirment sur des forums et les réseaux sociaux disposer des clés cryptographiques secrètes utilisées pour générer un code QR valide du passeport sanitaire européen.
Ce code contient l’identité de son détenteur et des informations sur son état de vaccination ou son immunité.
En guise de preuve, ces utilisateurs ont créé des codes bien valides aux noms fantaisistes, comme Adolf Hitler ou Bob l’Éponge.
Pour autant, les clés de chiffrement privées n’ont pas été compromises, a assuré à l’AFP la Commission européenne, qui écarte la piste de la défaillance technique et dénonce plutôt une « activité illégale ».
Dans certains cas, « les certificats ont été générés par des personnes disposant d’informations d’identification valables pour accéder aux systèmes informatiques nationaux », affirme l’institution.
Mais selon des experts, des portails internet — notamment celui de la Macédoine du Nord (pays hors UE, mais intégré depuis août au dispositif sanitaire européen) — manquaient également des protections les plus élémentaires et ont permis de générer de nombreux codes frauduleux.
« Chaque pays dispose d’une ou plusieurs signatures, et dans chaque passeport, on retrouve par quelle clé il a été signé », explique Gaëtan Leurent, chercheur en cryptographie à l’Institut national de recherche en sciences et technologies du numérique.
Mickey Mouse
Pour que le système fonctionne, il faut que tous les serveurs utilisés pour signer les passeports soient correctement protégés. « Si un service reste ouvert et signe n’importe quoi, en pratique c’est un peu la même chose » que si la clé avait été volée, a-t-il ajouté.
Pour remédier à la faille, les États membres du réseau eHealth — santé publique à l’échelle de l’Union européenne — ont convenu de « bloquer les deux certificats frauduleux afin qu’ils soient considérés comme non valides par les applications de vérification ». Le portail macédonien a également été désactivé.
En France, la mise à jour de l’application TousAntiCovid Vérif s’est faite jeudi matin.
Le réseau eHealth va également travailler sur « l’amélioration des systèmes d’invalidation et de révocation, afin de pouvoir réagir encore plus rapidement à de tels cas ».
L’affaire n’est pas totalement close, car l’origine de certains passeports sanitaires frauduleux reste mystérieuse. Un certificat de vaccination au nom de Mickey Mouse semble avoir été signé par les autorités françaises, d’autres par les services polonais, peut-être grâce à des complicités parmi les professionnels de santé.
Les deux pays ont lancé une enquête, a indiqué la Commission européenne. Contactée, la Direction générale de la santé n’était pas en mesure de confirmer dans l’immédiat.
En septembre, les codes QR des vrais passeports sanitaires d’Emmanuel Macron et Édouard Philippe avaient été diffusés sur les réseaux sociaux, le premier par des soignants qui avaient consulté le dossier vaccinal du président, selon l’Assurance maladie de France, et le second par des internautes qui étaient parvenus à le scanner à partir d’une photo de presse.