Changer d'édition

Vous voulez un faux CovidCheck ? Demandez à Telegram !
Luxembourg 3 6 min. 25.01.2022
Pandémie au Luxembourg

Vous voulez un faux CovidCheck ? Demandez à Telegram !

Beim Schießtraining der Polizeischule hatte das CovidCheck-Zertifikat des Beschuldigten einen Namen angezeigt, der nicht auf der Teilnehmerliste stand.
Pandémie au Luxembourg

Vous voulez un faux CovidCheck ? Demandez à Telegram !

Beim Schießtraining der Polizeischule hatte das CovidCheck-Zertifikat des Beschuldigten einen Namen angezeigt, der nicht auf der Teilnehmerliste stand.
Foto: Anouk Antony
Luxembourg 3 6 min. 25.01.2022
Pandémie au Luxembourg

Vous voulez un faux CovidCheck ? Demandez à Telegram !

Une journaliste du «Luxembourg Times» a reçu un CovidCheck contenant des informations correctes sur une identité fictive.

Cet article est d'abord paru sur www.luxtimes.lu 

(m. m. avec Tom RUDELL) - Vendredi, Dana Milizova, 29 ans, est entrée dans un bar au Luxembourg. Après qu'un serveur a contrôlé son CovidCheck, elle a trouvé une place assise dans l'établissement. Les autres clients se pensaient à l'abri d'une contamination par le Covid-19. Mais Milizova n'avait jamais reçu ne serait-ce qu'un seul des vaccins nécessaires : elle avait simplement acheté son CovidCheck - falsifié - en ligne. 


03.01.2022 illustration covidcheck covid - check  2G + Horeca, Schnelltest , corona pandemie , Restaurants und Bars , café , Foto : Marc Wilwert / Luxemburger Wort
Treize manquements au CovidCheck sanctionnés
Du 10 au 16 janvier, la police a poursuivi sa vérification du bon respect des règles sanitaires, notamment dans les bars et restaurants. Certains clients et patrons d'établissement en ont fait les frais.

Du moins, ce scénario aurait pu se produire si Milizova avait existé. En réalité, son identité était une invention d'une journaliste du Luxembourg Times pour acquérir un faux CovidCheck. En testant ce pass sur plusieurs appareils, ceux-ci ont toujours clignoté en vert, montrant que les données personnelles falsifiées de Milizova étaient cependant correctes. Milizova aurait donc pu se rendre au bar avec un tel CovidCheck. Tout simplement comme ça. Et il n'a pas été très difficile de l'obtenir.

Plusieurs groupes anti-vax

Ne sachant pas comment s'y prendre au début, Milizova s'est inscrite sur Telegram, un service de messagerie instantanée qui offre un cryptage puissant pour protéger ses utilisateurs des autorités. Et qui, selon Cloudsek, une entreprise spécialisée dans la cybersécurité, est devenu un «vivier de la criminalité» . Une simple recherche lui a permis de trouver plusieurs groupes publics consacrés aux certificats de vaccination ou à la preuve de résultats d'analyse négatifs. Les groupes - appelés «canaux» - sont gérés par des personnes dont certaines se révèlent parfois être des fraudeurs. Un groupe compte même plus de 50.000 membres.

N'importe quel utilisateur peut accéder à ce canal, mais l'administrateur a paramétré le groupe de manière à ce que lui seul puisse écrire des messages. Les utilisateurs qui souhaitent le contacter sont priés de le faire via un canal privé. C'est ainsi que Milizova a entamé une conversation avec lui en lui disant qu'elle était à la recherche d'une preuve de vaccination.

Le certificat fictif avec le résultat positif sur l'application CovidCheck.
Le certificat fictif avec le résultat positif sur l'application CovidCheck.
Photo: Luxtimes

«Bonjour, j'aimerais acheter un CovidCheck pour le Luxembourg » , a-t-elle écrit. Le vendeur - dont le Luxembourg Times ne souhaite pas révéler le nom - a répondu qu'elle devait payer 300 euros, soit en cryptomonnaie Bitcoin, soit via le service de paiement plus accessible Neosurf. Plusieurs autres canaux Telegram proposaient également de faux passeports, toujours au même prix de 300 euros. 

Le fait qu'il y ait autant d'offres est un signe qu'il existe une forte demande de la part de personnes qui, pour quelque raison que ce soit, ne veulent pas se faire vacciner. Milizova, une anti-vax, a donc fait une bonne affaire. Elle a envoyé son nom et sa date de naissance au fournisseur et l'a informé qu'elle souhaitait un CovidCheck indiquant qu'elle avait reçu deux doses de vaccin. Sans paiement préalable, le fournisseur lui a ensuite envoyé sa réalisation afin qu'elle puisse tester si elle fonctionnait vraiment. Ce qui a été le cas. Toutes les données personnelles de Milizova figuraient également correctement sur le CovidCheck, de sorte qu'elle aurait pu entrer dans n'importe quel bar ou autre lieu public avec son passeport. Précision: le Luxembourg Times n'a pas payé pour le CovidCheck.


 Largement répandu ? 

Depuis quelque temps, des manifestants en colère défilent chaque week-end dans les rues de la ville de Luxembourg pour protester contre les mesures de plus en plus drastiques prises par le Grand-Duché pour lutter contre la pandémie. Le Luxembourg a distribué 1,2 million de doses de vaccin à ses 630.000 habitants. Si cela signifie qu'environ 75 pour cent des personnes de plus de 5 ans sont entièrement vaccinées, il reste encore une personne sur quatre qui n'est pas vaccinée. Et qui tente parfois par tous les moyens d'obtenir une preuve de vaccination ou de résultat négatif. Ainsi, un employé du ministère de la Santé a été suspendu après avoir tenté d'obtenir d'un collègue un résultat de test falsifié. Et la semaine dernière, le ministère public a requis 15 mois de prison contre un étudiant de l'académie de police qui avait utilisé le CovidCheck d'un ami pour accéder aux cours pendant plusieurs jours. 

De tels exemples montrent que les faux CovidCheck sont en usage au Luxembourg. Mais difficile de connaître l'ampleur du phénomène. Le parquet a certes confirmé qu'il s'était penché sur de tels cas, mais n'a pas donné plus de détails : «Le parquet a connaissance de tels cas de falsification et d'utilisation de documents falsifiés», s'est contenté de déclarer une porte-parole de l'administration judiciaire. 

Comment l'ont-ils obtenu ? 

Il y a plusieurs possibilités pour que les fournisseurs aient pu obtenir les CovidCheck, a déclaré un expert en cryptographie et chercheur. Selon lui, il est peu probable qu'ils aient eu accès au système qui génère les codes QR, mais il est par contre possible qu'ils se soient introduits dans les logiciels d'autres établissements de santé qui demandent les codes.

«Il est peu probable que la cryptographie derrière les certificats Covid ait été craquée, car les clés privées que [le gouvernement] utilise pour rendre les codes QR valides sont très probablement stockées dans des machines spéciales [connues sous le nom de modules de sécurité matériels ou HSM] et sont très difficiles à extraire», explique l'expert, qui n'a pas souhaité être nommé. Cependant, les laboratoires, les pharmacies ou les centres de vaccination utilisent des logiciels plus vulnérables pour manipuler les codes QR, et ceux-ci pourraient avoir été infectés avant la pandémie. «Ces points d'entrée sont plus susceptibles d'être attaqués par des personnes malveillantes », ajoute-t-il. 

Il semble que les émetteurs de certificats utilisent une interface web open source (c'est-à-dire un site web normal auquel ils se connectent) pour se connecter au HSM du gouvernement et demander la validation des certificats. «Comme il s'agit de simples sites web qui ne sont pas nécessairement gérés de manière centralisée par les gouvernements, certains d'entre eux ont été rendus publics et n'importe qui aurait pu les trouver et les utiliser pour créer de nouveaux certificats » . Une autre explication serait simplement que le personnel d'un établissement de santé ait délivré un faux certificat. «Il est évident que ceux-ci sont dangereux » , écrit Claude Muller, expert en virologie à l'Institut luxembourgeois de la santé, interrogé à ce sujet. «Si nous ne pouvons plus faire confiance aux certificats, c'est tout le système de protection [contre les infections] qui s'effondre». 

Suivez-nous sur Facebook, Twitter et abonnez-vous à notre newsletter de 17h.


Sur le même sujet

Le régime 3G (testé, guéri et vacciné) au travail concerne tous les salariés, y compris les apprentis et stagiaires. Une précision donnée par le ministre de l'Education Claude Meisch dans une réponse parlementaire
A compter du 15 janvier, plus question pour un salarié d'accéder à son lieu de travail sans un pass sanitaire valide. Et bien des développeurs luxembourgeois ont proposé des solutions pour éviter des contrôles trop fastidieux à mettre en place ou coûteux.
13.01.2022 Illustration , Symbolfoto ,  Covid - Check Covidcheck am Arbeitsplatz 3G 3 G , Foto : Marc Wilwert / Luxemburger Wort