Suisse
Exclusif

Certificat Covid: une faille permet une utilisation illimitée

Exclusif

Une faille dans l’app' du certificat Covid permet son utilisation illimitée

Moyennant une manipulation simple, les certificats Covid expirés peuvent être utilisés bien après être périmés. Informées par watson, les autorités n'ont pas encore corrigé la faille.
Cet article est également disponible en allemand. Vers l'article
20.10.2021, 15:3120.10.2021, 19:27
Petar Marjanović
Petar Marjanović
Plus de «Suisse»

La plupart des personnes qui ont dû présenter leur certificat Covid dans un restaurant ou une boîte de nuit le savent: Il y a ceux qui vérifient correctement le sésame en le scannant, et d’autres qui préfèrent aller plus vite et se limitent à appuyer sur le bouton de vérification. Ce qui, précisons-le, n'est pas la manière correcte de faire le contrôle. Dans les deux cas, l’application affiche soit la couleur verte (valide) ou rouge (non valide).

Le bouton en question 👇

Image

Il existe une grave faille de sécurité dans le cas de la vérification rapide: ceux qui détenaient un certificat grâce à un test négatif ou une guérison pouvaient faire apparaitre la couleur verte bien plus longtemps après que le certificat soit périmé. Pour cela, il leur suffisait de changer bêtement la date et l’heure du téléphone portable.

Der gruene Haken zeigt an, dass das Covid Zertifikat auf dem Covid-Impfpass, der auf dem Mobiltelefon angezeigt wird, gueltig ist, am Samstag, 25. September 2021 in Bern. (KEYSTONE/Alessandro della Va ...
Image: watson
Der gruene Haken zeigt an, dass das Covid Zertifikat auf dem Covid-Impfpass, der auf dem Mobiltelefon angezeigt wird, gueltig ist, am Samstag, 25. September 2021 in Bern. (KEYSTONE/Alessandro della Va ...
Image: watson

Si de tels certificats Covid sont considérés comme valides, c’est parce que l’application CovidCert ne vérifie que si le certificat – expiré ou non – est présent sur la liste de la Confédération. Seuls les certificats «retirés» de cette liste à cause d’une erreur de frappe ou d'une délivrance incorrecte ne pouvaient pas être indûment validés.

Nombre d’abus inconnu

En raison de la structure technique du système, il n’est pas possible de savoir le nombre de personnes qui ont profité de cette faille. Cependant, watson est en mesure d’affirmer que plusieurs individus se sont vantés d’avoir découvert la maniclette.

Cette grave lacune en termes de sécurité permettait de tromper un restaurant, une boîte de nuit ou un fitness, à la condition que la personne en charge du contrôle ait recours à la méthode «rapide», pourtant incorrecte. Ceci dit, un oeil attentif pouvait découvrir la supercherie, l’application CovidCert affichant la date d’expiration en petits caractères 👇.

Der gruene Haken zeigt an, dass das Covid Zertifikat auf dem Covid-Impfpass, der auf dem Mobiltelefon angezeigt wird, gueltig ist, am Samstag, 25. September 2021 in Bern. (KEYSTONE/Alessandro della Va ...
Image: watson

A aucun moment l'Office fédéral de la santé publique (OFSP) n'a fait de publicité quant à cette méthode «rapide». Depuis l’introduction du certificat, l’OFSP a proposé comme référence l’utilisation de la deuxième application, «COVID Certificate Check». C’est avec celle-ci que les «contrôleurs» vérifient les codes QR. Toutefois, les exigences de contrôle se limitaient à la comparaison du prénom et du nom de famille ainsi que de la date de naissance, selon la carte d'identité ou le passeport. Sur le site de l’OFSP, il n’est d’ailleurs pas demandé de jeter un oeil à la date de validité.

Cela a probablement conduit certains «contrôleurs» à effectuer la certification du pass avec le téléphone portable du client, par souci de simplicité.

Une seule méthode autorisée

L'Office fédéral de la Santé publique (OFSP) n'avait pas connaissance de cette faille de sécurité avant que watson ne lui pose ses questions. watson lui a offert le temps d'éliminer le bug, afin de ne pas inciter les fraudeurs à l'exploiter. Cependant, malgré des demandes répétées, l'Office fédéral de l'informatique et de la télécommunication n'a pas précisé si cette faille de sécurité serait corrigée.

L'OFSP, nous informe que tous les organismes de contrôle – c'est-à-dire les restaurateurs, les serveurs, les videurs, etc. – doivent utiliser l'appli de contrôle officielle, «COVID Certificate Check». «Avec cela, les manipulations ne sont pas possibles. Ce point sera également repris explicitement dans l'ordonnance sur les certificats Covid», indique la brève déclaration.

Les autorités ont raison sur ce point, mais l'expérience de ces derniers jours montre que tous les organismes de contrôle ne vérifient pas correctement le certificat. A la question de savoir si la Confédération ne devrait pas indiquer plus clairement le contrôle correct du certificat au moyen d'un scan en raison du risque d'abus, l'Office fédéral de la santé publique répond simplement:

«L'OFSP a indiqué aux associations et aux cantons qu'il n'est pas permis aux examinateurs d'appuyer sur la touche de rafraîchissement du téléphone portable d'autrui. La seule méthode d'essai autorisée est l'utilisation de l'application d'essai par le testeur»

En parlant de discothèque et de danse, voici le meilleur du pays

Vidéo: watson
Ceci pourrait également vous intéresser:
0 Commentaires
Comme nous voulons continuer à modérer personnellement les débats de commentaires, nous sommes obligés de fermer la fonction de commentaire 72 heures après la publication d’un article. Merci de votre compréhension!
    Pourquoi le Valais interdit à ces deux élus de démissionner
    Pendant un mois et demi, deux Valaisans se sont heurtés à l’obligation d’exercer une fonction publique. Le canton a finalement statué sur leurs demandes de démission, révélant un problème de portée nationale.

    La situation est symptomatique d’un malaise plus large: près de la moitié des communes suisses peinent à trouver des candidats pour leurs exécutifs locaux. Le village valaisan de Collonges en est un exemple frappant. Deux conseillers communaux, élus le 13 octobre sans s’être portés candidats, ont engagé une bataille pour refuser leur mandat. Le Valais n'est pas le seul à imposer aux gens de siéger: Uri, Soleure, Lucerne, Zurich, Nidwald et Appenzell Rhodes-Intérieures connaissent une règle similaire.

    L’article