Pass Sanitaire : Comment pirater un QR Code ?

Depuis quelques mois la vente et l’utilisation de faux pass sanitaires est en train d’exploser en France et partout dans l’Europe.

Il n’est pas rare que des individus cherchent le moyen de contourner le dispositif de contrôle imposé par le gouvernement, qui semble pour certains un frein à leur liberté et à leurs libres arbitres. Par conséquent tous les moyens sont bons.

Cet article va aussi vous intéresser : Pass sanitaire : 2 méthodes pour se procurer un « vrai faux QR Code »

Du partage de QR Code, à l’achat de pas sanitaire falsifié en passant par des tentatives de piratage informatique, la résistance s’organise et continue d’agir. Mais on s’interroge légitimement sur la possibilité de pouvoir pirater et falsifier un QR Code. Est-ce que cet acte est tout simplement possible ? Si oui comment s’y prendre ? Par ricochet quelles pourraient être les conséquences de tels comportements ?

Dans cet article nous allons essayer de mettre au clair la possibilité de pirater un pass sanitaire.

Le pass sanitaire aujourd’hui est devenu obligatoire pour que le citoyen puisse accéder à des endroits publics. On parle notamment de restaurants, de lieux de divertissements ou de lieux culturels. Par conséquent, pour l’ensemble des personnes qui sont encore opposés aux vaccins pour des raisons déjà connues, un business de vente de pas sanitaire frauduleux s’est développé. Sur les réseaux sociaux ou sur des plateformes gérées par des pirates informatiques, notamment sur le Dark web et sur Telegram, il est possible de se procurer un faux QR code pour quelques centaines euros. Cependant, quelle est la valeur technologique de ces pass sanitaires. Aux yeux des outils de contrôle, sont-ils seulement authentiqués.

Pour les spécialistes, certains faux pass sanitaires sont technologiquement authentiques. C’est d’ailleurs pour cette raison qu’ils sont surnommés « Vrais faux pass sanitaire ». Ils remplissent toutes les conditions pour être validés lors d’un contrôle. Alors comment réaliser cet exploit informatique ?

Quelle technique de piratage informatique a-t-elle pu être la source de la production de ce faux QR Code ?

La réponse ne va pas plaire à tout le monde car, ce n’est pas véritablement du piratage informatique, du moins cette stratégie ne peut pas encore être développée. Pourquoi ce n’est pas de piratage informatique ? Tout simplement parce que ces « faux vrai pass sanitaires », qui semblent si vrais ont été ou sont conçus grâce à la complicité de certains professionnels de la santé ayant un accès direct au dispositif même de création de QR Codes. Ces derniers ne font que simuler une vaccination ou même des tests PCR négatif. En d’autres termes, cela ressemble beaucoup plus à de la malversation classique qu’à du piratage informatique.

En réalité, la technologie déployée pour la production des QR code du pass sanitaire est jusqu’à présent inviolée. En d’autres termes, elle n’a jamais été piratée. Du moins pour le moment.

Cette technologie porte le nom de 2D-Doc. Elle est gérée par l’Agence nationale des titres sécurisés en abrégé Ants. Son chiffrement est assez solide voir presque incassable. « Il n’existe pas de méthode technologique pour casser brutalement ce système, fondé sur des courbes elliptiques un peu comme dans le bitcoin », a souligné le directeur scientifique de Holiseum et expert de la cryptographie, Renaud Lifchitz.

Selon ce professionnel, pirater le QR code du pass sanitaire est « hautement improbable ».

Le dispositif mis en place pour sécuriser le pass sanitaire provient d’une technologie recommandée par la l’agence américaine de sécurité intérieure, la NSA ainsi que l’institut Américain des normes technologiques.

« Les smartphones dotés de ces applications ont une clé publique et peuvent vérifier que le document a été signé par le possesseur de la clé privée correspondante », explique Renaud Lifchitz. « C’est comme des pièces de puzzle qui s’imbriquent : si on fabrique un faux QR code, on aura deux pièces de puzzle qui ne s’assemblent pas », ajoute le professionnel.

Cependant, le risque zéro n’existe pas. En effet, dire que le piratage du pass sanitaire est impossible est quelque chose qui relève même de la méconnaissance du monde informatique. Comme dit le jargon, il y a toujours une faille dans le système. Dans notre cas d’espèce par exemple, la vulnérabilité majeure peut provenir d’une compromission de la clé privée dont dispose l’Assurance maladie. Une situation qui n’a rien d’impossible voir d’inédite. « Celui qui dispose de la clé privée peut signer autant de faux certificats qu’il le souhaite », note Renaud Lifchitz. « Comme c’est un élément sensible destiné à de la signature électronique, la clé privée est stockée dans un élément sécurisé : une carte à puce, un peu comme une carte bancaire », explique notre expert en cryptographie.

Vu que l’Assurance doit en permanence l’utiliser pour signer les données, la clé est connectée à un serveur. Un terminal connecté à Internet. Ce qui bien évidemment, dans tout les cas de figure possible ne sont pas une protection inviolable.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage