Comment des internautes ont pu générer des pass sanitaires au nom d'Adolf Hitler ou Bob l'éponge

De vrais faux pass sanitaires. Au cours des dernières heures, plusieurs internautes spécialisés en informatique ont pu générer des QR Codes fonctionnels en quelques clics, d'après des publications Twitter et des témoignages reccueillis par BFMTV, qui a pu vérifier leur conformité sur l'application TousAntiCovid Verif. Certains QR Codes ont été générés avec des noms aussi fantasques que Mickey Mouse, Bob l'éponge ou Adolf Hitler.

La création de ces pass sanitaires a d'abord été rapportée par le média suisse Heidi.news, qui évoque la possibilité d'une faille dans le processus de signature électronique des pass sanitaires, indispensable pour qu'ils soient authentifiés.

Depuis l'arrivée du pass sanitaire européen, ce "cachet" numérique est généré de la même façon dans tous les pays de l'Union européenne (UE). Autrement dit: si le processus de signature électronique de l'un des pays venait à être piraté, les QR Codes générés seraient alors valables dans l'ensemble de l'UE.

Une faille en Macédoine du Nord

Selon les informations de BFMTV, rien n'indique pour l'heure l'existence d'une faille au niveau du processus de signature électronique. Comme l'on précisé deux internautes ayant pu générer des pass sanitaires reconnus comme valides par les applications de vérification, la faille se situe au niveau de serveurs basés en Macédoine du Nord. Le pays ne fait pas partie de l'UE, mais son pass sanitaire y est reconnu depuis le mois d'août.

Pour des raisons encore inconnues, une page Web dédiée à la création de QR Codes officiels a été, pendant plusieurs heures, accessibles à tous. Permettant de créer des pass sanitaires valides avec n'importe quel nom (existant ou pas), n'importe quel vaccin, avec n'importe quel nombre de doses entre 1 et 9 et émanant de n'importe quel pays de l'UE.

"Le problème est que l'autorité de santé a laissé un serveur accessible publiquement, qui signe tout ce qu'on lui demande sans rien vérifier. C'est assez similaire à des faux QR Codes qui auraient été générés en piratant le compte d'un pharmacien ou d'un médecin, sauf que là c'est au niveau du service de génération de QR Code plutôt qu'au niveau du professionnel de santé", explique Gaëtan Leurent, chercheur spécialisé en cybersécurité à l'INRIA.

"Il ne s'agit pas d'une faille technique, mais cela montre les limites organisationnelles du certificat covid européen" remarque Bastien Le Querrec, membre de l'association La Quadrature du Net.

Interrogé par BFMTV, le secrétariat d'État chargé du Numérique n'a pour l'heure pas communiqué sur le sujet. Toujours selon les experts ayant pu avoir accès à la plateforme, celle-ci a désormais été désactivée et ne peut plus générer de QR Codes.

Par ailleurs, et comme a pu le vérifier BFMTV, les codes déjà générés - dont ceux au nom d'Adolf Hitler, Mickey Mouse ou Bob l'éponge - ont été révoqués et sont signalés comme frauduleux sur l'application TousAntiCovid Verif. Les conséquences de cet incident pourraient donc s'avérer limitées.