IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid,
Ce qui pourrait conduire à l'invalidation du pass sanitaire de millions d'Européens

Le , par Bill Fassinou

383PARTAGES

7  0 
La clé privée utilisée pour signer les certificats numériques Covid de l'UE aurait fait l'objet d'une fuite et circulerait sur des applications de messagerie et des marchés en ligne consacrés aux violations de données. Cette clé aurait également été utilisée pour générer de faux certificats, tels que ceux d'Adolf Hitler et de Mickey Mouse, qui sont tous reconnus comme valides par les applications officielles du gouvernement. La clé privée utilisée pour vérifier le laissez-passer d'Hitler aurait été révoquée à partir de mercredi, mais plusieurs heures plus tard, de multiples rapports ont fait état de certificats fonctionnels toujours vendus en ligne.

Une fuite de données remet en cause la sécurité du pass sanitaire de l'UE

Le certificat numérique Covid (Digital Covid certificate -DCC), ou "laissez-passer vert", aide les résidents de l'UE à traverser les frontières sans encombre en prouvant qu'ils ont été vaccinés contre la Covid-19, qu'ils ont reçu un résultat négatif au test ou qu'ils se sont rétablis avec succès du Covid-19. Vous pouvez utiliser le DCC pour accéder aux services intérieurs dans les restaurants, les pubs et les boîtes de nuit… Il contient les informations personnelles nécessaires, notamment nom, date de naissance, date de délivrance, des informations pertinentes sur votre vaccin ou test ou récupération, un numéro d'identification unique, etc.



Le DCC est disponible en format numérique et en format papier et comporte également un code QR pour éviter toute fraude. Seulement, le jeudi matin, Adolf Hitler et Mickey Mouse pouvaient encore valider leurs laissez-passer numériques Covid, Bob l'éponge n'avait pas de chance et l'Union européenne enquêtait sur une fuite de la clé privée qu'il utilise pour signer les passeports vaccinaux. Deux jours plus tôt, mardi, plusieurs personnes ont déclaré avoir trouvé un code QR en ligne qui s'est avéré être un DCC sur lequel était inscrit le nom "Adolf Hitler", ainsi que la date de naissance indiquée comme étant le 1er janvier 1900.

Mercredi, l'agence de presse italienne ANSA a rapporté que plusieurs vendeurs clandestins vendaient des laissez-passer signés avec la clé volée sur le Dark Web, mais que l'UE avait convoqué "plusieurs réunions de haut niveau" pour déterminer si le vol était un incident isolé. « Sur différents groupes (Telegram principalement) circulent plusieurs faux Pass Vert avec une signature valide. Il est possible qu'une base de données de clés privées soit compromise et cela peut [aboutir] à une rupture de la chaîne de confiance dans l'architecture du Green Pass », a déclaré Emanuele Laface, utilisateur de GitHub dans un fil de discussion.

D'autres codes QR postés sur GitHub ont permis de découvrir un certificat valide pour Mickey Mouse, bien que le certificat de Bob l'éponge ait depuis été refusé, car la ou les clés ont été révoquées. Selon le testeur de pénétration "reversebrain", les faux certificats d'Adolf Hitler et de Mickey Mouse ont été reconnus comme valides par les applications officielles Verifica C19 de l'Italie. Le testeur de pénétration a ensuite signalé que les certificats falsifiés n'étaient plus reconnus par les applications Verifica C19 du gouvernement, ce qui indique que la clé privée divulguée a été révoquée. Mais les experts ont suggéré que ce n'est pas tout à fait le cas.

Par exemple, des tests effectués jeudi par BleepingComputer ont révélé que les versions Android et iOS de l'application Verifica C19 considéraient toujours le code QR du certificat d'Adolf Hitler comme valide. Les tests ont été réalisés via l'application Verifica C19 version 1.1.5, sortie le 19 octobre sur Google Play, et le 26 octobre sur l'App Store d'Apple. Jeudi, le certificat d'Adolf Hitler était également toujours accepté par l'application allemande Covid "CovPass", où le certificat privé semble lui-même provenir de France. Le ministère de la Santé aurait expliqué jeudi avoir identifié un soignant à l'origine de l'émission des pass sanitaires frauduleux.

Plusieurs sources françaises ont fait écho de cette information, ajoutant qu'une enquête a été ouverte pour l'occasion. Interrogé par Numerama, un site français d'actualité sur l'informatique et le numérique, la direction générale de la santé du ministère de la Santé a évoqué une « fraude » et a expliqué avoir pu « identifier une carte eCPS (carte de professionnel de santé, ndlr) associée à un professionnel de santé, qui aurait permis cette fraude en France ».

Des passeports de vaccination de l'UE seraient en vente pour 300 dollars

BleepingComputer a également observé que plusieurs utilisateurs publiaient des clés privées sur des forums clandestins et discutaient de méthodes pour "fabriquer un passeport vert européen". « Récemment, l'Union européenne rend le laissez-passer vert obligatoire pour de nombreuses activités, je vois qu'il y a plusieurs sites qui peuvent parfaitement lire le code QR en le déchiffrant, je voulais savoir si quelqu'un est capable de rechiffrer les données et de générer le code QR en bref, générer un faux laissez-passer vert », a demandé un membre du forum. Des commerçants lui ont proposé des passeports européens Covid avec la mention "vacciné".



Sur des sites en Pologne, les passeports seraient vendus au prix de 300 dollars chacun. Les codes QR contenus dans les certificats numériques Covid de l'UE comportent une signature numérique qui les protège contre la falsification. Lorsque le certificat est contrôlé à l'aide des applications officielles, le code QR est scanné et la signature est vérifiée. Les documents officiels du gouvernement indiquent que chaque organisme émetteur, tel qu'un hôpital, un centre de test ou une autorité sanitaire, possède sa propre clé de signature numérique. Toutes ces clés privées sont stockées dans une base de données sécurisée dans chaque pays.

Mais il n'est pas clair non plus si la compromission de la clé affecte tous les pays de l'UE ou seulement les organismes de délivrance de certains pays. D'après les données du code QR vues par le média américain, les faux certificats qui circulent en ligne ont été émis par différents pays - France, Allemagne, Italie, Pays-Bas, Macédoine du Nord, Pologne, etc. - ce qui indique que le problème pourrait très bien toucher l'ensemble de l'UE. L'UE est au courant et enquête sur la fuite de données.

« Nous sommes conscients des manipulations frauduleuses présumées du code QR du certificat Covid de l'UE et avons vu les rapports. En priorité, nous suivons de près les développements de cet incident et sommes en contact avec les autorités compétentes des États membres qui enquêtent et mettent en place des actions correctives. Nous condamnons fermement cet acte malveillant, qui représente une ingérence dans un domaine sensible et stratégique, à un moment où les services de santé de tous les États membres sont sous pression pour lutter contre la pandémie », a déclaré un porte-parole de l'UE.

« L'incident n'a aucun impact sur la sécurité et l'intégrité du portail de l'UE géré par la Commission », a conclu le porte-parole. Le fait que n'importe qui soit capable de falsifier des certificats Covid cryptographiquement valides remet en question l'authenticité des certificats, même légitimes, émis par les organismes gouvernementaux de l'UE. Si tel était le cas, la clé privée devrait être révoquée par les autorités gouvernementales de l'ensemble de l'UE, ce qui invaliderait les certificats Covid, qu'ils soient falsifiés ou légitimes.

Ainsi, le temps que la situation soit résolue et que les clés privées soient réinitialisées, les détenteurs de certificats Covid numériques légitimes de l'UE devront très probablement générer de nouveaux laissez-passer verts.

Cette fuite de certificat privé pourrait avoir de graves répercussions

Dirk Schrader, vice-président mondial de la recherche en sécurité chez New Net Technologies (NNT), qui fait désormais partie du fournisseur de logiciels de gestion du changement Netwrix, a déclaré jeudi à Threatpost que cette fuite risque d'avoir de graves répercussions, les voyageurs exigeant de plus en plus de preuves de vaccination. « La fuite d'un certificat privé est probablement un problème important, car d'autres pays, en particulier les pays non membres de l'UE, pourraient exiger des preuves supplémentaires pour tout voyageur, une fois que l'ampleur de cet incident aura été révélée », a-t-il déclaré par e-mail.



« Le marché de ces faux certificats de vaccination semble être prometteur, car l'utilisation de Mickey Mouse et d'autres noms fictifs et historiques sert certainement de preuve et d'assurance pour les acheteurs potentiels », a-t-il ajouté. Schrader a souligné que le pire résultat potentiel de cette situation serait la révocation de cette clé privée - un résultat qui pourrait affecter 278 millions de citoyens européens. Joseph Carson, responsable scientifique de la sécurité et conseiller CISO chez ThycoticCentrify, un fournisseur de solutions de sécurité d'identité en nuage basé à Washington D.C., a déclaré que la nouvelle de la fuite était "choquante".

« Il est très préoccupant de constater que les clés privées ont été divulguées/vendues et activement utilisées pour créer de faux passeports numériques Covid de l'UE », a-t-il déclaré jeudi. « Cette fuite pourrait, en fait, invalider les passeports numériques authentiques de l'UE, à moins qu'une réponse complète à l'incident et une analyse des causes profondes ne soient déterminées pour minimiser les dommages potentiels », a-t-il ajouté. Carson a souligné que chaque pays est responsable de ses clés privées, de sorte que la compromission d'un pays "ne serait pas une surprise majeure". Mais ce n'est toutefois pas le cas.

Plusieurs pays sont signalés, ce qui pourrait nuire à la confiance que procure le passeport numérique de l'UE et qui "pourrait obliger à revoir les restrictions de voyage ou la confiance dans le passeport". « J'espère simplement que les pays concernés ont minimisé les risques et qu'ils ne dépendent pas d'un seul jeu de clés privées pour tous les passeports numériques de l'UE. Déterminer comment les clés privées ont été compromises devrait être une priorité absolue, tandis que la réduction des risques qu'une telle fuite se reproduise devrait signifier que la sécurité et la protection des clés seront considérablement améliorées », a-t-il expliqué.

Sources : reversbrain, Fil de discussion GitHub sur la fuite

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Génération de pass sanitaires frauduleux. Réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky

France : le Conseil constitutionnel valide l'extension du pass sanitaire, mais censure plusieurs dispositions comme l'obligation pour les salariés en CDD de présenter un justificatif sanitaire

Le Parlement européen valide le pass sanitaire : et maintenant ? Les vols internationaux devraient bientôt reprendre leur cours normal

France : selon le Conseil d'État, le pass sanitaire n'est pas manifestement illégal, en réponse aux critiques adressées par la Quadrature du Net

Bruxelles annonce la mise en service du pass sanitaire européen, mais des zones de frictions demeurent autour de ces certificats COVID numérique de l'UE

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 02/11/2021 à 13:02
Citation de la discussion github :

It seems pretty clear now, given the public information and (https://twitter.com/Xiloeee/status/1...93664806735876), that some unsecured dgca-issuance-web instances are running somewhere and are the source of the fake DGCs. I think this should be enough info for the eHN to urge members to go and secure all of the issuance-web instances (the members should know where they run these instances).
Pour ceux qui aiment pas l'anglais : ce sont des serveur avec des conf par défaut, donc non sécurisés.

Ce qui est plus vraisemblable que de piquer les clés privées => https://fr.wikipedia.org/wiki/Rasoir_d%27Ockham
2  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 01/11/2021 à 14:14
Bonjour,

Génération de pass sanitaires frauduleux, réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky

Des hackers ont réussi à récupérer les clés privées permettant de générer des pass sanitaires via de faux QR codes. Un green pass a notamment été créé au nom d’Adolf Hitler. Giampaolo Dedola, expert en sécurité au GReAT, Kaspersky commente cette situation

Qu'en pensez-vous ?
Il fallait sen douter ...

Des employés véreux qui travaillent dans les sécurités sociales de plusieurs pays européens. Ces même personnes sont au contact des tokens/clefs d'identifications ... Ainsi voilà comment fuitent ces clefs pour la génération de faux de pass ...

L'autre alternative c'est le siphonnage de BDD mal sécurisées.

===

Encore une fois, le citoyen honnête , risque se retrouver emmerdé et face à un mur techno-bureaucrato-administratif ... Et emmerdé au quotidien.

===

L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid ce qui pourrait conduire à l'invalidation du pass sanitaire de millions d'Européens

Quel est votre avis sur le sujet ?
En espérant que cela soit le "plus minime" possible ... Comme dit plus haut, cela va une fois de plus emmerder le citoyen lambda dans son quotidien ... déplacement , accès à certains lieu .

Plusieurs sources françaises ont fait écho de cette information, ajoutant qu'une enquête a été ouverte pour l'occasion. Interrogé par Numerama, un site français d'actualité sur l'informatique et le numérique, la direction générale de la santé du ministère de la Santé a évoqué une « fraude » et a expliqué avoir pu « identifier une carte eCPS (carte de professionnel de santé, ndlr) associée à un professionnel de santé, qui aurait permis cette fraude en France ».
Je plaints les personnes qui seront emmerder pour voyager ...

Schrader a souligné que le pire résultat potentiel de cette situation serait la révocation de cette clé privée - un résultat qui pourrait affecter 278 millions de citoyens européens.
A la vu de ces chiffres ... C'est effarant.
0  0 
Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 03/11/2021 à 16:02
Ceci est souvent la conséquence d'installation de SGBDR free comme MySQL ou PostGreSQL.
Par défaut ces deux logiciels s'installent avec des comptes d’administrateur et laissent la porte ouverte à tous les admin systèmes.... Pire les certificats comme les clés de chiffrement doivent être déposés en tant que fichier sur les serveurs... Un peu comme si on fermait sa voiture à clé en laissant les clés dessus.

Dans des systèmes comme Oracle ou SQL Server, les clés de chiffrement comme les certificats sont intégrés aux bases de données et dépendant hiérarchiquement de clefs ou certificat en amont. Par exemple pour SQL Server, une clé est générée pour l'instance lors de l'installation. Cette clé d'instance est utilisée pour créer la clé maître de chacune des bases de données. La clé maître d'uns base est nécessaire pour générer une clé de chiffrement ou un certificat... Tout ceci stocké à l'intérieur de la base et de manière chiffrée...

Voler une base ne permet pas de restaurer la base, car l'interdépendance sur un autre serveur n'est pas assurée ! Restaurer une base sur une autre instance ne permet pas non plus d'accéder ni aux données chiffrées ni aux objets de chiffrement, car à nouveau l'interdépendance est brisée....

Enfin, Oracle comme SQL Server permettent un chiffrement transparent des données (TDE) qui chiffre l'intégralité du support de stockage (fichiers de données : tables et index et journal de transaction).

Ces mécanismes n'existant pas ni dans PostGreSQL ni dans MySQL, ce sont de véritables passoires au niveau de la sécurité !

Pire : les méthodes de sauvegardes n'étant pas des copies binaires des pages de données, mais l'extraction des commandes SQL, le fichier de sauvegarde contient en clair les mots de passe de déchiffrement des clés !
0  0