Un Covid Safe Ticket au nom d’Adolf Hitler, validé par l’application Covidscan : comment l’expliquer ?

Un cybercriminel souhaiterait prouver sa capacité à créer des CST contre rémunération ?

La première hypothèse, c’est la possibilité qu’un cybercriminel souhaite prouver sa capacité à produire des Covid Safe Ticket contre rémunération. L’internaute aurait à sa disposition le système qui crée les QR codes sanitaires. Il proposerait, sur un forum de hackers, de vendre ses QR codes en les personnalisant aux acheteurs.

Ce serait une nouvelle étape dans la fraude au Covid Safe Ticket alors que depuis plusieurs jours, la vente de faux pass explose chez nous.

Les clés informatiques permettant de générer des QR Codes ont fuité ?

Sur Github, une plateforme de développeurs informatiques, les forums s’emballent. Certains pensent que le Covid Safe Ticket d’Hitler prouve qu’une base de données contenant des clés privées a été piratée. Ce qui impacterait toute la stratégie du passeport vaccinal dans l’Union européenne. Pour d’autres internautes, deux utilisateurs d’un forum se seraient lancé le défi de créer ces faux certificats, expliquant ainsi le fait que deux CST circulent au nom d’Hitler.

Aucune preuve ne vient étayer ces affirmations. Selon Alex Legay, professeur à l'UCLouvain et expert en cybercriminalité, une démonstration a été faite par un chercheur. "Il prouve que même en récupérant la liste des clefs de QR Codes désactivés, il ne serait pas possible de les réactiver. Il est presque impossible de voler les clés liées aux QR codes actifs, c’est extrêmement sécurisé et nous n’avons pas connaissance d’un vol."

Le corps médical produirait ces Covid Safe Ticket ?

Evidemment, il est impossible qu’Adolf Hitler, Mickey Mouse ou Bob L’Eponge soient vacciné. Pourtant, les professionnels de la santé sont les seuls à pouvoir créer de vraies attestations ne correspondant à aucune vaccination. Ils ont accès au système d’information Vaccin Covid.

Une autre hypothèse émerge alors : un membre du corps médical produirait-il ces QR Code ? Les médecins fournissant de faux pass risquent de se voir radier de l’Ordre des Médecins.

Les faussaires peuvent aussi être extérieurs au corps médical mais se servir des codes d’accès au système de création de QR codes des soignants. Certains codeurs de la plateforme Github semblent croire à cette théorie. Un logiciel malveillant pourrait avoir été installé sur les ordinateurs de personnes autorisées à accéder à l’outil. Les cybercriminels pourraient ainsi générer de fausses attestations.

L’usurpation de Covid Safe Ticket déjà existant

Créer un faux Covid Safe Ticket serait en fait très simple, selon Axel Legay, spécialiste en cybercriminalité. En tout cas, pour la version imprimée. "Il y a des personnes qui ont mis leur QR Code sur Internet, se sont fait voler leur téléphone, … Il y a un certain nombre de QR Code qui sont disponibles. Une fois qu’on a ça, fabriquer un faux et changer les informations privées, ce n’est pas très compliqué." 

Cependant, le Covid Safe Ticket d'Hitler est disponible en ligne. Il est donc bien plus difficile de le modifier selon Axel Legay. "Le cybercriminel devrait avoir accès à la clef informatique générant le QR Code. La question reste de savoir comment il aurait pu avoir accès à de telles informations." 

Pour entrer dans un bar ou une salle de spectacle, la validation du Covid Safe Ticket par l’application CovidScan n’est que la première étape. L’identité doit en principe ensuite être vérifiée grâce à un document officiel. Pour la personne ayant l’idée de montrer ce CST, il serait difficile de prouver qu’elle est bien Hitler, Bob l’Eponge ou Mickey Mouse.

►►► A lire aussi : Le Covid Safe Ticket est-il réellement contrôlé dans l’Horeca à Bruxelles ? Nous avons fait le test…