Une fuite de données remet en cause la sécurité du pass sanitaire de l'UE
Le certificat numérique Covid (Digital Covid certificate -DCC), ou "laissez-passer vert", aide les résidents de l'UE à traverser les frontières sans encombre en prouvant qu'ils ont été vaccinés contre la Covid-19, qu'ils ont reçu un résultat négatif au test ou qu'ils se sont rétablis avec succès du Covid-19. Vous pouvez utiliser le DCC pour accéder aux services intérieurs dans les restaurants, les pubs et les boîtes de nuit… Il contient les informations personnelles nécessaires, notamment nom, date de naissance, date de délivrance, des informations pertinentes sur votre vaccin ou test ou récupération, un numéro d'identification unique, etc.
Le DCC est disponible en format numérique et en format papier et comporte également un code QR pour éviter toute fraude. Seulement, le jeudi matin, Adolf Hitler et Mickey Mouse pouvaient encore valider leurs laissez-passer numériques Covid, Bob l'éponge n'avait pas de chance et l'Union européenne enquêtait sur une fuite de la clé privée qu'il utilise pour signer les passeports vaccinaux. Deux jours plus tôt, mardi, plusieurs personnes ont déclaré avoir trouvé un code QR en ligne qui s'est avéré être un DCC sur lequel était inscrit le nom "Adolf Hitler", ainsi que la date de naissance indiquée comme étant le 1er janvier 1900.
Mercredi, l'agence de presse italienne ANSA a rapporté que plusieurs vendeurs clandestins vendaient des laissez-passer signés avec la clé volée sur le Dark Web, mais que l'UE avait convoqué "plusieurs réunions de haut niveau" pour déterminer si le vol était un incident isolé. « Sur différents groupes (Telegram principalement) circulent plusieurs faux Pass Vert avec une signature valide. Il est possible qu'une base de données de clés privées soit compromise et cela peut [aboutir] à une rupture de la chaîne de confiance dans l'architecture du Green Pass », a déclaré Emanuele Laface, utilisateur de GitHub dans un fil de discussion.
D'autres codes QR postés sur GitHub ont permis de découvrir un certificat valide pour Mickey Mouse, bien que le certificat de Bob l'éponge ait depuis été refusé, car la ou les clés ont été révoquées. Selon le testeur de pénétration "reversebrain", les faux certificats d'Adolf Hitler et de Mickey Mouse ont été reconnus comme valides par les applications officielles Verifica C19 de l'Italie. Le testeur de pénétration a ensuite signalé que les certificats falsifiés n'étaient plus reconnus par les applications Verifica C19 du gouvernement, ce qui indique que la clé privée divulguée a été révoquée. Mais les experts ont suggéré que ce n'est pas tout à fait le cas.
Par exemple, des tests effectués jeudi par BleepingComputer ont révélé que les versions Android et iOS de l'application Verifica C19 considéraient toujours le code QR du certificat d'Adolf Hitler comme valide. Les tests ont été réalisés via l'application Verifica C19 version 1.1.5, sortie le 19 octobre sur Google Play, et le 26 octobre sur l'App Store d'Apple. Jeudi, le certificat d'Adolf Hitler était également toujours accepté par l'application allemande Covid "CovPass", où le certificat privé semble lui-même provenir de France. Le ministère de la Santé aurait expliqué jeudi avoir identifié un soignant à l'origine de l'émission des pass sanitaires frauduleux.
Plusieurs sources françaises ont fait écho de cette information, ajoutant qu'une enquête a été ouverte pour l'occasion. Interrogé par Numerama, un site français d'actualité sur l'informatique et le numérique, la direction générale de la santé du ministère de la Santé a évoqué une « fraude » et a expliqué avoir pu « identifier une carte eCPS (carte de professionnel de santé, ndlr) associée à un professionnel de santé, qui aurait permis cette fraude en France ».
Des passeports de vaccination de l'UE seraient en vente pour 300 dollars
BleepingComputer a également observé que plusieurs utilisateurs publiaient des clés privées sur des forums clandestins et discutaient de méthodes pour "fabriquer un passeport vert européen". « Récemment, l'Union européenne rend le laissez-passer vert obligatoire pour de nombreuses activités, je vois qu'il y a plusieurs sites qui peuvent parfaitement lire le code QR en le déchiffrant, je voulais savoir si quelqu'un est capable de rechiffrer les données et de générer le code QR en bref, générer un faux laissez-passer vert », a demandé un membre du forum. Des commerçants lui ont proposé des passeports européens Covid avec la mention "vacciné".
Sur des sites en Pologne, les passeports seraient vendus au prix de 300 dollars chacun. Les codes QR contenus dans les certificats numériques Covid de l'UE comportent une signature numérique qui les protège contre la falsification. Lorsque le certificat est contrôlé à l'aide des applications officielles, le code QR est scanné et la signature est vérifiée. Les documents officiels du gouvernement indiquent que chaque organisme émetteur, tel qu'un hôpital, un centre de test ou une autorité sanitaire, possède sa propre clé de signature numérique. Toutes ces clés privées sont stockées dans une base de données sécurisée dans chaque pays.
Mais il n'est pas clair non plus si la compromission de la clé affecte tous les pays de l'UE ou seulement les organismes de délivrance de certains pays. D'après les données du code QR vues par le média américain, les faux certificats qui circulent en ligne ont été émis par différents pays - France, Allemagne, Italie, Pays-Bas, Macédoine du Nord, Pologne, etc. - ce qui indique que le problème pourrait très bien toucher l'ensemble de l'UE. L'UE est au courant et enquête sur la fuite de données.
« Nous sommes conscients des manipulations frauduleuses présumées du code QR du certificat Covid de l'UE et avons vu les rapports. En priorité, nous suivons de près les développements de cet incident et sommes en contact avec les autorités compétentes des États membres qui enquêtent et mettent en place des actions correctives. Nous condamnons fermement cet acte malveillant, qui représente une ingérence dans un domaine sensible et stratégique, à un moment où les services de santé de tous les États membres sont sous pression pour lutter contre la pandémie », a déclaré un porte-parole de l'UE.
« L'incident n'a aucun impact sur la sécurité et l'intégrité du portail de l'UE géré par la Commission », a conclu le porte-parole. Le fait que n'importe qui soit capable de falsifier des certificats Covid cryptographiquement valides remet en question l'authenticité des certificats, même légitimes, émis par les organismes gouvernementaux de l'UE. Si tel était le cas, la clé privée devrait être révoquée par les autorités gouvernementales de l'ensemble de l'UE, ce qui invaliderait les certificats Covid, qu'ils soient falsifiés ou légitimes.
Ainsi, le temps que la situation soit résolue et que les clés privées soient réinitialisées, les détenteurs de certificats Covid numériques légitimes de l'UE devront très probablement générer de nouveaux laissez-passer verts.
Cette fuite de certificat privé pourrait avoir de graves répercussions
Dirk Schrader, vice-président mondial de la recherche en sécurité chez New Net Technologies (NNT), qui fait désormais partie du fournisseur de logiciels de gestion du changement Netwrix, a déclaré jeudi à Threatpost que cette fuite risque d'avoir de graves répercussions, les voyageurs exigeant de plus en plus de preuves de vaccination. « La fuite d'un certificat privé est probablement un problème important, car d'autres pays, en particulier les pays non membres de l'UE, pourraient exiger des preuves supplémentaires pour tout voyageur, une fois que l'ampleur de cet incident aura été révélée », a-t-il déclaré par e-mail.
« Le marché de ces faux certificats de vaccination semble être prometteur, car l'utilisation de Mickey Mouse et d'autres noms fictifs et historiques sert certainement de preuve et d'assurance pour les acheteurs potentiels », a-t-il ajouté. Schrader a souligné que le pire résultat potentiel de cette situation serait la révocation de cette clé privée - un résultat qui pourrait affecter 278 millions de citoyens européens. Joseph Carson, responsable scientifique de la sécurité et conseiller CISO chez ThycoticCentrify, un fournisseur de solutions de sécurité d'identité en nuage basé à Washington D.C., a déclaré que la nouvelle de la fuite était "choquante".
« Il est très préoccupant de constater que les clés privées ont été divulguées/vendues et activement utilisées pour créer de faux passeports numériques Covid de l'UE », a-t-il déclaré jeudi. « Cette fuite pourrait, en fait, invalider les passeports numériques authentiques de l'UE, à moins qu'une réponse complète à l'incident et une analyse des causes profondes ne soient déterminées pour minimiser les dommages potentiels », a-t-il ajouté. Carson a souligné que chaque pays est responsable de ses clés privées, de sorte que la compromission d'un pays "ne serait pas une surprise majeure". Mais ce n'est toutefois pas le cas.
Plusieurs pays sont signalés, ce qui pourrait nuire à la confiance que procure le passeport numérique de l'UE et qui "pourrait obliger à revoir les restrictions de voyage ou la confiance dans le passeport". « J'espère simplement que les pays concernés ont minimisé les risques et qu'ils ne dépendent pas d'un seul jeu de clés privées pour tous les passeports numériques de l'UE. Déterminer comment les clés privées ont été compromises devrait être une priorité absolue, tandis que la réduction des risques qu'une telle fuite se reproduise devrait signifier que la sécurité et la protection des clés seront considérablement améliorées », a-t-il expliqué.
Sources : reversbrain, Fil de discussion GitHub sur la fuite
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Génération de pass sanitaires frauduleux. Réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky
France : le Conseil constitutionnel valide l'extension du pass sanitaire, mais censure plusieurs dispositions comme l'obligation pour les salariés en CDD de présenter un justificatif sanitaire
Le Parlement européen valide le pass sanitaire : et maintenant ? Les vols internationaux devraient bientôt reprendre leur cours normal
France : selon le Conseil d'État, le pass sanitaire n'est pas manifestement illégal, en réponse aux critiques adressées par la Quadrature du Net
Bruxelles annonce la mise en service du pass sanitaire européen, mais des zones de frictions demeurent autour de ces certificats COVID numérique de l'UE