Nouvelle mise à jour sur cette histoire en fin d’article…
La nouvelle est arrivée sur Tweeter avec un message du compte @lereveildatlas agrémenté d’un QR code avec des données très fantaisistes. Il s’agit en effet du pass sanitaire d’Aldof Hitler, né le 1er janvier 1900. On pourrait croire à une blague, mais non. En passant le code à TousAntiCovid Verif, [le 28 octobre, NDLR] nous étions bien en présence d’un QR code valide. Selon le tweet, le site qui permet de gérer les certificats de l’appli contenait une vulnérabilité qui a permis de lancer une attaque brute force (l’essai de milliards de mots de passe un à un jusqu’à trouver le bon).
À l’heure actuelle on ne sait pas encore exactement comment cela a été rendu possible, mais le ou les pirates disposent de moyens permettant de générer des pass sanitaires aussi vrais que les vrais pour absolument toute l’Union européenne.
Un véritable tremblement de terre !
🔴 Alerte: il semble désormais certain que des hackers soient parvenus à obtenir les clés de création et chiffrement des pass sanitaires de l'Union Européenne. Des pass valides circulent déjà au nom d'Adolf Hitler avec date de naissance au 1er janvier 1900 et autres absurdités. pic.twitter.com/eqetuyafgn
Annonce— Le Réveil d'Atlas (@lereveildatlas) October 28, 2021
Des faux pass sanitaires aussi vrais que les vrais
Si le piratage était avéré, cela poserait plusieurs problèmes, notamment en ce qui concerne la validité des pass sanitaires de dizaines de millions d’individus puisqu’il serait impossible de faire le tri entre les « vrais-vrais » et les « faux-vrais ». On peut aussi se demander si ces les clés privées vont se retrouver dans la nature ou si le pirate a juste voulu démontrer une supériorité technique. Si c’est un « antipass », il y a des chances pour qu’on retrouve des « kits » assez rapidement et si c’est un pirate vénal, il tentera de monnayer sa découverte… On se pose encore la question du pass en lui-même puisque les autorités (police, douanes, etc.) disposent d’une appli TAC Verif plus détaillée que celle disponible pour le grand public. Les informations contenues dans ces faux pass vont-elles plus loin que la surface (nom, prénom, date de naissance). En d’autres termes, un faux pass sanitaire créé avec ces clés volées permettra-t-il de voyager sans être vacciné ?
La thèse du piratage est-elle crédible ?
D’après les discussions sur GitHub, ces certificats frauduleux ne sont pas les seuls en circulation (on trouve aussi Bob l’Éponge et Mickey). Ces derniers seront sans doute révoqués puisqu’ils ont été rendus publics, mais cela porte forcément un sacré coup au système Green Pass qui harmonise la validité des QR code au niveau européen puisque ces pass sanitaires ont aussi été « validés » par les applications de vérification belges ou suisses par exemple.
Edit du 29/10/2021 : Les pass sanitaires de Adolf Hitler, de Bob l’Éponge et de Mickey Mouse ont bien été révoqués comme on pouvait s’y attendre. La conversation Github a été déplacé car il ne s’agissait pas d’un problème de spécification technique. Vous pouvez la retrouver ici. Selon BFMTV, le problème viendrait d’une faille en Macédoine du Nord (ex-ARYM). Alors que le pays n’est même pas dans l’UE, celui-ci fait partie du système Green Pass et sans qu’on sache pourquoi, il a été possible aux internautes locaux de signer un QR code avec des données privées depuis un site officiel émanant de ce petit pays d’Europe. Mais ce pays n’est pas le seul en cause puisqu’il a été démontré que d’autres pass valides ont été créés avec une clé privée polonaise. Si le « faux Adolf » a pu être repéré et révoqué, d’autres pass sanitaires non dévoilés peuvent donc se retrouver dans la nature sans être signalés. Le mystère reste encore entier, mais nous sommes sur le coup pour savoir d’où cela vient et s’il est encore possible de récupérer des pass valides en suivant ce filon. Car si c’est le cas, c’est bien la fin du « pass sanitaire » tel qu’on le connaît.
Edit du 04/11/2021 : Il est maintenant avéré que les clés privées servant à générer ces QR codes frauduleux n’ont pas été piratées ou volées. Il s’agit bien d’un site officiel de l’autorité de santé macédonienne qui a souffert d’un mauvais fonctionnement en laissant n’importe qui créer des pass sanitaires valides en mode « open bar ». Il reste cependant plusieurs zones d’ombres dans ce micmac puisque le QR code d’Adolf Hitler était bien français. Comment un site macédonien qui fonctionne mal peut générer un Green Pass français ? Selon Libération, il s’agit d’une autre « fuite » impliquant un professionnel de santé indélicat. Une étrange coïncidence quand on sait que tous ces QR codes ont fait surface à peu près au même moment… Enfin, comme la clé privée macédonienne qui a servi à générer cette ribambelle de pass a été révoquée, on se demande aussi ce qui se passe pour les pauvres Macédoniens qui ont un vrai QR code et qui se retrouvent maintenant sans pass sanitaire…
