Dans de nombreux pays, les restrictions liées au virus de la Covid-19 exigent une preuve de vaccination contre le coronavirus pour accéder à certains lieux, tels que les restaurants et les boîtes de nuit. En France, par exemple, les personnes doivent présenter un passeport de vaccination pour se rendre dans les cafés et les musées depuis août. C’est dans cette atmosphère que des chercheurs mettent en garde contre des criminels qui vendent de faux certificats de vaccination en ligne : certificats qui pourraient être en mesure de tromper le système européen conçu pour vérifier la validité des certificats. Un rapport publié la semaine dernière, intitulé "COVID-19 Vaccination Certificates in the Dark Web" indique que certains marchés du darknet continuent de vendre de prétendus certificats de vaccination destinés à être utilisés dans plusieurs pays. Quatre chercheurs (Dimitrios Georgoulias, Jens Myrup Pedersen, Morten Falch, Emmanouil Vasilomanolakis) qui font tous partie du groupe de cybersécurité de l'université d'Aalborg à Copenhague, au Danemark, ont examiné les offres de certificats de vaccination de 17 places de marché et de 10 boutiques de vendeurs. Les chercheurs ont découvert qu'au moins un vendeur semble vendre des certificats numériques qui sont considérés comme valides par les applications mobiles de vérification des certificats COVID-19 développées par la France et le Danemark.
Le fait que les marchés et les vendeurs du darknet vendent de faux certificats de vaccination ne devrait pas être une surprise. Les marchés du Darknet promettent depuis longtemps des étoiles aux clients. Beaucoup d'entre eux vendent tout, des drogues illégales aux armes à feu en passant par les fausses cartes d'identité et les outils de piratage. Cependant, la question de savoir s'ils peuvent tenir leurs promesses de manière fiable reste souvent ouverte. Peu de temps après le début de la pandémie de COVID-19, les marchés du darknet ont rapidement commencé à faire de la publicité pour des vaccins et des kits de dépistage du coronavirus, que les autorités ont qualifié de faux.
Les chercheurs de l'université d'Aalborg notent toutefois que de nombreux marchés darknet interdisent toute liste contenant des articles liés à la COVID-19. Mais d'autres, disent-ils, autorisent la vente de certificats de vaccination physiques et numériques et dans certains cas, de « cartes de vaccination jaunes » ou d'autres carnets de vaccination qui peuvent être utilisés comme preuve de vaccination, mais uniquement dans le pays où ils sont censés avoir été émis. « Les listes sont fortement axées sur les pays européens et les États-Unis, mais il existe également des listes provenant d'autres continents et pays, comme le Brésil, le Canada, le Mexique et l'Australie, ainsi que la Russie… Les prix diffèrent considérablement entre les différentes listes, le certificat le moins cher commençant à 39 dollars et le prix le plus élevé atteignant près de 2 800 dollars, qui comprenait à la fois un certificat physique et un certificat numérique, enregistré au Royaume-Uni », écrivent les chercheurs. La plupart des marchés acceptent les cryptomonnaies bitcoin et monero comme moyen de paiement, ajoutent-ils, tandis qu'un plus petit nombre accepte également des pièces numériques telles que l'ethereum, le cardano, le litecoin et le zcash.
Certificat numérique COVID de l'UE
La possibilité de tromper les systèmes de passeport numérique des pays pour qu'ils acceptent des preuves falsifiées de vaccination ou de guérison de la COVID-19 serait évidemment une évolution malvenue du point de vue de la santé publique. Toute personne ayant reçu un certificat de guérison, par exemple, est exemptée de nombreuses quarantaines ou de l'obligation de subir un test de dépistage pour voyager, et ce jusqu'à 180 jours après un résultat positif. Les États-Unis n'ont pas de système nationalisé de passeport numérique pour la vaccination contre la COVID-19, mais sept États ont développé leurs propres applications mobiles.
Un autre système a été mis au point par la Commission européenne : le certificat numérique COVID de l'UE. Disponible à la fois en format papier et numérique, il comprend un code QR qu'un lieu ou un établissement commercial peut scanner, afin de vérifier que la personne nommée a reçu les doses de vaccin spécifiées. À ce jour, 24 pays non membres de l'UE (dont Israël, la Norvège, la Suisse, le Royaume-Uni et la Cité du Vatican) font également partie du système de certificats verts numériques.
Comment fonctionne le certificat numérique européen COVID-19 ?
Le système repose sur une passerelle de certificats verts numériques « par laquelle toutes les signatures de certificats peuvent être vérifiées dans toute l'UE », selon un site Web de l'UE consacré au programme. Comme le notent les chercheurs de l'université d'Aalborg, le fonctionnement pratique est le suivant : un "service d'émission" pour chaque pays traite toutes les demandes provenant d'un "service de vérification" dans un pays où le titulaire du certificat est présent et tente de valider son certificat. Le système met en cache les clefs publiques utilisées dans ce système toutes les 24 heures, ce qui permet de vérifier les certificats même si une application n'est pas en ligne.
Des escroqueries très répandues
Les chercheurs de l'université d'Aalborg notent que l'achat d'un faux certificat numérique donne au vendeur l'occasion d'escroquer l'acheteur. Certains marchés du darknet, mais pas tous, comprennent un système de garantie et offrent un service de résolution des litiges au cas où un vendeur ne fournirait pas le bien ou le service promis. Mais les pages des vendeurs autonomes n'offrent pas de telles garanties. « Après que le paiement a été confirmé par la place de marché, le client doit fournir ses informations privées. Celles-ci varient en fonction du pays dans lequel le certificat est émis et peuvent inclure le nom complet, le pays, l'adresse, le numéro de sécurité sociale, l'état, le code postal et l'adresse e-mail. Ces informations, selon la plateforme, sont envoyées par différentes méthodes, les principales étant ProtonMail et les fonctions de messagerie propres aux plateformes...Toutes ces informations sont ensuite utilisées par les vendeurs pour créer le certificat COVID-19 valide », écrivent les chercheurs.
Mais combien d'entre eux fonctionnent ? Dans un cas, les chercheurs ont testé un échantillon de certificat répertorié sur un marché darknet et ont constaté qu'il avait été volé à un individu en France qui avait mis en ligne une image de son certificat de vaccination. Un tel certificat ne passerait pas l'inspection du monde réel.
Certaines offres peuvent fonctionner
Mais il est possible que toutes les offres ne soient pas des escroqueries. Dans certains pays, des certificats falsifiés, qui fonctionnent, auraient été émis par des médecins corrompus, par exemple en Bulgarie, rapporte le chercheur en sécurité Alexander Stanev.
Les chercheurs de l'université d'Aalborg indiquent également avoir trouvé au moins une boutique de fournisseurs qui semble avoir des "capacités de falsification avancées" qui pourraient fonctionner. Plus précisément, ils ont trouvé une vidéo YouTube non répertoriée, apparemment téléchargée par le site vendeur anonyme pour faire sa publicité, grâce à laquelle ils ont pu faire des captures d'écran des codes QR de démonstration présentés dans la vidéo, ainsi que voir un tableau de bord affichant 1 700 ventes. « Nous n'avons pas réussi à les vérifier tous en raison de problèmes de capture d'une image de haute qualité dans la vidéo, mais ceux que nous avons réussi à vérifier semblent être valides », écrivent les chercheurs, précisant qu'ils les ont vérifiés à l'aide d'applications de vérification de deux pays différents. « De plus, dans la vidéo, les vendeurs fournissent trois codes QR spécifiques à des fins de vérification, qui se sont également avérés valides… Les vendeurs soulignent le fait qu'ils ne conservent aucune des informations personnelles qui leur sont fournies par les clients, car ils n'ont aucune intention de monétiser ces données, et veulent fournir leurs services sans mettre en danger la vie privée de leurs clients ».
Si ces faux certificats COVID-19 peuvent effectivement passer pour des certificats valides, il reste une question sans réponse : comment ?
De nombreux sites prétendent avoir accès aux systèmes utilisés pour délivrer les certificats, soit en les piratant à distance, soit en ayant des initiés qui travaillent dans une organisation de santé ou autre, expliquent les chercheurs. « Dans le cas précis d'une annonce sur la place de marché russe Hydra, la description mentionnait même le lieu et l'hôpital exacts à partir desquels l'accès au système avait été effectué », précisent-ils.
Une autre possibilité, cependant, est que des criminels aient d'une manière ou d'une autre volé une ou plusieurs clefs privées pour le système européen, qui ont été délivrées aux organisations de santé participantes. Si tel est le cas, il serait difficile de révoquer ces clefs, affirment les chercheurs, car cela invaliderait également ce qui pourrait être une grande quantité de certificats légitimes.Là encore, il n'est pas certain que ce fournisseur ou d'autres aient la capacité d'usurper le système européen. Mais les chercheurs espèrent que leurs efforts « sensibiliseront à la situation et inciteront les autorités compétentes à examiner plus avant la sécurité des systèmes actuels d'émission de certificats ».
Sources : COVID-19 Vaccination Certificates in the Dark Web, Commission européenne
Et vous ?
Que pensez-vous de cette escroquerie qui prospère sur le dark web ?
Quel commentaire faites-vous du fait que des personnes se rendent sur ces places de marché pour effectivement acheter ces vaccins et documents falsifiés ?
Voir aussi :
L'UE enquête sur la fuite d'une clef privée utilisée pour falsifier des laissez-passer Covid, ce qui pourrait conduire à l'invalidation du passe sanitaire de millions d'Européens
Le Dark Web regorge de vaccins et de passeports vaccinaux covid-19, les annonces ont augmenté de plus de 300 % depuis janvier, selon Check Point
Les gens sont plus anti-vaccins s'ils obtiennent leurs infos covid-19 sur Facebook que sur Fox News, les fausses informations seraient relayées par des célébrités et des personnalités influentes
De faux certificats de vaccination Covid-19 commercialisés sur le Dark Web, ils peuvent tromper les applications mobiles de vérification développées par la France
Et être considérés comme valides
De faux certificats de vaccination Covid-19 commercialisés sur le Dark Web, ils peuvent tromper les applications mobiles de vérification développées par la France
Et être considérés comme valides
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !