LEBIGDATA.FR I.A, Cloud & Cybersécurité
Suite à une fuite des clés cryptographiques d'authentification, de faux Pass Sanitaires sont en vente sur le Dark Web et sur Telegram. Enquête sur une faille de cybersécurité béante à l'échelle européenne…
Quel est le point commun entre Adolf Hitler, Mickey Mouse et Bob l'Éponge ? Réponse : ils ont tous les trois leur Pass Sanitaire.
Cette devinette n'était pas facile, et la réponse n'est pas particulièrement drôle. Et pour cause : il ne s'agit pas d'une blague.
Depuis le mardi 26 octobre 2021, de nombreux internautes ont vu passer sur internet un code QR lié à un certificat numérique Covid au nom d'un certain » Adolf Hitler « né le 1er janvier 1900.
Le dictateur nazi aurait-il simulé sa disparition depuis 1945 jusqu'à l'instauration du Pass Sanitaire ? Rassurez-vous : il n'en est rien.
Selon l'agence de presse italienne ANSA, plusieurs vendeurs du Dark Web proposent des Pass Sanitaires européens (Green Pass) signés avec la clé privée officielle utilisée par l'Union européenne.
Toujours d'après la source, l'UE a organisé plusieurs réunions au sommet pour déterminer s'il s'agit d'un incident isolé ou d'une fuite massive de la clé numérique. Une enquête a été ouverte.
La clé utilisée pour certifier le Pass Sanitaire d'Hilter aurait été révoquée le mercredi 27 octobre 2021. Les Pass générés avec cette clé ne devraient donc plus être valides. Pourtant, selon de nombreuses sources, des certificats fonctionnels étaient toujours vendus en ligne à cette date.
Cette rumeur a été confirmée le jeudi 28 octobre au matin, avec un QR Code partagé sur Twitter par un testeur d'intrusion. Ce QR Code peut être scanné et reconnu par l'application italienne Verifica C19, équivalent de notre application française TousAntiCovid Verif.
Try to scan this QR code with the official government APP « Verifica C19 »
2/3 pic.twitter.com/2y65c4vsc9
— reversebrain (@reversebrain) October 26, 2021
Il fonctionne également avec l'application allemande CovPass. Sur cette appli, le Pass en question est indiqué en provenance de France.
D'autres codes QR postés sur GitHub fonctionnent également. Ils sont associés à des personnages fictifs comme Mickey Mouse et Bob l'Eponge. Toutefois, si les clés privées sont véritablement en fuite, il est possible de créer un faux Pass Sanitaire à n'importe quel nom.
Les conséquences d'une fuite du certificat privé
Quelles peuvent être les conséquences d'une fuite du certificat privé du Pass Sanitaire ? Selon Dirk Schrader, vice-président mondial de la recherche en sécurité chez New Net Technologies (NNT), ce » leak » pourrait avoir un lourd impact.
Suite à cet incident, les pays étrangers à l'Union européenne risquent d'exiger une preuve additionnelle de vaccination pour les touristes. Le Pass Sanitaire ne sera plus considéré comme suffisamment fiable.
La clé de certification pourrait être révoquée, impactant 278 millions de citoyens européens dont le Pass ne serait soudain plus valable. Pour éviter un tel fiasco, une réaction immédiate et une analyse de la racine du problème sont indispensables afin de minimiser les dégâts.
Qu'est-ce qu'une clé privée ? Retour sur le fonctionnement du Pass Sanitaire
Les clés privées permettent d'authentifier les Pass Sanitaires européens. Il s'agit justement du système censé prouver que le document n'est pas un faux. Malheureusement, cette sécurité a été détournée.
Les QR Codes contenus dans les certificats numériques COVID européens contiennent cette signature numérique. Lorsque le certificat est vérifié à l'aide de l'une des applications officielles, le QR Code est scanné et la signature est vérifiée.
Maintenant qu'on a parlé des données du pass, parlons un peu schéma de confiance : qui peut émettre ces certificats, comment vérifier qu'un pass donné est authentique. Ceci a aussi été spécifié par la commission européenne : https://t.co/uz5VkLzkaE
— Жильбер гилбс (@gilbsgilbs) June 28, 2021
Chaque organisme autorisé à distribuer un Pass Sanitaire a sa propre clé de signature numérique. Ceci concerne les hôpitaux, les centres de test ou les autorités de santé. Ces différentes clés sont stockées sur une base de données sécurisée propre à chaque pays.
Un pays membre de l'UE est responsable de ses clés privées. Il ne serait donc pas étonnant qu'un seul pays ait été compromis.
Toutefois, cette fuite ne concerne pas qu'un seul pays. Les faux Pass Sanitaires basés sur ces clés en fuite proviennent de multiples pays. Il est probable qu'une base de données complète de clés privées ait été compromise.
Selon BleepingComputer, les faux certificats proviennent de multiples pays dont la France, l'Allemagne, l'Italie, les Pays-Bas, la Macédoine du Nord ou la Pologne. On peut supposer que toute l'UE est concernée.
C'est la raison pour laquelle la crédibilité du dispositif est remise en cause. Ces clés privées sont censées rester secrètes et protégées. De nouvelles restrictions pourraient donc être adoptées pour les voyages.
La priorité pour l'UE est de déterminer comment ces clés privées ont été détournées. Pour éviter qu'un tel incident survienne à nouveau, il convient aussi de renforcer le système de protection.
Une trahison en interne ? Les clés cryptographiques n'auraient pas été volées
De prime abord, on pouvait penser que les clés privées de certification avaient été volées. Toutefois, selon la Commission, les certificats ont en fait été générés par des personnes dotées d'identifiants valides pour accéder aux systèmes informatiques nationaux, ou par une personne utilisant ces identifiants valides à mauvais escient.
Une enquête est menée par les autorités en France et en Pologne pour découvrir les causes possibles de cette activité frauduleuse. Il est possible qu'une usurpation d'identité soit à la source de cet incident majeur.
L'enquête confirme en tous cas que les clés cryptographiques n'ont pas été compromises. La cause de cette fuite n'est donc pas une faille technique, mais une activité illégale. La Commission estime donc que la confiance à l'égard du système de certificats numériques COVID européens ne doit pas être remise en cause.
Les sites web de création de Pass Sanitaire en libre accès
En menant leur propre enquête, nos confrères de Numerama ont pu accéder à des sites web permettant de créer des QR Codes de Pass Sanitaires authentifiés dans l'UE. Ces sites web étaient publiquement accessibles pendant plusieurs jours, à la seule condition d'en avoir le lien URL.
Aucune étape de vérification ou mesure de sécurité supplémentaire ne barrait l'accès. Il suffit ensuite d'indiquer si l'on souhaite générer un certificat de vaccin, de rétablissement ou de test négatif. L'utilisateur remplit ensuite le formulaire avec les informations personnelles : nom, prénom, date de naissance, date d'injection, type de vaccin, pays émetteur. Le Pass Sanitaire, valable et authentifié, est aussitôt généré sans autre vérification.
En remontant la piste de cette clé privée, les journalistes ont découvert qu'elle provient de Macédoine du Nord. A priori, cette même clé a été utilisée pour générer les faux Pass de Adolf Hitler et Bob l'Eponge.
Depuis lors, la clé a été modifiée et le site de création du Pass n'est plus accessible au public. Les Pass générés avec cette clé ne sont plus valides.
Faux Pass Sanitaire : un marché noir en plein essor
Le marché des faux Pass Sanitaire est particulièrement lucratif pour les faussaires et les cybercriminels. De nombreux Européens souhaitent conserver leur liberté sans avoir à se vacciner, et sont prêts à débourser de belles sommes pour recevoir un sésame falsifié.
Déjà en juin 2021, l'Allemagne mettait en place une » task force « pour combattre ce business en plein essor. Les escrocs utilisaient la messagerie chiffrée Telegram pour vendre de faux Pass à 100€ pièce. Toutefois, à l'époque, ces annonces étaient de simples arnaques.
En France aussi, de nombreux Pass Sanitaires frauduleux sont vendus via Telegram ou Snapchat. Plusieurs reportages ont révélé les pratiques d'infirmiers et autres soignants falsifiant la vaccination, et les autorités ont démantelé des réseaux organisés.
Suite à cette fuite des clés privées, les faussaires utilisent à nouveau Telegram pour vendre des Pass. Et cette fois, les documents fonctionnent.
La réaction de l'Union européenne
Suite à cet incident majeur, la Commission européenne est en contact avec les autorités en charge de mener l'enquête dans les différents pays membres de l'UE.
Les efforts sont coordonnés, et la première mesure adoptée est de bloquer les deux certificats frauduleux pour qu'ils apparaissent invalides sur les applications de vérification. On ignore pour l'instant à quelle date ces certificats seront bloqués.
La Commission et les États Membres travaillent aussi à l'échelle nationale et européenne pour améliorer les systèmes d'invalidation et de révocation. L'objectif étant de pouvoir réagir plus rapidement à de telles situations.
L'Union européenne condamne ouvertement le vol des clés privées. Elle souligne que ce crime survient au moment où les services de santé sont sous pression face à la résurgence de la pandémie…
https://youtu.be/PocMCLgkdpU
Conclusion
La fuite des clés de certification de Pass Sanitaires pourrait avoir de lourdes conséquences. À l'instar de la clé utilisée par la Macédoine du Nord, celles des différents pays pourraient être révoquées.
Il s'agit donc d'un grave incident de cybersécurité, dans un contexte où le Pass Sanitaire est nécessaire pour lutter contre la pandémie de Covid-19. Toutefois, a priori, les bases de données contenant ces clés n'ont pas été compromises par les hackers.
Ce sont les identifiants de connexion à cette base de données qui ont été détournés. On peut soupçonner une trahison en interne, ou une usurpation d'identité de la part d'un criminel.
Quoi qu'il en soit, la fiabilité du Pass Sanitaire risque d'être remise en cause. Il est urgent de prendre des mesures pour renforcer la sécurité du système…
- Partager l'article :
