Infalsifiables et sûrs, deux adjectifs qui allaient de pair avec le décret du pass sanitaire instauré en France le 21 aout 2021. Exigible de façon partielle dans les lieux de loisirs, de sports et de cultures ; Le passe sanitaire s´étend et devient obligatoire dans la majorité des lieux de vies et d’activités quotidiennes à compter du 9 aout 2021.
Ce pass sanitaire consiste á la présentation d’une preuve de vaccination ou de test négatif à la COVID19 sous la forme numérique ou papier :
Malgré le fait que la majorité des Français l’approuve, avec un taux qui avoisine les 62%, il existe quand même une grande mobilisation contre ce dernier ; notamment chez les femmes, et les moins de 35 ans.
Il également important de rappeler qu’il existe une partie minime de la population, qui ne se sent pas concernée par les mesures restrictives, car ils ne se divertissent pas dans les lieux sociaux et ne font pas ou très peu de déplacements dit de loisirs.
Quid alors de la population qui ne veut pas se faire vacciner, mais qui souhaite quand même fréquenter les lieux interdits au non-détenteur du fameux sésame ?
C’est dans ce contexte que se dessine un risque de fraudes dans le processus d’obtention et de validation du pass sanitaire.
Le premier résulte dans le processus d’obtention de la preuve vaccinale.
En effet, revenons au commencement du processus de vaccination, où les politiciens et personnalités publiques ont diffusés sur les réseaux sociaux et aux vues de tous, leurs preuves de vaccinations. Celles- ci comportaient un nom, une date de naissance ainsi qu’un numéro d’assurance maladie. Or, pour télécharger sa preuve vaccinale, la personne concernée doit renseigner son nom et sa date de naissance, informations que les pirates possèdent déjà avec les fuites sur les réseaux sociaux ; leur unique obstacle est donc la déduction du numéro d’assurance maladie lorsque celui-ci n’était pas renseigné.
Une fois les quelques informations renseignées, un clic et le pass sanitaire est téléchargé.
Mr tout le monde se rend donc au restaurant sous l’identité de Mr Intel et personne ne vérifiera sa carte d’identité car cette partie est réservée aux dépositaires de l’autorité publique.
La deuxième faille se trouve dans la falsification de QR codes considérés comme valide lors de la vérification via l’application destiné aux commerçants.
Sauf que selon un analyste en cybersécurité, « Chaque QR code avec sa preuve vaccinale délivrée porte une mesure cryptographique » qui n’est donc pas possible de falsifier.
En revanche, cette mesure doit être reconnue comme valide par l’application ; « ce qui s’est produit, c’est que les pirates ont trouvé un algorithme permettant de tromper la vigilance de l’application » ce qui fait en sorte qu’elle saute l’étape de vérification du cryptogramme et valide le QR code.
Si les failles informatiques demeurent plus complexes à craquer, ce n’est pas le cas pour l’usurpation d’identité sur les plateformes des assurances maladies et le commerce de fausses attestations vaccinales.
En effet, un business illégal s’est mis en place très rapidement en juillet dernier et principalement au mois d’août, une centaine de fraudes internes ont eu lieu avec souvent, la complicité du personnel soignants.
Cela peut passer par la revente de son propre QR code ou dans la copie de documents diffusés à la télé ou sur les sites internet ; avec des tarifs variants entre 200 et 500 euros.
Aussi, une employée de la CPAM a avoué avoir vendu plus de 200 QR code sur les réseaux sociaux lors de sa condamnation fin juillet à Bobigny. De même pour une infirmière à Paris qui a délivré plus de 360 faux certificats.
Le médecin responsable du centre de vaccination d’Arcachon raconte que son compte a été piraté début août et plus de 55 faux certificats de vaccinations ont été délivrés sans son consentement. Même scénario pour un généraliste à Marseille avec 175 certificats délivrés
Maxence, 19 ans a commencé un trafic de faux certificats de vaccinations sur Photoshop, une dizaine qu’il vend 200 euros.
Dans un centre de vaccination de Saint-Quentin-en-Yvelines 111 personnes ce sont procurer une attestation de vaccination avec un QR code valide sans s’être fait vacciner.
C’est au responsable de l’établissement de contrôler ses salariés et au référant Covid-19 de vérifier le pass sanitaire des clients ; le non-contrôle du pass engendrant une amende de 1000 euros au commerçant ou au professionnel, en plus d’une mise en demeure et d’une éventuelle fermeture temporaire de l’établissement. En cas de récidive l’amande grimpera à 9000 euros avec une peine d’un an de prison. Une amende moins lourde pour les consommateurs qui ne présente pas leur passe ou qui utilise un faux pass ; si cela se produit plus de 3 fois en 30 jours les sanctions sont de 3750 euros d’amendes et 6 mois d’emprisonnements.
Produire ou procurer un faux document est passible d’une amende variant de 45000 à 75000 euros et d’une condamnation de 3 à 5 ans d’emprisonnement pour escroquerie en bande organisée !
A bon entendeur …