DarkWeb : le marché des pass sanitaires frauduleux explose

L’hiver est arrivé en France et en Europe, et avec lui une nouvelle vague d’infections Covid-19. Celle-ci est tellement brutale que certains pays envisagent désormais d’instaurer une obligation vaccinale accompagnée de nouvelles restrictions de liberté. Mais cette situation, fort déprimante, fait aussi des heureux. Les malfrats spécialisés dans la vente de faux pass sanitaires doivent bien se frotter les mains, car les millions d’Européens qui ne veulent pas se faire vacciner seront peut-être tentés par cet achat illicite, afin de préserver leur liberté de mouvement.

En France, en tous les cas, le problème commencent à faire du bruit. Selon le ministère de l’Intérieur, environ 110 000 pass sanitaires circuleraient dans l’Hexagone. Quatre cent enquêtes ont été ouvertes et une centaine de personnes interpellées.
Ce phénomène prend-il de l’ampleur ? Visiblement oui, car il suffit de faire un tour sur le DarkWeb pour voir que l’offre explose. Un groupe de chercheurs de l’université Aalborg, de Copenhague, vient d’écumer ce Web parallèle à la recherche de faux certificats.
Ils ont trouvé ces précieux sésames sur 17 places de marché et dans 10 boutiques individuelles (« vendor shop »). La précédente étude de ce type date d’avril 2021. À cette époque, seuls cinq points de vente avaient pu être détectés.

Cette tendance n’est pas vraiment une surprise. En août dernier, les experts de Checkpoint avaient, eux aussi, signalé une forte croissance du nombre de points de vente et des canaux de promotion (Telegram, Snapchat, WhatsApp), avec des groupes de discussion qui agrègent parfois des centaines de milliers de personnes.

La nouvelle étude de l’université de Copenhague montre que l’offre de marché est désormais archicomplète. Les vendeurs proposent des certificats pour presque tous les pays, et notamment ceux de l’Union européenne. Certaines spécificités nationales sont également couvertes, comme les carnets de vaccination allemands sur papier jaune ou les certificats américains estampillés CDC sur papier blanc.

Mais le produit le plus demandé, c’est probablement le QR Code européen qui, en cas d’achat, sera livré par e-mail sous format PDF. Les tarifs sont très variables, allant de 39 à 2 800 dollars. Ce maximum a été vu pour un certificat numérique et physique d’origine britannique. Les paiements se font généralement en bitcoins ou moneros. Il est évidemment très difficile de savoir s’il s’agit ou non d’arnaques. Personne ne connaît l’identité du vendeur et les commentaires d’acheteurs laissés sur les sites ne sont pas forcément très dignes de confiance.

Mais, dans un cas, les chercheurs ont pu vérifier que les certificats proposés étaient bel et bien valides. Le vendeur, en effet, s’est donné la peine de réaliser une vidéo YouTube dans laquelle il montre en quelque sorte son « atelier de fabrication ».
On y voit de faux certificats fraîchement créés et dont la validité a pu être vérifiée par les chercheurs. Le vendeur a même montré l’interface de son logiciel de contrefaçon. On pouvait y distinguer plus de 1 700 ventes réalisées. Avec un tarif de 250 euros par certificat, cela équivaut à un chiffre d’affaires de plus de 400 000 euros. Clairement, ces gens se remplissent les poches sur le dos de la sécurité sanitaire collective.

Mais comment ce vendeur peut-il créer des certificats valides ? Il faut rappeler ici que le certificat Covid-19 n’est rien d’autre qu’un ensemble de données — nom, prénom, date de vaccination, type de vaccin… – qui sont signées de façon électronique par la clé privée de l’organisme de délivrance. Ce dernier peut être un hôpital, un centre de test, une autorité sanitaire, etc. En théorie, cette signature garantit l’intégrité des données et authentifie l’auteur. Mais force est de constater que ce n’est pas toujours vrai.

Il existe trois moyens de contourner cette sécurité. Le premier, c’est la fuite d’une clé privée. C’est assez peu probable, car toutes les clés privées des organismes de délivrance sont stockées de façon centralisée dans une base de données nationale que l’on suppose très sécurisée. Le deuxième moyen est un accès illégitime au logiciel que l’organisme de délivrance utilise pour signer les données d’une personne vaccinée.

La complicité, principale faille dans le système

Ce cas est arrivé il y a un mois. Des internautes ont réussi à créer des certifications au nom d’Adolf Hitler, de Mickey Mouse et de Bob l’Éponge, en profitant d’un accès « open bar » au serveur d’un organisme de délivrance.
Depuis, la faille a été comblée et les certificats faussement créés ont été révoqués. Si vous scannez les QR Code d’Adolf Hitler, de Mickey Mouse et de Bob l’Éponge, il s’affichera désormais en rouge la mention « certificat frauduleux ».

Le troisième moyen, sans doute le plus probable, c’est la complicité d’une personne disposant d’un accès légitime au logiciel de signature. Avec ce mode opératoire, le vendeur sur le DarkWeb récolte les données personnelles nécessaires auprès de son client et les transmet à ce complice qui se charge de générer le certificat Covid. Tant que le pot aux roses n’est pas découvert, il est impossible de distinguer un certificat frauduleux d’un certificat légitime.
Cette difficulté a d’ailleurs été confirmée par le ministre de l’Intérieur, Gérald Darmanin.

« Le problème des faux pass sanitaires c’est que c’est souvent en complicité avec de vrais médecins ou de vraies infirmières. C’est très difficile à prouver », a-t-il déclaré auprès de l’AFP.

Pour autant, il n’est pas impossible de trouver ces fraudeurs. Fin novembre, la Guardia di Finanza italienne a arrêté plusieurs personnes qui vendaient des certificats frauduleux avec la complicité présumée de personnel de santé. Le prix demandé était environ d’une centaine d’euros, avec la mention « satisfait ou remboursé ».
Le gang utilisait plus d’une trentaine de groupes Telegram pour promouvoir leur offre. Les enquêteurs italiens ne révèlent pas comment ils ont réussi à l’identifier. On sait juste qu’ils se sont appuyés, entre autres, sur des outils d’analyse de l’éditeur russe Group-IB.

En France, le gouvernement dit avoir découvert à ce jour 11 000 faux pass sanitaires, sans que l’on sache s’ils ont été vendus par le darkweb, les réseaux sociaux ou un autre canal. Il rappelle que la peine pour l’utilisation d’un tel document contrefait peut aller jusqu’à 5 ans de détention.

D’ailleurs, « des condamnations ont déjà été prononcées, des prisons avec sursis, parfois de la prison ferme », souligne Gérald Darmanin.

« Non, il est bien construit et résilient. Ce n’est pas un problème technique, mais un problème humain. Et par ailleurs, aucun système ne peut être parfait à 100 % », nous explique Emmanouil Vasilomanolakis, professeur à l’université Aalborg et co-auteur de l’étude sus-citée.

« Les faux codes QR observés jusqu’à présent sont principalement dus à des activités illégales, telles que l’utilisation illicite de codes d’identification pour générer les certificats ou le vol d’identités. Ils ne sont pas générés par une défaillance technique du système européen de certificat numérique Covid, et il n’existe aucune preuve de compromission des clés cryptographiques utilisées pour générer des codes QR légaux », nous explique un porte-parole.

Par ailleurs, la Commission minimise le phénomène, estimant qu’il s’agit « d’un phénomène négligeable par rapport aux plus de 740 millions de certificats qui ont été émis ».
Cet avis ne s’appuie malheureusement sur aucun décompte précis. L’ampleur réelle du phénomène est donc difficile à évaluer. Histoire de ne pas rester les bras ballants, la Commission planche quand même sur un système de révocation des certificats au niveau de l’Union, ce qui permettra d’agir plus vite lorsqu’une fraude est révélée. Actuellement, les révocations se font seulement au niveau national.