La fin du pass sanitaire est peut-être arrivée dans toute l’EU ! Un ou plusieurs hackers ont pu récupérer les clés privées permettant de générer de faux QR codes aussi vrais que les vrais. C’est tout un système qui s’effondre ce jeudi 28 octobre…
La nouvelle est arrivée sur Tweeter avec un message du compte @lereveildatlas agrémenté d’un QR code avec des données très fantaisistes. Il s’agit en effet du pass sanitaire d’Aldof Hitler, né le 1er janvier 1900. On pourrait croire à une blague, mais non. En passant le code à TousAntiCovid Verif, nous sommes bien en présence d’un QR code valide. Selon le tweet, le site qui permet de gérer les certificats de l’appli contenait une vulnérabilité qui a permis de lancer une attaque brute force (l’essai de milliards de mots de passe un à un jusqu’à trouver le bon).
À l’heure actuelle on ne sait pas encore comment cela a été rendu possible, mais si le ou les pirates disposent des clés privées cela permettrait de générer des pass sanitaires aussi vrais que les vrais pour absolument toute l’Union européenne puisque ces choses-là sont bien sûr mutualisées.
Un véritable tremblement de terre !
Des faux pass sanitaires aussi vrais que les vrais
Bien sûr il reste encore à prouver qu’il ne s’agit pas d’une fuite locale, mais si le piratage était avéré, cela poserait plusieurs problèmes, notamment en ce qui concerne la validité des pass sanitaires de dizaines de millions d’individus puisqu’il serait impossible de faire le tri entre les « vrais-vrais » et les « faux-vrais ». On peut aussi se demander si ces les clés privées vont se retrouver dans la nature ou si le pirate a juste voulu démontrer une supériorité technique. Si c’est un « antipass », il y a des chances pour qu’on retrouve des « kits » assez rapidement et si c’est un pirate vénal, il tentera de monnayer sa découverte… On se pose encore la question du pass en lui-même puisque les autorités (police, douanes, etc.) disposent d’une appli TAC Verif plus détaillée que celle disponible pour le grand public. Les informations contenues dans ces faux pass vont-elles plus loin que la surface (nom, prénom, date de naissance). En d’autres termes, un faux pass sanitaire créé avec ces clés volées permettra-t-il de voyager sans être vacciné ?
Pourquoi la thèse du piratage est crédible ?
D’après les discussions sur GitHub, ces certificats frauduleux ne sont pas les seuls en circulation (on trouve aussi Bob l’Éponge et Mickey). Ces derniers seront sans doute révoqués puisqu’ils ont été rendus publics, mais cela porte forcément un sacré coup au système Green Pass qui harmonise la validité des QR code au niveau européen puisque ces pass sanitaires ont aussi été « validés » par les applications de vérification belges ou suisses par exemple.
Edit du 29/10/2021 : Les pass sanitaires de Adolf Hitler, de Bob l’Éponge et de Mickey Mouse ont bien été révoqués comme on pouvait s’y attendre. La conversation Github a été déplacé car il ne s’agissait pas d’un problème de spécification technique. Vous pouvez la retrouver ici. Selon BFMTV, le problème viendrait d’une faille en Macédoine du Nord (ex-ARYM). Alors que le pays n’est même pas dans l’UE, celui-ci fait partie du système Green Pass et sans qu’on sache pourquoi, il a été possible aux internautes locaux de signer un QR code avec des données privées depuis un site officiel émanant de ce petit pays d’Europe. Mais ce pays n’est pas le seul en cause puisqu’il a été démontré que d’autres pass valides ont été créés avec une clé privée polonaise. Si le « faux Adolf » a pu être repéré et révoqué, d’autres pass sanitaires non dévoilés peuvent donc se retrouver dans la nature sans être signalés. Le mystère reste encore entier, mais nous sommes sur le coup pour savoir d’où cela vient et s’il est encore possible de récupérer des pass valides en suivant ce filon. Car si c’est le cas, c’est bien la fin du « pass sanitaire » tel qu’on le connaît.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.