DE | FR
Exclusif

Une faille dans l’app' du certificat Covid permet son utilisation illimitée

Moyennant une manipulation simple, les certificats Covid expirés peuvent être utilisés bien après être périmés. Informées par watson, les autorités n'ont pas encore corrigé la faille.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
20.10.2021, 15:3120.10.2021, 19:27
Petar Marjanović
Petar Marjanović
Petar Marjanović
Suivez-moi

La plupart des personnes qui ont dû présenter leur certificat Covid dans un restaurant ou une boîte de nuit le savent: Il y a ceux qui vérifient correctement le sésame en le scannant, et d’autres qui préfèrent aller plus vite et se limitent à appuyer sur le bouton de vérification. Ce qui, précisons-le, n'est pas la manière correcte de faire le contrôle. Dans les deux cas, l’application affiche soit la couleur verte (valide) ou rouge (non valide).

Le bouton en question 👇

Il existe une grave faille de sécurité dans le cas de la vérification rapide: ceux qui détenaient un certificat grâce à un test négatif ou une guérison pouvaient faire apparaitre la couleur verte bien plus longtemps après que le certificat soit périmé. Pour cela, il leur suffisait de changer bêtement la date et l’heure du téléphone portable.

Image: watson
Image: watson

Si de tels certificats Covid sont considérés comme valides, c’est parce que l’application CovidCert ne vérifie que si le certificat – expiré ou non – est présent sur la liste de la Confédération. Seuls les certificats «retirés» de cette liste à cause d’une erreur de frappe ou d'une délivrance incorrecte ne pouvaient pas être indûment validés.

Nombre d’abus inconnu

En raison de la structure technique du système, il n’est pas possible de savoir le nombre de personnes qui ont profité de cette faille. Cependant, watson est en mesure d’affirmer que plusieurs individus se sont vantés d’avoir découvert la maniclette.

Cette grave lacune en termes de sécurité permettait de tromper un restaurant, une boîte de nuit ou un fitness, à la condition que la personne en charge du contrôle ait recours à la méthode «rapide», pourtant incorrecte. Ceci dit, un oeil attentif pouvait découvrir la supercherie, l’application CovidCert affichant la date d’expiration en petits caractères 👇.

Image: watson

A aucun moment l'Office fédéral de la santé publique (OFSP) n'a fait de publicité quant à cette méthode «rapide». Depuis l’introduction du certificat, l’OFSP a proposé comme référence l’utilisation de la deuxième application, «COVID Certificate Check». C’est avec celle-ci que les «contrôleurs» vérifient les codes QR. Toutefois, les exigences de contrôle se limitaient à la comparaison du prénom et du nom de famille ainsi que de la date de naissance, selon la carte d'identité ou le passeport. Sur le site de l’OFSP, il n’est d’ailleurs pas demandé de jeter un oeil à la date de validité.

Cela a probablement conduit certains «contrôleurs» à effectuer la certification du pass avec le téléphone portable du client, par souci de simplicité.

Une seule méthode autorisée

L'Office fédéral de la Santé publique (OFSP) n'avait pas connaissance de cette faille de sécurité avant que watson ne lui pose ses questions. watson lui a offert le temps d'éliminer le bug, afin de ne pas inciter les fraudeurs à l'exploiter. Cependant, malgré des demandes répétées, l'Office fédéral de l'informatique et de la télécommunication n'a pas précisé si cette faille de sécurité serait corrigée.

L'OFSP, nous informe que tous les organismes de contrôle – c'est-à-dire les restaurateurs, les serveurs, les videurs, etc. – doivent utiliser l'appli de contrôle officielle, «COVID Certificate Check». «Avec cela, les manipulations ne sont pas possibles. Ce point sera également repris explicitement dans l'ordonnance sur les certificats Covid», indique la brève déclaration.

Les autorités ont raison sur ce point, mais l'expérience de ces derniers jours montre que tous les organismes de contrôle ne vérifient pas correctement le certificat. A la question de savoir si la Confédération ne devrait pas indiquer plus clairement le contrôle correct du certificat au moyen d'un scan en raison du risque d'abus, l'Office fédéral de la santé publique répond simplement:

«L'OFSP a indiqué aux associations et aux cantons qu'il n'est pas permis aux examinateurs d'appuyer sur la touche de rafraîchissement du téléphone portable d'autrui. La seule méthode d'essai autorisée est l'utilisation de l'application d'essai par le testeur»

En parlant de discothèque et de danse, voici le meilleur du pays

Vidéo: watson

Cela pourrait aussi vous intéresser:

Bill Gates aurait quitté Microsoft à cause d'une liaison avec une employée

Link zum Artikel

5 haies d'honneur légendaires du sport

Link zum Artikel

19 animaux qui prouvent que l'Australie est un pays flippant

Link zum Artikel

L'Etat le plus vacciné du monde forcé à reconfiner suite à une flambée de cas

Link zum Artikel

Le ou la Covid: connaissez-vous ces autres mots qui changent de sexe?

Link zum Artikel

«Ton mariage, c'était sympa... mais sans plus»

Link zum Artikel
Montrer tous les articles
Le Portugal entre dans la liste des pays à quarantaine
L’article