Problèmes sur l’authenticité du « passe sanitaire »

Tandis que le gouvernement français veut proroger le « passe sanitaire » jusqu’au 31 juillet 2022. Des problèmes récurrents arrivent ici et là quant à l’édition, ou la sécurisation des données dudit sésame. Des informations confidentielles se retrouvent ainsi dans la nature, quand d’autres lieux subissent leurs troisièmes pannes en un petit mois. Sans oublier l’enquête de Cyberguerre sur la gigantesque faille européenne, et le bug révélé par le journal suisse Waston.

Le mardi 26 octobre 2021 le ministre de la Santé, Olivier Véran était auditionné au Sénat dans le cadre du projet de loi « vigilance sanitaire ». En préambule, ce dernier rappelle qu’ « il ne s’agit plus d’état d’urgence sanitaire, mais bien de vigilance sanitaire ». Pendant près de 2 h 30 les explications et échanges fusent entre les participants. Le dessein de la loi prévoit de prolonger jusqu’au 31 juillet 2022 le régime de sortie de l’état d’urgence sanitaire et donc la possibilité de recourir au passe sanitaire. Il reporte à la même date la fin desdites dispositions.

Prorogation du « passe sanitaire »

« J’ai observé dans les deux avis du conseil scientifique du 5 et du 6 octobre qu’autant le conseil scientifique estime qu’il est absolument certain que le passe sanitaire a joué un rôle déterminant pour l’accélération des vaccinations, autant dit-il, le rôle du passe sanitaire en tant que mesures favorisant la protection des individus est plus difficile, à mettre en évidence. Le passe sanitaire a été mis en place début août alors que la décroissance de l’épidémie du variant delta est plutôt survenue vers le 20 juillet donc il a pu contribuer, dit le conseil scientifique, à cette décroissance, mais il est difficile de mesurer exactement dans quelle mesure », martèle le sénateur Philippe Bas (LR), rapporteur de la loi « Vigilance sanitaire ».

Nous estimons que le passe sanitaire, et les mesures de jauges et de gestion qui sont encore en vigueur nous permettent de réduire de 30 % la circulation du virus. Sans ça nous serons bien au-delà de 5 000 cas par jour.

Olivier Véran, ministre des solidarités et de la santé

Puis c’est au tour de la rapporteure, Pascale Gruny (LR) : « Comptez-vous dans les mois à venir adapter le schéma de vaccination obligatoire et rendre nécessaire la troisième dose ? » Ce à quoi, le ministre des Solidarités et de la Santé répond : « Ça fait l’objet de réflexions et d’une saisine et aux autorités sanitaires compétentes, le comité de stratégie vaccinale, la haute autorité de santé et le Conseil scientifique. Est-ce qu’il y a lieu ou non, pour conserver le bénéfice de son passe, d’une troisième dose, lorsqu’on est particulièrement fragile ? Je n’ai pas la réponse, mais j’ai posé la question ». Une réponse loin d’être suffisante pour la sénatrice PS, Marie-Pierre de la Gontrie. « Est-ce que j’ai bien entendu qu’en fait, vous n’en saviez rien ? À l’heure où nous parlons, vous ne savez pas dire si le passe sanitaire restera valide. »

En ce jour, il est établi que le passe a favorisé la vaccination à la suite du discours du président de la République, Emmanuel Macron. Quant au bien fondé du « passe sanitaire », Olivier Véran répond lui-même : « Est-ce qu’on peut quantifier l’impact du passe sanitaire sur la circulation du virus ? Moi je vous pose une autre question est ce qu’on peut quantifier l’impact du masque dans l’épidémie, est-ce qu’on peut quantifier l’impact du gel hydroalcoolique ? »

Est-il sécurisé ?

C’est un excellent problème qui s’impose à tout un chacun. La plupart des personnes qui ont dû présenter leur certificat Covid dans un restaurant, en boîte de nuit ou toute manifestation le savent. Il y a ceux qui contrôlent consciencieusement ledit sésame en le scannant, puis les autres qui se limitent à appuyer sur le bouton de vérification. Il existe une grave faille de sécurité dans le cas de la validation rapide. En effet, ceux qui détenaient un certificat grâce à un test négatif ou une guérison pouvaient faire apparaître la couleur verte bien plus longtemps après qu’il soit périmé. « Pour cela, il leur suffisait de changer bêtement la date et l’heure du téléphone portable », rapporte le site Waston.

« Il n’est pas permis aux examinateurs d’appuyer sur la touche de rafraîchissement du téléphone portable d’autrui. La seule méthode d’essai autorisée est l’utilisation de l’application d’essai par le testeur », atteste l’Office fédéral de santé publique aux associations et aux cantons suisses. Toujours chez les Helvètes, une panne, la troisième au mois d’octobre, empêchait d’émettre quelconque certificat durant quatre heures. « Il y a actuellement un problème technique dans l’émission des certificats Covid », a indiqué, jeudi 28 octobre 2021 midi, l’Office fédéral de l’informatique et de la télécommunication (OFIT). « Ce n’est pas la première fois que des pannes affectent les certificats. Lundi après-midi, des problèmes concernant la vérification et l’émission des passes ont eu lieu pendant une bonne dizaine de minutes », révèle la Tribune de Genève.

Fraudes internationales

Le jeudi 28 octobre 2021, le site Cyberguerre de Numerama publiait une enquête sur « Des dizaines de pass sanitaires frauduleux générés : enquête sur une gigantesque faille européenne ». Le problème rencontré en Suisse serait-il l’arbre qui cache la forêt ? Il pourrait s’agir d’une des affaires les plus sensibles concernant la création et l’usage de passes sanitaires dans toute l’Europe, assure-t-il. Ainsi différents sites Internet permettaient de concevoir des QR Code dont au moins l’un d’entre eux engendrait des certificats de vaccination authentifiés dans l’Union européenne. En France, il serait possible pour un soignant d’établir un profil pour un individu n’étant pas couvert par l’assurance maladie. Comme l’explique le guide de l’institution, un personnel habilité doit en principe vérifier les informations à partir d’une pièce d’identité quand il crée un « passe sanitaire ».

Le formulaire qui permet de créer un QR Code exige plusieurs champs obligatoires : nom, prénom, date de naissance, date d’injection, quel vaccin et par quel pays émetteur. Les malversations seraient liées à l’usurpation des clés de chiffrages telles les PGP pour « Pretty Good Privacy ». Ainsi des clés polonaise et macédonienne auraient circulé pour l’impétration du sésame. Depuis plusieurs jours, des individus « revendiquent sur des plateformes de ventes de données volées avoir obtenu une ou plusieurs clés privées européennes », qui leur fourniraient la possibilité de constituer des passes comme bon leur semble. Ce qui présagerait une compromission de la légitimité des différentes clés publiques liées à ces clés privées.

Quid des nos infos ?

Au Québec, au moment où les habitants sont vaccinés contre le SARS-CoV-2 leurs informations personnelles sont demandées. Elles sont ensuite utilisées pour créer la preuve, ou QR Code. Lors de ce processus, elles sont vérifiées auprès de chaque personne, afin d’en assurer la véracité. Or, lorsqu’Élodie* a été vaccinée la semaine dernière, rien ne s’est passé comme l’indique le protocole. Une mauvaise coordonnée téléphonique a été employée pour l’envoi de sa preuve vaccinale, avec ses informations privées… « Comme je ne recevais pas la preuve vaccinale, j’ai suivi les directives du ministère pour la télécharger moi-même. C’est là que j’ai vu qu’il n’avait pas utilisé le bon numéro de téléphone », raconte-t-elle à Métro. L’affaire pourrait prêter à sourire, si ce n’est la réponse téléphonique d’un salarié du ministère concerné : « On ne peut rien faire pour vous malheureusement ».

Élodie craint donc que ses informations personnelles circulent sur le web, et d’être victime d’une malversation. Devant cette circonstance, elle réfléchit à ester en justice. « Je regrette hautement d’avoir fait confiance au gouvernement avec mes données, avoue-t-elle. C’est quelque chose qui me dérangeait, mais avec la situation actuelle de la pandémie, je me disais que je pouvais accepter cette étape-là. » Quand les attaques par codes malveillants ciblent les entreprises comme les hôpitaux, n’importe quel individu est en droit de se questionner.

Chez nos voisins et amis belges, Helena ne les fait plus rire. Cette dernière est un environnement sécurisé pour tous les documents médicaux, comme en France, « Mon espace Santé » qui devrait être déployé en 2022. Cette plateforme permet aux patients et aux professionnels de la santé de communiquer. En 2019, Helena avait réussi à obtenir la possibilité de diminuer le niveau de sécurité exigé pour qu’un patient puisse accéder à son dossier médical. Si bien qu’il est possible d’accéder à un dossier médical sans prouver son identité et sans lien thérapeutique avec un médecin. Face au risque conséquent de fuite de données, une plainte a été déposée auprès de l’Autorité de protection des données (APD) par Medispring, une coopérative regroupant plus de 2 200 médecins, au sujet d’Helena, une des plus importantes applications d’échange de données entre médecins et patients en Belgique, rapporte Le Soir. Quand à la France …

*prénom d’emprunt