Le vrai phénomène des faux Covid Safe Tickets

“Besoin d'un certificat de vaccination Covid-19 sans vous faire vacciner? Nous sommes la solution. Obtenez un certificat avec un code QR valide et vérifiable et déplacez-vous en toute liberté à travers l'Europe et partout dans le monde.” Depuis des semaines, ce type d’annonce fleurit sur les réseaux sociaux tels que Snapchat, Facebook ou Telegram. D’abord apparues en France, elles arrivent désormais en Belgique, où l’usage du Covid Safe Ticket (CST) sera étendu le 15 octobre prochain en région Bruxelles-Capitale.

Nous avons répondu à plusieurs messages postés sur différents groupes Facebook de vaccino-sceptiques pour tenter d'y voir plus clair. Premier constat : la dizaine de faussaires contactés est très réactive. En quelques minutes, plusieurs d'entre eux acceptent de nous envoyer un faux Covid Safe Ticket en échange de quelques données personnelles et d'une somme d'argent allant de 200 à 400 euros. Les délais de réception du faux certificat varient de 3 à 48 heures selon les vendeurs, et tous se veulent rassurants : "Impossible d'être tracé", "vous recevez le pass avant de payer".

Un phénomène marginal, mais en expansion

La communication est efficace, la méthode bien rodée. Et pour cause : le phénomène des faux certificats sanitaires est en pleine expansion, comme l’ont constaté les forces de police bruxelloises. “Nous pouvons vous confirmer qu’effectivement il existe un marché d’offres et de demandes de faux certificats Covid Safe Ticket sur les réseaux sociaux depuis quelques mois”, révèle François Ganseman, porte-parole de la zone de police de Bruxelles-Ouest. S’il est difficile de donner un nombre précis des fraudes, celles-ci restant encore marginales, “la zone de police Bruxelles-Ouest a déjà acté plusieurs procès-verbaux suite à des demandes ou offres sur ces différents réseaux sociaux”, indique le commissaire de police.

La plupart du temps, explique Lucas Philippe, alias Bitk, un “hacker éthique” (un pirate du web dont la mission bienveillante est de protéger et sécuriser un système d’information), ces arnaques se basent sur de simples usurpations d’identité : “une fois l’argent et vos données personnelles envoyées, vous ne verrez jamais la couleur d’un certificat sanitaire”. “Les filières installées dans des pays africains ou des pays de l’Est” sont connues pour commettre ce type d'escroquerie, confirme la police. “En ce qui concerne le Covid Safe Ticket, sachant que c’est encore un fait émergent, nous sommes en train de nous informer pour en avoir une connaissance plus pointue du milieu”.

De vrai-faux certificats existent

D'autres propositions nettement plus élaborées existent également sur le marché. En France, où l'usage du Covid Safe Ticket est généralisé depuis des semaines, l'Assurance maladie recensait en septembre plus de 270 soignants suspectés de fraude et 36 000 assurés soupçonnés d'en avoir bénéficié. La majeure partie du temps, il s'agit de la création d'un "vrai" QR code, généré sur base du dossier médical d'une personne dont les données auraient frauduleusement été modifiées à la base. L'Autorité de protection des données (APD) a annoncé dans un communiqué avoir"pris connaissance d'une potentielle faille de sécurité relative à la validation et la lecture des Covid Safe Tickets via l'application CovidScan", suite à la découverte d'un "bug" par le chercheur en science informatique de l'UCLouvain, Guillaume Derval, révélé par Le Soir, ce mercredi.

Initialement, un QR code contient deux choses : les données relatives à l’identité et au profil vaccinal d’une personne, et une clé privée sécurisée propre à chaque pays de l’Union européenne. C’est cette clé qui garantit qu’il s’agit bien d’un QR code officiel. “Sans cette clé sécurisée, le QR code sera de facto invalide lors du scan”, explique Gert De Gelder du Digital Vlaanderen, la plateforme officielle de développement des QR codes pour le CST. “La clé privée ne quitte jamais les systèmes informatiques et son stockage est hautement sécurisé”.

Impossible donc, selon Gert De Gelder, qu’un faussaire - même infiltré - puisse obtenir cette clé pour créer un faux certificat valide. La plupart d’entre eux ont recours à des QR codes copiés depuis la photo du code d’une personne déjà vaccinée. “La plupart du temps, il s’agit d’une photocopie d’un certificat dont on aura volé le QR code” ajoute Bitk. En théorie, “ce code peut être utilisé sur plusieurs smartphones en même temps sans alerter les autorités car l’application n’opère ni stockage ni traçage des données personnelles”, estime le hacker.

En Belgique, un filigrane animé autour du code QR a toutefois été développé sur l’application CovidSafe.be pour détecter la supercherie. “Lors du scan du CST, s’il s’agit d’une photo, il sera notifié comme étant invalide”, explique Olivier Bogaert, commissaire à la Federal Computer Crime Unit. Une façon efficace “d’exclure toute falsification”, selon lui.

À un détail près : l’usage direct du QR code via le téléphone d’une autre personne ou d’un certificat imprimé - et donc sans ce filigrane animé - est toujours possible. Et ce, sans durée limite de validité.

Le CST à l’épreuve des contrôles d’identité

Ce point n’a pas précisément été évoqué lors de la séance plénière du Parlement Bruxellois du 8 octobre dernier sur l’instauration du CST dans la capitale, mais il semblerait que le seul moyen envisagé par les autorités pour repérer l’usage d’un pass sanitaire imprimé par une autre personne soit le contrôle d’identité. Dans les faits, difficile voire impossible, toutefois, d’imposer aux exploitants d’effectuer un tel contrôle. À commencer par les restaurateurs qui seront les premiers concernés à partir du 15 octobre.

Selon Roland Forestini, avocat au Barreau de Bruxelles en droit commercial, "les restaurateurs ne peuvent pas légalement être soumis à l'obligation de demander et contrôler des documents d'identité". Seul le contrôle du CST leur est imposé. En cas de non-respect, les contrevenants risquent une amende pouvant aller jusqu'à 2500 euros. Quant aux détenteurs d'une copie, l'infraction pour "usage de faux" peut faire l'objet du paiement immédiat d'une amende de 750 euros.

En attendant, sur les réseaux sociaux, le marchandage des faux documents se poursuit. Opiniâtre, l'un des escrocs nous fait même un dernier prix : "Si tu le veux maintenant je te le vends pour 100 euros".

La Source

Avec "La Source", La Libre Belgique se lance dans le fact checking. Cette rubrique a pour objectif d'analyser, décortiquer, recontextualiser et vérifier des faits liés à l'actualité. Comme l'indique la notion même de "fact checking" la démarche repose exclusivement et systématiquement sur une analyse factuelle, la collecte de sources vérifiables, identifiables et objectivables, citées et référencées dans chacun de nos articles.

Libre au lecteur qui le désire de refaire, à son tour, ce travail journalistique sur base des informations communiquées, et de nous signaler d'éventuelles erreurs ou imprécisions via l'adresse factchecking@lalibre.be