Le pass sanitaire n'existe plus, mais deux faussaires font actuellement face au juge de la 13ᵉ chambre du tribunal judiciaire de Paris pour avoir écoulé plus de 117 000 faux pass sanitaires, récupérés à partir de techniques de piratage bien rodées.
Instauré le 31 mai 2021, le dispositif du pass sanitaire a été arrêté le 1ᵉʳ août 2022. Entre-temps, de nombreux faussaires ont profité de la peur des piqûres ou du rejet d'une partie de la population pour générer et vendre de faux pass sanitaires. Un moyen pour les acheteurs de se soustraire aux mesures mises en place, et pour les faussaires de profiter de la situation. Malheureusement pour les faussaires et les pirates, une partie d'entre eux a été retrouvée et sont désormais jugés.
De la curiosité au trafic massif de faux pass
A l'origine, on retrouve Dylan et Morad, deux jeunes lyonnais ayant tantôt perdu leur emploi à cause de la crise sanitaire, tantôt à cause d'un échec à la très contestée épreuve de la piscine d'Epitech. Dans un local qu'ils louent, ils apprennent par une connaissance, pourtant éloignée du milieu du piratage informatique, qu'il est assez facile de récupérer des accès pour ensuite générer de faux pass sanitaires.
Intrigués, les deux pirates étudient la documentation d'e-CPS, application dédiée aux professionnels de santé et permettant d'accéder aux services numériques. Ils découvrent donc que s'ils obtiennent les accès aux comptes enregistrés, ils pourront générer les QR codes des pass sanitaires.
Il suffit ensuite de détourner l'envoi des demandes de validation en se connectant au site de l'ordre des infirmiers ou des médecins, deux plateformes qui, selon les accusés, ne disposent d'aucune sécurité digne de ce nom. Selon ZDNET, un seul compte, laissé à l'abandon par un cadre infirmier suite à une formation, aurait généré à lui seul plus de 54 000 QR codes valides sur les 117 000 qui leur sont imputés.
Derrière le trafic, un accès facilité aux informations volées
La technique présentée par la connaissance de Morad et Dylan est en réalité dérivée de la fatigue MFA, une stratégie ciblant les processus d'authentification et visant notamment à dérouter une potentielle victime afin que, agacée, elle finisse par cliquer sur un lien vérolé. Une fois le plan de piratage établi, les deux compères se sont rendus sur Genesis Market, plateforme démantelée au printemps sur laquelle on retrouvait de nombreuses données volées et revendues par d'autres pirates.
Ils y ont loué un certain nombre de comptes e-CPS à 25 dollars pièce, permettant la génération plus de 117 000 faux pass. Un coût d'environ 3 000 dollars par semaine, largement compensé par le résultat, même s'ils se défendent d'avoir généré eux-mêmes les QR codes. D'autres groupes de pirates se sont rapidement intéressés aux pass sanitaires, de même que d'autres plateformes tirant parti de l'essor des infostealers.
Leur projet prendra fin en janvier 2022, lorsque deux enquêtes, menées par la gendarmerie de Poitiers et la PJ de Lyon, ont permis de remonter jusqu'à eux. Le procès prendra fin le 30 novembre, et ils risquent gros. En février dernier, quatre personnes ont été condamnées à des peines allant jusqu'à quatre ans de prison pour avoir vendu environ 11 000 faux pass.
Source : ZDNET
