Il y a une semaine, après une longue enquête, watson a découvert que de faux certificats Covid étaient vendus depuis l'Allemagne via des canaux Internet douteux. Ces certificats de vaccination étaient «authentiques» d'un point de vue technique: les contrôles cryptographiques n'ont pas pu montrer qu'ils avaient été générés frauduleusement et simulaient la vaccination d'une personne qui n'était en fait pas vaccinée.
L'Office fédéral de l'informatique, des systèmes et de la télécommunication (OFIT) a toujours considéré qu'il s'agissait de certificats Covid étrangers pour lesquels il ne pouvait assumer aucune responsabilité en tant qu'autorité suisse.
Sur un point cependant, l'OFIT avait annoncé des améliorations – et elles sont maintenant arrivées: peu après le rapport, la «Covid App» suisse a été reprogrammée de telle sorte qu'un certificat Covid Light selon les normes suisses ne puisse plus être généré à partir de certificats de vaccination étrangers.
Est-ce la fin de l'affaire? Non. Car le danger demeure que des fraudeurs puissent générer de faux certificats de vaccination.
Maintenant, cela a été confirmé: La vulnérabilité «humaine» résidait dans l'association des pharmaciens allemands: En très peu de temps, l'organisation a développé une infrastructure technique permettant aux pharmacies de toute l'Allemagne de délivrer des certificats de vaccination. Cet accès a également été utilisé pour vendre de faux certificats Covid sur le darknet.
Cela a été possible parce qu'il n'a pas toujours été vérifié précisément si un prétendu pharmacien était digne de confiance – dans un cas, des personnes ont pu se connecter sans tenir réellement une pharmacie. Le quotidien allemand Handelsblatt a poursuivi les recherches de watson et a découvert qu'«à l'aide de documents professionnellement falsifiés», un guest account dans le système de certificats de vaccination a été créé pour le compte d'un pharmacien fantôme. De cette manière, deux certificats de vaccination au total ont été délivrés, comme l'écrit l'association de pharmaciens.
C'est ce qu'ont découvert les deux experts en sécurité informatique André Zilch et Martin Tschirsich, qui avaient déjà effectué des recherches similaires sur le portail suisse MesVaccins.ch.
L'association professionnelle et le ministère fédéral de la santé allemand en ont eu assez après ce nouveau problème. Mercredi, le système de l'association des pharmaciens pour la délivrance des certificats de vaccination a été arrêté. Le moment de son retour sera décidé ultérieurement, en concertation avec les autorités.
Une enquête est en cours pour déterminer combien de connexions d'invités ont été utilisées à mauvais escient. L'association allemande des pharmaciens a créé un total de 470 «logins invités» pour les pharmacies qui ne sont pas membres d'une association nationale de pharmaciens.
Il n'est pas clair si le revendeur de certificats qui a vendu les faux certificats à watson a également utilisé un tel compte invité. Les premières investigations ont montré jeudi midi qu'il n'y avait aucune indication d'autres accès non autorisés. Si cela devait se confirmer, il serait clair que d'autres problèmes existent sur le portail de l'association allemande des pharmaciens: selon les informations de watson, le faux certificat n'a pas été créé dans le cadre de la recherche du Handelsblatt, mais par un tiers.
Nos recherches ont révélé que plusieurs revendeurs proposaient des certificats via des services de messagerie cryptés provenant d'Allemagne ou générés dans ce pays.