Bonjour,

Votre question porte sur le QR code au nom d’Adolf Hitler qui circule sur les réseaux sociaux depuis mercredi. On pourrait croire à un montage, mais un rapide contrôle avec l’application TousAntiCovid Verif indiquait qu’il était tout à fait valide. Plus étonnant encore : le QR code apparaît comme un pass sanitaire français, émis par la Caisse nationale de l’assurance maladie (Cnam). Cet Adolf Hitler fictionnel né en 1900 aurait ainsi reçu une dose de Pfizer le 1er octobre 2021.

Et ce n’est pas tout : un autre QR code, cette fois-ci au nom de Bob l’éponge et indiquant le Royaume-Uni comme pays de vaccination, circule également.

«Aujourd’hui, Bob l’éponge a pu aller travailler avec son pass ! Carlo est surpris de le voir au travail après la discussion de l’autre jour sur l’obligation du pass sanitaire pour travailler.»

Si ces deux exemples peuvent paraître absurdes, le problème est loin d’être anodin. Car cela signifie que des personnes ont été capables de générer des pass sanitaires fictifs, mais valides pour n’importe quelle identité. Ce qui implique qu’elles aient pu créer des pass sans preuve de vaccination ou de test négatif pour des personnes bien réelles.

L’histoire commence quelques jours plus tôt, sur un forum bien connu de la communauté cybersécurité, où des pirates s’échangent des données généralement volées. Dans une publication du 24 octobre, un utilisateur du forum, dont le pseudonyme est polonais, propose de générer des QR code valides pour la modique somme de 300 dollars (260 euros). Un autre lui demande alors une «preuve de concept» (c’est-à-dire de prouver qu’il est bien capable de le faire) en créant un pass au nom d’Adolf Hitler. Le premier s’exécute et envoie le QR code au nom du dictateur nazi (en privé) au second, qui confirme alors publiquement que le pass est valide. Sans qu’on sache s’il s’agit du même QR code que celui qui circule depuis sur les réseaux sociaux.

Le QR code viral d’Adolf Hitler a depuis été signalé comme frauduleux, notamment par les autorités françaises dans l’application TousAntiCovid Verif. Il apparaît donc comme tel lorsqu’on le scanne. Ce qui ne résout par pour autant le cœur du problème : on peut aisément imaginer que certains faux pass soient vendus, mais contrairement à celui d’Adolf Hitler, ne se retrouvent pas sur les réseaux sociaux. Ils ne peuvent donc pas être repérés par les autorités ni signalés comme frauduleux. Ce qui permettrait aux acheteurs d’obtenir et utiliser des pass sanitaires valides sans y avoir droit.

Il est pourtant impossible, normalement, de falsifier un QR code : seules les autorités gouvernementales disposent des clés de chiffrement privées qui permettent de les générer. Les autorités mettent uniquement à disposition des professionnels de santé des interfaces qui permettent de générer des QR codes aux personnes qu’elles vaccinent. Sans que les médecins puissent consulter lesdites clés, qui restent secrètes.

Plusieurs hypothèses permettraient toutefois d’expliquer la création de ces faux pass valides. Tout d’abord, on peut imaginer qu’un professionnel de santé les ait produits. Ou qu’une tierce personne ait accès à l’ordinateur ou au compte Ameli Pro (via un piratage par exemple) d’un soignant français par exemple. Ce qui ne permettrait pas d’expliquer la diversité des faux pass sanitaires actuellement en circulation.

Une seconde hypothèse, autrement plus grave, existe : la fuite de la clé privée d’un ou plusieurs gouvernements. Sur les forums évoqués précédemment, certains pirates revendiquent détenir les clés de plusieurs pays différents et avoir la volonté de les diffuser largement pour «faire tomber» le système de pass sanitaire européen. Pour le moment, rien ne prouve qu’ils les aient vraiment en leur possession. Mais si cette piste se révélait vraie, cela pourrait contraindre les autorités à devoir utiliser de nouvelles clés de chiffrement pour éviter la création massive de faux pass, et donc à devoir recréer les pass de tous les citoyens qui en disposent déjà.

Selon plusieurs spécialistes en sécurité informatique consultés par CheckNews, c’est une autre et dernière piste qui est en fait la bonne : au moins un site web permettant de générer des pass sanitaires (normalement réservés aux autorités sanitaires) a été librement accessible en ligne, en raison d’un défaut de sécurité. Il suffisait donc d’y accéder, sans avoir besoin de s’identifier, puis d’entrer n’importe quelles données pour générer un pass valide.

Le développeur Xiloe a ainsi trouvé un formulaire en ligne qui permettait de générer des pass sanitaires. Ceux-ci étaient signés avec une clé de chiffrement privée de la Macédoine du Nord. «Mais je pouvais générer des pass qui indiquaient une vaccination pour tous les pays, y compris la France ou le Zimbabwe, explique-t-il à CheckNews. [Un pass de Hitler] a été généré à partir de ce site auquel j’ai eu accès. C’est vérifiable car il est signé avec la clé privée macédonienne.» L’interface en question a depuis été mise hors ligne, et renvoie désormais vers une page du site du ministère de la santé nord-macédonien. Le formulaire (qu’on peut consulter ici mais qui ne génère pas de QR codes valides) était particulièrement simple d’utilisation : il suffisait de remplir quelques informations, comme le nom de la personne ou le type de vaccin utilisé, pour générer un pass sanitaire.

Autre preuve qu’une partie au moins du problème vient du côté des autorités nord-macédoniennes : les pass générés à partir de la clé de ce pays ont été révoqués ce vendredi de TousAntiCovid par les autorités françaises. Ils ne sont donc plus valides lorsqu’on les scanne avec l’application française TousAntiCovid Verif. Ce qui permet de révoquer tous les pass sanitaires frauduleux créés avec l’interface évoquée précédemment (ou éventuellement par des pirates qui disposeraient de cette clé privée nord-macédonienne). Mais cette suppression invalide potentiellement du même coup de «vrais» pass sanitaires nord-macédoniens.

Reste que plusieurs QR codes ont été générés avec des clés privées autres que macédoniennes. Un QR code Mickey Mouse et un Adolf Hitler trouvés sur les réseaux sociaux ont ainsi été générés à partir de clés françaises. Par un professionnel de santé qui a voulu tester la manipulation? Ou un site mal sécurisé comme dans le cas de la Macédoine du Nord ?

Selon la Direction générale de la santé, contactée par CheckNews, la Caisse nationale de l’assurance maladie (CNAM) «a investigué l’origine de la fraude et ainsi pu identifier une [carte de professionnelle de santé], qui aurait permis cette fraude en France». Les QR codes français frauduleux seraient donc dus «à des comportements d’individus isolés [et] par conséquent, les clés privées françaises n’ont pas été dérobées et ne sont pas compromises, comme cela a pu être relayé». La DGS indique qu’une enquête est en cours et qu’une plainte a été déposée.

Mise à jour : cet article a été complété vendredi 29 octobre avec la réponse de la DGS.