Archives par mot-clé : qr code

Pass Sanitaire : Comment pirater un QR Code ?

Depuis quelques mois la vente et l’utilisation de faux pass sanitaires est en train d’exploser en France et partout dans l’Europe.

Il n’est pas rare que des individus cherchent le moyen de contourner le dispositif de contrôle imposé par le gouvernement, qui semble pour certains un frein à leur liberté et à leurs libres arbitres. Par conséquent tous les moyens sont bons.

Cet article va aussi vous intéresser : Pass sanitaire : 2 méthodes pour se procurer un « vrai faux QR Code »

Du partage de QR Code, à l’achat de pas sanitaire falsifié en passant par des tentatives de piratage informatique, la résistance s’organise et continue d’agir. Mais on s’interroge légitimement sur la possibilité de pouvoir pirater et falsifier un QR Code. Est-ce que cet acte est tout simplement possible ? Si oui comment s’y prendre ? Par ricochet quelles pourraient être les conséquences de tels comportements ?

Dans cet article nous allons essayer de mettre au clair la possibilité de pirater un pass sanitaire.

Le pass sanitaire aujourd’hui est devenu obligatoire pour que le citoyen puisse accéder à des endroits publics. On parle notamment de restaurants, de lieux de divertissements ou de lieux culturels. Par conséquent, pour l’ensemble des personnes qui sont encore opposés aux vaccins pour des raisons déjà connues, un business de vente de pas sanitaire frauduleux s’est développé. Sur les réseaux sociaux ou sur des plateformes gérées par des pirates informatiques, notamment sur le Dark web et sur Telegram, il est possible de se procurer un faux QR code pour quelques centaines euros. Cependant, quelle est la valeur technologique de ces pass sanitaires. Aux yeux des outils de contrôle, sont-ils seulement authentiqués.

Pour les spécialistes, certains faux pass sanitaires sont technologiquement authentiques. C’est d’ailleurs pour cette raison qu’ils sont surnommés « Vrais faux pass sanitaire ». Ils remplissent toutes les conditions pour être validés lors d’un contrôle. Alors comment réaliser cet exploit informatique ?

Quelle technique de piratage informatique a-t-elle pu être la source de la production de ce faux QR Code ?

La réponse ne va pas plaire à tout le monde car, ce n’est pas véritablement du piratage informatique, du moins cette stratégie ne peut pas encore être développée. Pourquoi ce n’est pas de piratage informatique ? Tout simplement parce que ces « faux vrai pass sanitaires », qui semblent si vrais ont été ou sont conçus grâce à la complicité de certains professionnels de la santé ayant un accès direct au dispositif même de création de QR Codes. Ces derniers ne font que simuler une vaccination ou même des tests PCR négatif. En d’autres termes, cela ressemble beaucoup plus à de la malversation classique qu’à du piratage informatique.

En réalité, la technologie déployée pour la production des QR code du pass sanitaire est jusqu’à présent inviolée. En d’autres termes, elle n’a jamais été piratée. Du moins pour le moment.

Cette technologie porte le nom de 2D-Doc. Elle est gérée par l’Agence nationale des titres sécurisés en abrégé Ants. Son chiffrement est assez solide voir presque incassable. « Il n’existe pas de méthode technologique pour casser brutalement ce système, fondé sur des courbes elliptiques un peu comme dans le bitcoin », a souligné le directeur scientifique de Holiseum et expert de la cryptographie, Renaud Lifchitz.

Selon ce professionnel, pirater le QR code du pass sanitaire est « hautement improbable ».

Le dispositif mis en place pour sécuriser le pass sanitaire provient d’une technologie recommandée par la l’agence américaine de sécurité intérieure, la NSA ainsi que l’institut Américain des normes technologiques.

« Les smartphones dotés de ces applications ont une clé publique et peuvent vérifier que le document a été signé par le possesseur de la clé privée correspondante », explique Renaud Lifchitz. « C’est comme des pièces de puzzle qui s’imbriquent : si on fabrique un faux QR code, on aura deux pièces de puzzle qui ne s’assemblent pas », ajoute le professionnel.

Cependant, le risque zéro n’existe pas. En effet, dire que le piratage du pass sanitaire est impossible est quelque chose qui relève même de la méconnaissance du monde informatique. Comme dit le jargon, il y a toujours une faille dans le système. Dans notre cas d’espèce par exemple, la vulnérabilité majeure peut provenir d’une compromission de la clé privée dont dispose l’Assurance maladie. Une situation qui n’a rien d’impossible voir d’inédite. « Celui qui dispose de la clé privée peut signer autant de faux certificats qu’il le souhaite », note Renaud Lifchitz. « Comme c’est un élément sensible destiné à de la signature électronique, la clé privée est stockée dans un élément sécurisé : une carte à puce, un peu comme une carte bancaire », explique notre expert en cryptographie.

Vu que l’Assurance doit en permanence l’utiliser pour signer les données, la clé est connectée à un serveur. Un terminal connecté à Internet. Ce qui bien évidemment, dans tout les cas de figure possible ne sont pas une protection inviolable.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pass sanitaire : le QR code d’Emmanuel Macron piraté et publié en ligne

La semaine dernière déjà, il était d’actualité que le ministre Jean Castex a pu voir son pass sanitaire exposé sur les réseaux sociaux et surtout les médias en ligne.

Et pour cause, lors d’une apparition publique, il avait été pris en photo en train de présenter son QR code à un agent de contrôle. Alors grâce à cette photographie, il était possible de pouvoir accéder à l’ensemble des informations de son pass sanitaire. Informé par un expert de la sécurité informatique, ce dernier aurait immédiatement faire retirer toutes les photos qui mentionne cet état de fait.

Cet article va aussi vous intéresser : Pass sanitaire : 2 méthodes pour se procurer un « vrai faux QR Code »

Depuis hier maintenant, l’Élysée confirme dans une déclaration publique que le président français, Emmanuel Macron, avait été touché par le même problème de fuite sur internet. Et cela dans un contexte où son pass sanitaire était fortement circulation. Selon l’Élysée, il n’a pas encore été déterminé avec précision la manière dont le pass sanitaire du président de la République aurait pu être récupérer. Cependant, il est fortement envisagé la possibilité qu’une personne de mauvaise volonté aurait pu prendre en photo le QR code du président Emmanuel Macron. Bien sûr. « Le Président utilise son QR Code comme tout le monde », a signifié une source proche de la présidence à Europe 1. En d’autres termes, une situation ou le pass sanitaire du président peut être exposé n’est pas rare en soit.

Du côté de BFMTV, la principale raison qui aurait pu être la cause de cette violation et divulgation de données personnelles du président, une « faille déontologique de la part d’un ou de plusieurs professionnels de santé. ». En effet, ce sera la faute d’un ou plusieurs individus qui par négligence ou volontairement fait circuler le QR Code d’Emmanuel Macron selon la déclaration de la présidence.

« Cela vient de professionnels de santé qui, par malveillance ou par négligence, ont fait circuler ces données » avait observé une source proche du président français au journal le Monde.

Comme on le sait sûrement, depuis le début du mois de septembre, plusieurs professionnels de la santé accès aux données médicales des citoyens Français qui ont été vaccinés grâce à un organisme qui centralise les données vaccinales.

En ce qui concerne les données de vaccination de président français, officiellement il aurait été vacciné durant le mois de mai dernier. Pourtant à cause d’une erreur technique, cette date de vaccination aura été repoussé dans le registre officiel.

Dans la même lancée, on rappelle que l’Assistance publique – Hôpitaux de Paris avait déclaré qu’elle comptait porter plainte contre le piratage informatique subi par ses système d’informations. Une telle situation « a porté sur un service sécurisé de partage de fichiers hébergé et utilisé par l’AP-HP » qui est sollicité de manière ponctuelle. En effet, l’organisme avait aussi pour tâche de transmettre les données qui avait été analysé par les dispositif de suivi des cas contact à l’assurance maladie et aux agences régionales de santé.

On souligne que les fichiers contenant des données personnelles qui ont été touchés par cette cyberattaque pourraient concerner près de 1,4 millions de personnes.

Les informations individuelles qui sont en cause dans cette histoire sont notamment :

– des noms et des prénoms ;

– numéro de sécurité sociale ;

– des coordonnées des médecins ;

– des patients qui ont été testés ;

– des informations relatives aux tests.

Il semble que ces informations concernent des personnes qui ont presque toutes été testées durant la moitié de l’année 2020 en Île-de-France. Du côté du parquet de Paris, une enquête judiciaire a été ouverte. L’objectif est de découvrir l’origine de cette attaque informatique ainsi que les individus concernés. Les personnes touchées directement par ces incidents de sécurité devraient être informées par l’organisme public.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pass Sanitaire : Quelles sont les données contenues dans le QR Code

Avec la situation imposée par une nouvelle réglementation concernant le pass sanitaire, on a bel et bien l’impression que la vaccination est devenue quasi obligatoire pour être en mesure de se déplacer le plus librement possible.

Il est exigé depuis un moment le contrôle d’un pas sanitaire qui affiche un QR code permettant de déterminer le statut de vacciné ou non. Ce statut définit l’autorisation de pouvoir accéder à certains endroits publics ou non.  C’est d’ailleurs pour cela qu’il serait intéressant pour nous de nous intéresser à ce QR code et à son contenu.

En Europe par exemple, le QR code qui forme le pass sanitaire contiennent beaucoup d’informations de nature personnelle et sensible.

1- L’identité civile

Le QR Code contient des informations permettant d’identifier civilement un individu. En parlant notamment du nom, des prénoms et de la date de naissance. Malheureusement la technologie telle qu’elle a été conçue ne favorise pas le rétablissement un quelconque anonymat. Ce qui malheureusement peut pousser, bon nombre à rester sceptiques quant à l’utilisation de ce dispositif. Pourtant les premiers outils qui ont été développés au cours de la pandémie tel que le logiciel de de traçage par Bluetooth ne permettait pas d’avoir accès à l’identité de la personne concernée. C’était de même pour les QR code utilisé pour accéder au restaurant et au salle de sport ainsi que les barres.

Toutefois, Selon la République française : « Aucune donnée nominative n’est collectée […] Le QR code correspond à un identifiant crypté, il ne permet de retrouver ni le nom, ni l’adresse du lieu, ni l’identité du client. ».

Certains ont tendance à comparer la situation à une étape majeure vers la surveillance de masse à l’instar de ce que subit les Chinois. De façon objective, cela n’est pas si insensé. En effet dans l’éventualité où le gouvernement décide de transférer les résultats de scan vers un serveur central, la répercussion quand à la vie privée et la liberté de se mouvoir. Le gouvernement pourra alors traquer les citoyens à sa guise

2- L’état de santé

Le pass sanitaire n’est pas un simple laissez-passer. En effet, il n’a par exemple pas de date d’expiration. De plus, il contient des données de santé à savoir :

– votre situation de vaccination ;

– état de santé par rapport au Covid-19 ;

– la date du test s’il a été effectuée ;

– la date du vaccin s’il a été effectuée ;

– le nombre de doses reçues ;

– l’origine de vaccin ;

– le centre de vaccination ;

– la date de guérison ;

– etc…

On parle ici d’une panoplie de données de santé qui sont un peu trop intrusives dans un certain sens. Car à votre insu ces données pourront être largement interprétées.

Qu’en est-il de l’accès aux données ? c’est-à-dire qui peut voir et accéder à ces informations ?

Malheureusement, ces informations sont inscrites dans un QR code qui est protégé par aucun chiffrement. De ce fait, tous les tenants de restaurants de bars, de restaurants ou d’espaces publics mentionnés par la loi en vigueur en la matière, peuvent lire ces informations ainsi que leurs employés.

Si avant une femme n’était pas contrainte de dire à son employeur qu’elle était enceinte, Mais, avec le pas sanitaire n’importe qui peut avoir accès à vos données de santé et cela plusieurs fois dans la journée.

La situation alarme et beaucoup de ONG qui défendent les droits en matière du numérique réagissent. Particulièrement la Quadrature du net qui a fait une demande de référé au conseil d’État. Demande qui malheureusement fut rejetée.

Malgré tout cela il faut mentionner un point fort concernant la sécurité des QR Code. En effet, le dispositif étant conçu particulièrement. N’importe quelle application de lecture QR code ne peut le déchiffrer. Quoique, il n’est pas crypté pour autant. Il faut bien sur les dispositifs place par le gouvernement pour être en mesure de le déchiffrer.

Par ailleurs, étant une méthode de vérification qui est imposée, la question de savoir si elle peut être falsifiée, belle et bien s’impose. Avec le dispositif actuel établi dans l’ensemble de l’Union européenne, le QR code ne peut pas être falsifiée sauf avec l’aide d’un agent d’organisme public au service de la confection des QR Code. Et cela à cause d’une signature numérique particulière qui est affiliée à chaque dispositif du genre. Cette signature numérique est composée de deux clés cryptographiques. Une première privée qui se trouve dans les QR codes distribués. Et une seconde publique qui est présente dans les applications de vérification à travers l’Union européenne. C’est la réunion de cette des clés qui permettent d’authentifier sanitaire. Ce qui signifie qu’il est quasiment impossible pour une personne en dehors de système de générer un QR code qui passera inaperçu au lecteur.

« En cryptographie, on peut signer et vérifier un document. Cela permet de garantir qu’une personne ou un organisme l’a créé et que personne ne l’a modifié. L’organisme possède une clé numérique secrète pour le signer. Ensuite une autre clé publique accessible à tous permet de vérifier la signature. », explique François Jolain, journaliste IT.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le gouvernement Québécois ne portera pas plainte contre le hacker éthique Louis

Selon les raisons déclarations de Éric Caire, le ministre responsable de la transformation numérique Québécois, il n’a jamais été question de porter plainte contre le hacker éthique qui a permis la découverte d’une faille de sécurité au niveau des QR code du Pass vaccinal.

On rappelle que la semaine dernière, le collectif de hackers éthiques regroupés au sein du Hackfest avait déclaré qu’ils cesseront toutes collaborations avec le gouvernement québécois si ce dernier ne mettait pas en place et cadre réglementaire permettant de protéger les lanceurs d’alerte. À cela le ministre chargé de la transformation numérique de l’administration à signifier que à aucun moment, le gouvernement a eu l’intention de porter plainte contre ces derniers.

Cet article va aussi vous intéresser : Le gouvernement canadien abandonné par les hackers éthiques

Rappelons que la semaine dernière, 2 groupes de spécialistes de la sécurité informatique avaient informé le gouvernement de la présence de failles de sécurité dans le système de vérification des passeports vaccinal implémenté par des QR code. Le premier groupe avait réussi de télécharger illicitement des QR codes contenant des informations du premier ministre et plusieurs élus de l’Assemblée nationale. Grâce à cet exploit ils ont pu mettre la main sur plusieurs informations personnelles de leur cible.

Le lendemain, un autre pirate, sous le pseudonyme « Louis », a fait part de sa découverte lors d’un reportage accordé à Radio-Canada. Ce dernier avait découvert une faille de sécurité qui permettait de forger des QR code de toute pièce. De la sorte, une personne qui pouvait faire cela, était en mesure de contourner les mesures de vérification qui devrait être mis en application par le gouvernement. Bien évidemment la faille de sécurité a été colmatée.

De son côté le collectif des spécialistes de sécurité informatique, le Hackfest a immédiatement informé le gouvernement de l’ensemble des failles de sécurité découverte. L’organisation a aussi mis en avant sa volonté de ne plus collaborer avec le gouvernement, parce que le ministère de la Santé et des Services sociaux avait déjà porté plainte contre le groupe, pour téléchargement illicite de QR codes, en désignant le numéro d’assurances des personnes ciblées. « Tous les professionnels qui travaillent avec nous font ça pour le plaisir d’aider le gouvernement et pour améliorer la sécurité de nos données. D’ici à ce qu’il y ait un processus officiel pour rapporter ces failles, nous ne collaborerons plus avec le gouvernement. Personne ne veut se faire ramasser en justice parce que le gouvernement n’a pas envie de collaborer avec ces gens-là. », indique le cofondateur du HackFest, Patrick Mathieu.

De son côté, le ministre Éric Caire soutien : « Cette histoire me dépasse. J’ai vérifié plusieurs fois et il n’y a personne, ni au ministère de la Santé et des Services sociaux ni à la Sécurité publique, qui a annoncé avoir l’intention de déposer une plainte contre “Louis” ».

un hacker éthique sur son ordinateur en train de trouver des failles

Selon lui, le pirate informatique avait même envoyé un courrier pour demander une garantie de l’immunité. Chose que le gouvernement refuse en effet de lui accorder. Sûrement, c’est cette situation qui explique la réaction de la communauté de spécialiste en sécurité informatique selon le ministre Caire. « Une lettre d’immunité, tu donnes ça à un criminel qui accepte de collaborer avec l’État, et qui s’assure de ce fait de ne pas avoir à faire face aux gestes illégaux qu’il a posés. “Louis” n’est pas dans cette situation. Il n’a pas posé de geste illégal. Le HackFest n’a jamais eu de lettre d’immunité quand ils ont collaboré avec nous par le passé. Ils n’ont jamais eu de problèmes, et ils n’en auront pas dans le futur. », insiste le ministre.

Cependant, le ministre de la transition de mérite pas de soulève le fait qu’il estime que les pirates informatiques avaient exagéré dans leur dynamique de vouloir révéler les méthodes permettant de télécharger illégalement les QR codes des élus de l’Assemblée nationale en devinant seulement le numéro d’assurance maladie. Pour eux ils ont forcément voulu absolument démontrer qu’il y avait une faille de sécurité, chose qu’il n’arrive pas à digérer.

« Le geste a été nuisible. Ils ont insécurisé tout le monde, au fond, pour dévoiler comment télécharger illicitement un code QR dont les renseignements sont pour la plupart publics », déclare M. Caire.

Malgré cela, il avoue être totalement ouvert à l’idée de mettre en place un cadre réglementaire pour convenable pour favoriser la divulgation de faille de sécurité pour gouvernement pour que cela ne puisse pas à la longue porter atteinte au à cœur qui procèdent à ses activités. Il envisage même la possibilité de souvent versées les primes aux informaticiens qui les aideront trouver des failles de sécurité dans leurs différents systèmes informatiques, chose qui est assez courant dans le secteur d’ailleurs, « mais il y a beaucoup de choses à considérer d’un point de vue légal pour que de telles primes prennent forme », souligne le ministre.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Québec : Plusieurs politiciens et journalistes voit le QR code du Pass Vaccinal piratés

Récemment grâce à un exploit informatique, hacker a réussi à dérober des informations contenues dans le QR code du Pass Vaccinal de plusieurs politiciens.

Parmi lesquels figure le premier ministre François Legault, et d’autres membres du gouvernement.

Le hacker a réussi cet exploit en se servant tout simplement des informations qui étaient disponibles sur Internet et un logiciel de chiffrement qui peut être téléchargeable par n’importe qui. Grâce à cela il a pu mettre la main sur le numéro d’assurance maladie des personnes qu’il a ciblées ainsi que d’autres informations contenues dans les précieuses QR code du gouvernement.

Cet article va aussi vous intéresser : La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec

Des informations qui selon la loi d’accès à l’information sont classifiées personnelles.

La tâche du pirate informatique a notamment été facilitée par le fait que plusieurs personnes qui ont été ciblées par ce piratage informatique avaient eux même publié leur lieu et date de vaccination.

De la sorte, le premier ministre François Legault, le ministre de la Santé Christian Dubé ainsi que le ministre délégué à la transformation numérique monsieur Éric Caire font partie des victimes de ce piratage informatique. Pourtant ce dernier avait même mentionné lors d’une déclaration publique que le fameux QR code ne peut-être en est copié ni falsifié.

Parmi les victimes nous avons des députés de l’opposition, de célèbres chroniqueurs sans oublier des politiciens et personnalités municipales.

« Le nom, prénom, date de naissance, lieu de vaccination… C’est facile à obtenir. Ce sont des informations mal sécurisées. Tu peux ainsi télécharger le code QR de n’importe qui », a expliqué la source de cette agitation. Elle ajoute par ailleurs que le site internet facilite grandement le piratage du Pass Vaccinal par de mauvaise configuration de sécurité.

« Si on a le bon [numéro] d’assurance maladie, ça nous dit si la date n’est pas bonne », ajoute cette dernière. Il sera même possible de multiplier les requêtes sans même qu’il y a un obstacle pour le stopper.

En d’autres termes en se référant aux déclarations de plusieurs les experts de la cybersécurité, des personnes qui n’ont pas reçu le vaccin pourraient aisément se fabriquer de fausses identités pour contourner les protections établies par le Pass sanitaire qui sont censés normalement entrée en vigueur à partir du 1er septembre.

« Le système n’empêchera personne de voler l’identité de quelqu’un d’autre s’il le désire vraiment. Il s’agit simplement de télécharger le code de quelqu’un qu’on connaît – qu’on a assez d’information – et faire une fausse carte étudiante ou autre », a déclaré Patrick Mathieu, expert en sécurité de l’information et cofondateur du Hackfest, une communauté d’expert en cybersécurité

« Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu’un d’autre et d’usurper son identité. », ajoute ce dernier.

Le bureau d’enquête n’a pas tardé à informer le cabinet du premier ministre de la situation. Ils ont promis de prendre des mesures nécessaires et quand même déposer de manière officielle une plainte auprès de la police.

« Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative », a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves.

Selon un spécialiste de la cybersécurité, Steve Waterhouse, le gouvernement a manqué à son devoir de consulter des spécialistes en matière de sécurité de l’information avant même de penser à la distribution des codes QR au grand public.

« C’est un déploiement qui a manqué de vérification de base en cybersécurité, de la conception de la solution à sa mise en service », a souligné ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage