Le cas d'escroquerie aux certificats Covid dans le canton de Saint-Gall, rendu public vendredi par des journalistes de CH Media, est le plus important de ce type connu à ce jour en Suisse. Et peut-être aussi dans le reste de l'Europe.
Comment a-t-il été possible que 6000 certificats présumés authentiques aient été créés de manière illicite avant que les autorités n'interviennent et ne fassent arrêter les suspects? Le système informatique développé par l'Office fédéral de l'informatique et de la télécommunication (Ofit) qui permet de créer des certificats est-il suffisamment protégé contre les accès criminels?
Les détails de cette affaire ne seront connus du public que lorsque les autorités sanitaires de Saint-Gall ou la justice donneront plus d'informations. Pour l'heure, l'enquête est toujours en cours.
watson s'est renseigné auprès de l'Office fédéral de la santé publique (OFSP). Voici ce que l'on sait à ce jour.
Il convient tout d'abord de noter que l'OFSP a confirmé le cas saint-gallois vendredi dernier à la demande de watson. La Confédération révoquera tous les certificats abusifs, c'est-à-dire les invalidera, pour autant qu'ils soient signalés par les responsables.
Combien de documents sont-ils concernés? L'OFSP n'a pas souhaité communiquer davantage. «Les certificats délivrés à tort sont révoqués si les soupçons d'abus se confirment», explique la porte-parole de l'OFSP Nani Moras. Problème: de nombreux autres certificats vont connaître le même sort, en raison de noms erronés ou d'autres problèmes. Par conséquent, «le nombre de révocations ne donne aucune indication sur les certificats délivrés à tort», poursuit Moras.
CH Media a rapporté que la Confédération était actuellement en train de développer une méthode permettant d'identifier plus rapidement et plus efficacement les cas suspects. «Nous échangeons chaque semaine avec les cantons et proposons une plateforme qui permet de partager des informations concernant les certificats délivrés de manière abusive», indique la porte parole de l'OFSP. Et d'ajouter:
Dans les cas d'abus connus à ce jour, l'OFSP a constaté que les certificats avaient été établis par des émetteurs autorisés. Le système de certificats est donc toujours considéré comme infalsifiable. L'OFSP ne parle pas de certificats falsifiés, mais de «certificats délivrés à tort». Si un certificat de test est délivré dans un centre de vaccination, le système informatique détecte une telle anomalie et déclenche une alarme.
Début octobre, les médias avaient déjà fait état de cas présumés de certificats de vaccination établis de manière abusive dans des cantons romands. watson s'était alors déjà renseigné auprès de la Confédération. Sans beaucoup de succès.
«Pour des raisons de sécurité, nous ne donnons aucune information sur les mesures et les mécanismes de contrôle», avait à l'époque déclaré un autre porte-parole de l'OFSP, Grégoire Gogniat. «Les éventuelles anomalies» sont signalées aux cantons afin qu'ils puissent les vérifier et «prendre contact avec le responsable concerné».
En outre, l'Ofit traite les demandes des cantons en cas de soupçon d'abus. Avant de procéder à l'examen et à la transmission des données, le service juridique vérifie si la demande, le traitement et la transmission sont légaux.
Sur la base des nouvelles réponses, watson a demandé s'il fallait en conclure que la Confédération considérait les mécanismes de contrôle actuels comme insuffisants. Nani Moras a répondu à cette question:
Les contrôles sont en constante augmentation depuis septembre, a indiqué l'OFSP à l'agence de presse Keystone-ATS.
A ce sujet, il faut savoir qu'il existe ce que l'on appelle des super-utilisateurs. Il s'agit de spécialistes responsables qui sont annoncés par les cantons à la Confédération (Ofit) et qui sont autorisés dans le système informatique à inscrire, à leur tour, d'autres personnes nominativement. Ces personnes peuvent ensuite établir des certificats. Par exemple, un gérant de pharmacie (en tant que super-utilisateur) peut ainsi permettre à plusieurs employés de s'enregistrer auprès du système informatique de la Confédération (ce que l'on appelle le «Onboarding»).
La plupart de ces personnes devraient s'en tenir strictement aux directives et ne délivrer des certificats qu'à des personnes effectivement vaccinées, guéries ou testées. Personne ne semble toutefois avoir une vue d'ensemble de tous les cas d'abus au sein de la Confédération.
Lors d'un entretien que watson a eu le 25 août 2021 avec des représentants de l'Ofit, le chiffre de 7000 super-utilisateurs (pour le système de certificats) a été mentionné. Il y a donc eu un net ajustement du chiffre. Le nombre d'émetteurs est en revanche resté relativement constant, voire a légèrement augmenté par rapport au mois d'août (8000 personnes).
L'OFSP ne souhaite pas communiquer publiquement le nombre de super-utilisateurs et émetteurs enregistrés dans les différents cantons. Une enquête menée par watson en Suisse alémanique et en Suisse méridionale montre que les chiffres varient fortement. Certains cantons n'ont pas fourni de données complètes.
En Suisse romande, selon les médias, 2300 personnes ont pu accéder au système informatique et sont ainsi en mesure d'établir des certificats de vaccination. Les chiffres selon les cantons:
Nous ne le savons pas. Les informations publiques à ce sujet sont rares.
Les possibilités de contrôle dans les cantons sont limitées. Une personne qui a travaillé dans de grands centres de test et de vaccination en Suisse alémanique confirme à watson qu'il n'y a pas de principe de double contrôle pour délivrer les certificats. Elle pourrait à tout moment générer de vrais certificats avec des noms fictifs, cela ne serait pas contrôlé par des supérieurs.
Cette personne, qui souhaite rester anonyme, estime que la problématique des «certificats de complaisance» est minime. Cela peut certes se produire dans des cas isolés, mais:
On ne le sait pas.
Les cas rendus publics jusqu'à présent laissent craindre un nombre relativement important de cas non déclarés. Selon les estimations de watson, un nombre à cinq chiffres de certificats Covid usurpés devrait être en circulation en Suisse.
Un grand nombre de personnes non vaccinées pourraient donc accéder à des manifestations et à des lieux publics où seuls les personnes vaccinées ou guéries sont autorisées à se rendre.
A titre de comparaison, plus de 9,3 millions de certificats de vaccination ont déjà été délivrés à ce jour en Suisse. A cela s'ajoutent, selon le site Internet de l'OFSP, près de 620 000 certificats pour les personnes guéries.
Des enquêtes pénales sont en cours dans divers cantons, comme le montre l'aperçu chronologique suivant. Seuls sont répertoriés les cas concernant des certificats de vaccination (authentiques) qui auraient été établis de manière abusive dans des centres de test ou de vaccination.
Le 17 décembre, des journalistes de CH Media rendent public le plus grand cas d'escroquerie à ce jour en rapport avec des certificats Covid suisses: «6000 certificats abusifs» auraient été délivrés. Des suspects seraient placés en détention provisoire.
Selon le département de la santé du canton de Saint-Gall, deux plaintes pour fraude au certificat avaient été déposées auparavant. Deux autres cas sont en cours d'examen.
En décembre, la police cantonale bernoise arrête deux personnes qui travaillaient à l'hôpital de Moutier. Les suspects auraient falsifié des certificats Covid. Deux personnes se trouvent en détention préventive. Selon le communiqué de la police cantonale bernoise du 17 décembre, les premières investigations ont révélé que plus de 100 certificats présumés falsifiés avaient été délivrés.
Des contrôles internes ont révélé que des certificats falsifiés ont été délivrés au centre de tests de Granges-Paccot, géré par l'Hôpital cantonal de Fribourg (HFR). Une enquête est désormais en cours afin de déterminer l'ampleur des falsifications et d'identifier les personnes fautives, a annoncé l'hôpital fribourgeois le 13 décembre.
Entre fin septembre et mi-octobre, la police de Schaffhouse a reçu des informations de l'Office fédéral de la police (Fedpol) et du Centre cantonal de vaccination (KIZ) selon lesquelles un collaborateur du KIZ aurait peut-être établi abusivement plusieurs centaines de certificats de vaccination et les aurait vendus à des personnes qui n'auraient jamais reçu les vaccins nécessaires à cet effet.
La police cantonale de Schaffhouse a arrêté ces dernières semaines six personnes pour trafic de faux certificats Covid, rapporte le 24 novembre dernier le Schaffhauser Nachrichten.
La police cantonale vaudoise estime qu'une centaine de faux certificats ont été délivrés à des personnes qui n'étaient ni vaccinées ni testées, comme elle l'a communiqué le 8 octobre. Des collaborateurs de pharmacies sont soupçonnés d'avoir établi de faux certificats de vaccination et de les avoir transmis, parfois contre de l'argent, à des connaissances ou à des proches.
A Genève, une bande de dealers de certificats était à l'œuvre. Quatre personnes ont été arrêtées, dont des employés de la protection civile qui travaillaient dans un centre de vaccination, a informé le procureur général genevois Olivier Jornot lors d'une conférence de presse le 8 octobre dernier. Les affaires genevoise et vaudoise n'ont rien à voir l'une avec l'autre, précise le communiqué.
watson ne dispose pas d'une réponse récente de la direction du santé du canton. Fin novembre, elle communiquait:
Oui, ils le sont. Jusqu'à présent, personne n'a réussi à briser la méthode de cryptage utilisée. Il faudrait que quelqu'un vole la clé secrète strictement protégée avec laquelle les certificats sont signés numériquement.
La clé publique contenue dans le certificat (code QR) se compose d'une suite de chiffres et de lettres. Cette clé permet de vérifier, à l'aide de l'application de vérification des certificats, si un certificat a été falsifié lors du trajet entre l'émetteur et le contrôle. En effet, si tel était le cas, la clé publique ne correspondrait pas aux données (nom et date de naissance) saisies lors de la création et cryptées avec la clé secrète.
Mais il existe bien sûr des endroits dans le processus d'émission où un tel certificat peut malgré tout être falsifié, constate higgs.ch. Par exemple, un médecin peu scrupuleux pourrait confirmer des vaccinations qui n'ont pas eu lieu ou délivrer un certificat de test alors qu'aucun test n'a été effectué.
Tant que cela n'est pas prouvé, sa signature reste valable. Une autre problématique serait la transmission de vaccinations déjà effectuées à partir de documents non protégés contre la falsification (carnets de vaccination), selon higgs.ch.
Traduit et adapté de l'allemand par Nicolas Varin