Comment un cybercriminel a créé un Covid Safe Ticket au nom d’Adolf Hitler?
Un Covid Safe Ticket au nom d’Adolf Hitler mais aussi de Mickey Mouse ou bien de Bob l’Éponge circulent ces derniers jours en Europe.
C’est la stupéfaction lorsqu’un Covid Safe Ticket, obligatoire en Belgique, est apparu au nom d’Adolf Hitler et s’est révélé valide. Cette fraude trahirait surtout d’une faille dans le système qui pourrait avoir été utilisée par un cybercriminel.
Pour le moment plusieurs théories existent sur l’apparition de ces Covid Safe Ticket improbables. Il se pourrait que ce soit un cybercriminel qui cherche à se mettre en avant pour vendre de faux certificats. Si c’est le cas, alors la personne derrière cette fraude aurait accès au système permettant la création des QR codes sanitaires.
Une fuite de données
Autre hypothèse, il y aurait eu une fuite des clés informatiques permettant la création de ces QR Codes. Des internautes de la plateforme Github sont en tout cas persuadés qu’une base de données privée a été piratée. Enfin, il se pourrait que deux hackers se soient mis au défi de créer des faux certificats, ce qui expliquerait la présence de deux Covid Safe Ticket au nom d’Hitler.
Si l’une de ces hypothèses se révèle vraie, alors ces fraudes seraient le signe d’une faille très dommageable pour le processus de vaccination et de vérification des informations dans l’Union européenne. La RTBF rapporte l’analyse d’Alex Legay, professeur à l’UCLouvain et expert en cybercriminalité. Ce dernier explique les résultats d’un chercheur : « Il prouve que même en récupérant la liste des clefs de QR Codes désactivés, il ne serait pas possible de les réactiver. Il est presque impossible de voler les clés liées aux QR codes actifs, c’est extrêmement sécurisé et nous n’avons pas connaissance d’un vol ». Aucune preuve donc penchant vers une hypothèse ou l’autre.
Les seules personnes ayant accès aux informations vaccinales sont les professionnels de la santé étant donné qu’ils ont accès au système d’information Vaccin Covid. Est-ce que l’un des professionnels de la santé aurait alors usurpé des QR Codes. Cette personne risquerait une lourde peine et probablement une radiation de l’Ordre des Médecins.
Déjà des fraudes
Pourtant, il a été vu que créer un faux Covid Safe Ticket n’est pas si compliqué dans sa version imprimée. « Il y a des personnes qui ont mis leur QR Code sur Internet, se sont fait voler leur téléphone… Il y a un certain nombre de QR Code qui sont disponibles. Une fois qu’on a ça, fabriquer un faux et changer les informations privées, ce n’est pas très compliqué » explique Alex Legay à la RTBF.
Pour le cas du Covid Safe Ticket d’Hitler, ce n’est pas la même chose. Le pass n’est disponible qu’en ligne. Ce qui signifie que le cybercriminel a eu accès à des informations en amont, les clés informatiques générant les QR code.
