Un QR code de pass sanitaire valide au nom d’Adolf Hitler circule en Europe

Il a voulu prouver qu’il était en mesure de créer un pass sanitaire valide à n’importe quel nom, même celui du dictateur nazi, et cela semble réussi. Un cybercriminel a réalisé un QR code valide portant le nom d’Adolf Hitler, une fraude qui inquiète les autorités européennes et sur lequel le ministère de la Santé des Pays-Bas est en train d’enquêter. 

Selon RTL Nieuws, rédaction d‘information de la chaîne néerlandaise RTL, ces codes proviennent de Pologne et de France mais sont européens, servant de preuve pour obtenir un "certificat Covid numérique de l’Union Européenne". Ils peuvent donc être validés aux Pays-Bas et en Belgique. 

La rédaction, relayée par le quotidien belge La Libre, ajoute que plusieurs spécialistes de cybersécurité ont confirmé la validité de ce faux pass sanitaire en Belgique, car l’application belge CovidSafe permet aux utilisateurs de télécharger leurs certificats, mais sans être en mesure pour l’heure de détecter les QR codes manipulés. Non content d’avoir manipulé l’outil qui émet ces attestations, l’auteur du piratage propose désormais de vendre ses QR codes nominatifs sur un forum de hackers.

Selon le média en ligne suisse Heidi News, deux utilisateurs d’un forum se seraient lancés le défi de créer ces faux certificats. Par ailleurs, un troisième QR code portant le nom de Mickey Mouse circulerait également sur des groupes de discussion privée sur la messagerie Telegram mercredi 27 octobre, aux côtés de deux fausses attestations au nom d'Adolf Hitler. Toutes sont reconnues par l’application suisse Covid Certificate Check, selon le média. 

Le site estime que d’autres certificats falsifiés sont aussi en circulation en Europe ce jeudi, dont certains qui semblent émis de Macédoine du Nord, et tous sont valides sur l'application de la Confédération.

Comment ce cybercriminel a-t-il donc pu infiltrer le système qui fournit des codes sanitaires pour créer une attestation frauduleuse ? Les autorités néerlandaises avancent la piste d’un vol de "clés" de création en France ou en Pologne, "une faille dans l’ensemble de la chaîne de confiance de l’architecture" selon Heidi News qui laisse craindre des possibilités de fraude à grande échelle. 

La fabrication d’un QR code neuf et valide par un pirate, portant le nom de son choix, est plutôt inédit puisque jusqu’alors, ce sont surtout des cas d’usurpations de QR codes déjà émis qui ont été signalés. En France par exemple, les attestations de vaccination d’Emmanuel Macron et de Jean Castex avaient fuité sur les réseaux sociaux en septembre dernier. 

La faute à une quinzaine de professionnels de santé qui selon l’Assurance Maladie ont consulté le dossier de soins du président et partagé son QR code dans un cas, et le relais dans les médias d’une photo réalisée par un photographe professionnel du code du Premier ministre.  

Quant aux vraies attestations qui ne correspondent à aucune vaccination, seul un professionnel de santé ayant accès au système d’information Vaccin Covid peut en émettre. Le soignant s’expose alors en France à des sanctions qui peuvent monter jusqu’à trois ans de prison, indiquait l’Assurance Maladie au Parisien en septembre. Elle soupçonnait ainsi 36.000 assurés d’avoir bénéficié de faux pass sanitaires

Le quotidien signale aussi que les faussaires peuvent être extérieurs au corps médial, mais doivent se servir des codes d’accès de soignants au système de création de QR codes. Une piste privilégiée par Denys Vitali, un ingénieur du leader suisse des télécommunications Swisscom, qui estime aussi auprès de Heidi News qu'un logiciel malveillant a pu avoir été installé sur les ordinateurs de personnes autorisées à accéder à l'outil. Il serait donc en mesure de générer de fausses attestations en déjouant l'authentification sécurisée.