Adolf Hitler, Bob l'éponge : de faux pass sanitaires européens valides créés grâce à des clés privées légitimes, l'UE enquête

Publié le 29 octobre 2021 à 10h16

Plusieurs utilisateurs ont rapporté avoir vu des clés privées légitimes, utilisées pour créer des pass sanitaires européens, mises en vente sur Telegram et des forums.

À l'aide de ces clés privées provenant de plusieurs pays européens, il est possible de créer des pass sanitaires considérés comme valides par les applications officielles.

Des pass sanitaires pour Adolf Hitler ou Bob l'éponge

Adolf Hitler, Bob l'éponge, Mickey Mouse… Depuis quelques jours, ils ont une chose en commun : posséder un pass sanitaire européen valide à leur nom. C'est en tout cas ce qui est rapporté par @reversebrain sur Twitter et par des utilisateurs sur GitHub, qui ont rendu publics ces pass sanitaires farfelus. Mais, au-delà de la « blague », leur existence signifie que les clés privées de plusieurs organismes dans plusieurs pays européens ont été compromises.

...

Pour qu'un pass sanitaire soit considéré comme valide, il faut que le QR code contienne une signature électronique reconnue, créée à partir d'une clé privée. Chaque organisme habilité à fournir un pass sanitaire possède sa propre clé privée, et l'ensemble de ces clés est stocké dans une base de données dans chaque pays. Par la suite, lors du scan du pass avec une application officielle, la signature est vérifiée et validée.

Dès le 26 octobre, @reversebrain rapportait l'existence d'un pass sanitaire attribué à Adolf Hitler et validé comme légitime par l'application officielle italienne Verifica C19. Le 27, un utilisateur de GitHub a alerté sur la vente de plusieurs faux pass sanitaires sur Telegram, tous créés à partir de clés privées légitimes. Un autre utilisateur y a posté des QR codes de pass attribués au dictateur et à des personnages de fiction ainsi que les résultats obtenus lors de leur scan. Toutes les signatures semblent légitimes et proviennent de pays européens différents.

L'Union européenne enquête

Sur les forums underground, des clés privées sont postées, et plusieurs personnes proposent leurs services pour créer de faux pass sanitaires européens valides. Si tout semble indiquer qu'une fuite de clés a eu lieu, il n'est pas encore possible de savoir précisément ce qu'il s'est produit et à quel point le phénomène étendu. D'après les signatures électroniques sur les faux pass, la France, l'Allemagne, l'Italie, les Pays-Bas, la Macédoine du Nord et la Pologne au moins seraient touchées, ce qui laisse penser que la plupart des pays européens pourraient l'être aussi.

« Nous sommes au courant des manipulations frauduleuses présumées du QR code du pass sanitaire européen et nous avons vu les rapports. […] En priorité, nous suivons de près l'évolution de cet incident et sommes en contact avec les autorités compétentes des États membres qui enquêtent et mettent en place des mesures correctives », a déclaré un porte-parole de l'Union européenne à BleepingComputer.

La solution la plus simple, qui consiste à révoquer les clés privées compromises, pourrait avoir des répercussions sur les détenteurs de véritables pass sanitaires créés à partir de ces clés. Cependant, il semblerait qu'une solution ait été trouvée dans certains cas, puisqu'une partie des pass sanitaires créés pour Adolf Hitler ou pour des personnages fictionnels ne sont plus reconnus par les applications officielles.

Source : BleepingComputer

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

bennukem

Donc si tu t’appelles Adolf Hitler et que tu es vacciné, tu es encore plus dans la mouise

Vanilla

C’est un énorme foutage de gueule cette histoire de pass sanitaire, de vaccin quasi obligatoire pour travailler ou aller au cinéma, et on parle même de se faire vacciner CHAQUE ANNÉE. Sans compter le prix prohibitif des tests PCR pour les états depuis le début de la pandémie, qu’on demande de renouveler toutes les 72h !

Mais qu’est ce qu’ils sont contents les laboratoires, une telle manne INFINIE d’argent, même dans leur rêves les plus fous de films catastrophes de fin du monde, il n’aurait jamais pensé à ça !!

Thibaut_LM

Kamoulox !

_Troll

Si Adolf Hitler est vaccine, c est que le pass sanitaire fait tres fureur !

Biggs

… et on parle même de se faire vacciner CHAQUE ANNÉE.

Comme la grippe, quoi.

Sans compter le prix prohibitif des tests PCR pour les états depuis le début de la pandémie, qu’on demande de renouveler toutes les 72h !

Les tests PCR toutes les 72h ne concernent QUE les personnes qui refusent encore le vaccin. Ça coûte effectivement une blinde mais on le laisse comme alternative accommodante aux réfractaires pour leur ménager une autre option que le vaccin. Et ça râle en plus ?

Vankovic

@Biggs
Tout à fait d’accord avec cet avis.

Vanilla

Je parle pas du prix pour le consommateur, mais le prix auquel les labo le vendent. Je suis sûr qu’ils font une marge bien grasse sur chaque test. Et je le répète depuis le début de la pandémie, donc même quand le test était “gratuit” (donc remboursé par l’état, donc avec NOS SOUS)

Blap

Et puis pas énormément de pays payaient le PCR, c’etait aux citoyens de le payer de leur poche dans beaucoup d’etats

Vanilla

A moins que tu ais 70 ans, personne n’a jamais eu peur de la grippe et ne s’est retrouvé forcé pour raison X ou Y de se faire vacciner pour la grippe. Tout le monde l’attrape chaque année, et en 2 ou 3 jours s’est fini. Faut arrêter votre démagogie de bas étage !

xryl

Tout système de signature basée sur une seule clé privée est forcément voué à l’échec. Vu qu’il faut partager la clé privé pour créer une signature valable, ça veut dire qu’il y a un protocole avec un serveur qui signe toute demande « pseudo valide » qui lui est transmise. Et qu’il n’est pas possible de révoquer les signatures existantes qui elles, sont légitimes.

Pour peu qu’un seul hacker ait obtenu un accès à un seul client de ce serveur et tout l’infrastructure est compromise. Même pas besoin de hacker la clé privé.
Et vu le nombre de client existant (chaque labo, chaque pharmacie, chaque centre vaccinal, etc…), autant dire que c’est impossible à protéger correctement.

Ce qu’ils auraient dû faire, c’est se baser sur une clé symétrique pour le cryptage d’un hash, et cette clé basée sur un secret de Shamir (c’est à dire avec N/M valeur pour qu’elle soit valide, N morceaux de clés pour M clés construites). Ainsi si un pan des accès est corrompu, il suffit de dévalider les morceaux utilisés par ce pan, sans casser les autres utilisateurs qui utilisent les autres morceaux.

C’est le même principe que pour l’arbre de clé de la protection BluRay ou HD DVD (je ne sais plus), si une gamme de lecteur est corrompu, les prochains disques n’utiliseront plus les morceaux de clé de cette gamme et la protection reste correcte.