Les fournisseurs du Darknet ont très vite identifié le besoin mondial de vaccins contre le Covid-19 et de preuves d’immunisation associées. Ils ont réussi à créer de toutes pièces un nouveau marché clandestin pour le commerce de certificats de vaccination numériques, qui s’infiltre notamment dans le certificat Covid de l’UE. C’est la conclusion à laquelle sont parvenus quatre chercheurs danois en sécurité informatique dans une étude qui vient d’être publiée.
L’étude est ce que l’on appelle un preprint. D’autres scientifiques n’ont donc pas encore vérifié les résultats. Selon l’analyse, les revendeurs Darkweb correspondants exploitent à grande échelle « le manque de confiance d’une partie de la population mondiale » dans les vaccins disponibles contre le Covid-19 ainsi que le mécontentement de certaines personnes concernées par les restrictions Corona pour les personnes non vaccinées.
Sommaire
Des fournisseurs ont piraté des systèmes de certificats ou disposaient d’initiés
L’équipe du groupe de cybersécurité de l’université d’Aalborg à Copenhague a examiné les offres de certificats de vaccination sur 17 places de marché et dix points de vente plus petits sur des plateformes darknet. « Nous avons réussi à découvrir un certain nombre de certificats que nous pouvons vérifier », écrivent les auteurs. Selon eux, cela soulève la question de savoir si des personnes mal intentionnées ont accès aux systèmes de santé publics qui délivrent de tels certificats. Au moins un fournisseur aurait apparemment vendu des certificats numériques EU-Covid enregistrés en Italie. Ceux-ci ont été reconnus comme valides par des applications de contrôle en France et au Danemark.
Selon l’analyse, de nombreux fournisseurs affirment avoir piraté les systèmes de certificats quasiment à distance ou disposer d’initiés travaillant dans un établissement de santé tel qu’un centre de vaccination ou des pharmacies et ayant abusé de leurs interfaces. Selon eux, cela n’est pas toujours compréhensible : il s’agit souvent de purs faux non valables et donc d’une double fraude.
Clés officielles volées – blocage difficile
Dans un cas concret d’une offre sur la place de marché russe Hydra, la description indiquait même « l’emplacement exact et l’hôpital » à partir desquels le système était accessible », expliquent les chercheurs. Une autre possibilité serait que des criminels aient volé une ou plusieurs clés privées pour le système européen, clés qui auraient été distribuées aux établissements de santé affiliés. Il serait alors difficile de révoquer ces clés, car cela invaliderait également un grand nombre de certificats légitimes.
Dans la partie ouverte d’Internet, sur le Darknet ainsi que sur Telegram, des certificats de vaccination falsifiés sont déjà apparus à plusieurs reprises, parfois au nom de Mickey Mouse, de Bob l’éponge ou même d’Adolf Hitler. L’Office fédéral suisse de l’informatique et de la télécommunication (OFIT) a déclaré fin octobre qu’il pouvait désormais bloquer de tels certificats dans le cadre d’une vérification en ligne. La signature électronique des certificats suisses Covid serait infalsifiable. Mais pour lutter systématiquement contre les fausses preuves, il est important que les Etats concernés fassent retirer les clés de signature correspondantes de la liste des trusts de l’UE.
Le ministère fédéral de la Santé allemand aurait également trouvé une solution de blocage. Les deux autorités restent discrètes sur le fonctionnement de la méthode utilisée.
Jusqu’à 2800 dollars US pour un certificat
Selon la nouvelle étude, les offres se concentrent surtout sur les pays européens et les Etats-Unis, où certains Etats fédéraux misent sur les certificats Covid. Mais il existe également des offres pour le Brésil, le Canada, le Mexique, l’Australie et la Russie. Les prix varient fortement, le certificat le moins cher commençant à 39 dollars US et le plus cher s’élevant à près de 2800 dollars US. Ce dernier comprenait à la fois un certificat physique et un certificat numérique enregistré au Royaume-Uni. Au moins une boutique clandestine a montré trois codes QR spécifiques dans une vidéo et a fait état de plus de 1700 ventes.
Selon les auteurs, la plupart des marchés acceptent les crypto-monnaies Bitcoin et Monero. Un nombre plus restreint accepte également Ethereum, Cardano, Litecoin et Zcash. Les chercheurs espèrent que ces résultats permettront de faire prendre conscience de la situation. Les autorités compétentes devraient continuer à étudier la sécurité des systèmes actuels de délivrance des certificats de vaccination.
Dans ce pays, le tribunal régional d’Osnabrück avait trouvé début novembre une faille dans la responsabilité pénale. Les juges ont estimé que les personnes qui présentaient un faux certificat de vaccination dans une pharmacie pour obtenir un certificat de vaccination numérique n’étaient donc pas punissables. Les groupes parlementaires de l’Ampel se sont ensuite mis d’accord pour améliorer le code pénal. L’exposé des motifs de la loi stipule que les certificats de santé, tels que les carnets de vaccination, sont en règle générale des documents officiels. Le délit de falsification de documents s’applique donc. La peine encourue peut aller jusqu’à cinq ans de prison. Est également punissable toute personne qui remplit des carnets de vaccination vierges avec des inscriptions incorrectes et qui prépare une falsification.