La plupart des personnes qui ont dû présenter leur certificat Covid dans un restaurant ou une boîte de nuit le savent: Il y a ceux qui vérifient correctement le sésame en le scannant, et d’autres qui préfèrent aller plus vite et se limitent à appuyer sur le bouton de vérification. Ce qui, précisons-le, n'est pas la manière correcte de faire le contrôle. Dans les deux cas, l’application affiche soit la couleur verte (valide) ou rouge (non valide).
Il existe une grave faille de sécurité dans le cas de la vérification rapide: ceux qui détenaient un certificat grâce à un test négatif ou une guérison pouvaient faire apparaitre la couleur verte bien plus longtemps après que le certificat soit périmé. Pour cela, il leur suffisait de changer bêtement la date et l’heure du téléphone portable.
Si de tels certificats Covid sont considérés comme valides, c’est parce que l’application CovidCert ne vérifie que si le certificat – expiré ou non – est présent sur la liste de la Confédération. Seuls les certificats «retirés» de cette liste à cause d’une erreur de frappe ou d'une délivrance incorrecte ne pouvaient pas être indûment validés.
En raison de la structure technique du système, il n’est pas possible de savoir le nombre de personnes qui ont profité de cette faille. Cependant, watson est en mesure d’affirmer que plusieurs individus se sont vantés d’avoir découvert la maniclette.
Cette grave lacune en termes de sécurité permettait de tromper un restaurant, une boîte de nuit ou un fitness, à la condition que la personne en charge du contrôle ait recours à la méthode «rapide», pourtant incorrecte. Ceci dit, un oeil attentif pouvait découvrir la supercherie, l’application CovidCert affichant la date d’expiration en petits caractères 👇.
A aucun moment l'Office fédéral de la santé publique (OFSP) n'a fait de publicité quant à cette méthode «rapide». Depuis l’introduction du certificat, l’OFSP a proposé comme référence l’utilisation de la deuxième application, «COVID Certificate Check». C’est avec celle-ci que les «contrôleurs» vérifient les codes QR. Toutefois, les exigences de contrôle se limitaient à la comparaison du prénom et du nom de famille ainsi que de la date de naissance, selon la carte d'identité ou le passeport. Sur le site de l’OFSP, il n’est d’ailleurs pas demandé de jeter un oeil à la date de validité.
Cela a probablement conduit certains «contrôleurs» à effectuer la certification du pass avec le téléphone portable du client, par souci de simplicité.
L'Office fédéral de la Santé publique (OFSP) n'avait pas connaissance de cette faille de sécurité avant que watson ne lui pose ses questions. watson lui a offert le temps d'éliminer le bug, afin de ne pas inciter les fraudeurs à l'exploiter. Cependant, malgré des demandes répétées, l'Office fédéral de l'informatique et de la télécommunication n'a pas précisé si cette faille de sécurité serait corrigée.
L'OFSP, nous informe que tous les organismes de contrôle – c'est-à-dire les restaurateurs, les serveurs, les videurs, etc. – doivent utiliser l'appli de contrôle officielle, «COVID Certificate Check». «Avec cela, les manipulations ne sont pas possibles. Ce point sera également repris explicitement dans l'ordonnance sur les certificats Covid», indique la brève déclaration.
Les autorités ont raison sur ce point, mais l'expérience de ces derniers jours montre que tous les organismes de contrôle ne vérifient pas correctement le certificat. A la question de savoir si la Confédération ne devrait pas indiquer plus clairement le contrôle correct du certificat au moyen d'un scan en raison du risque d'abus, l'Office fédéral de la santé publique répond simplement: