«Le certificat suisse Covid est infalsifiable», mettent en avant les autorités cantonales et fédérales. Les tests effectués par des experts en sécurité informatique n'ont, pour l'heure, pas révélé de lacunes en matière de sécurité.
Alors, tout va bien? Non.
Sur le darknet, des trafiquants vendent de faux certificats de vaccination allemands et valables en Suisse, selon notre enquête. Et personne ne fait rien. Pire encore: la Suisse n'a toujours pas mis en place une fonction qui empêcherait la possibilité de convertir ces certificats allemands en certificat light suisses. Maintenant, la Confédération dit vouloir réagir.
Est-il facile d'obtenir un certificat de vaccination si l'on n'est pas vacciné? watson s’est posé la question il y a une quinzaine de jours. En ce moment, nous savons que les personnes non vaccinées peuvent acheter relativement facilement des certificats de vaccination Covid sur Internet. Cela en moins de 30 minutes via une application de messagerie cryptée. La Suisse fait face à plusieurs problèmes.
Tout d’abord: les certificats générés en Allemagne et dans d’autres pays de l’Union européenne sont également valables en Suisse et ne peuvent techniquement pas être reconnus comme des faux. Ensuite, comme le confirme l'Office fédéral de l'informatique et de la télécommunication (OFIT), il y a un autre problème:
Dans la suite de cet article, nous ne divulguerons pas d'informations détaillées qui permettraient de tirer des conclusions sur l’émission de certificats illégaux. Il est à craindre que des personnes non vaccinées, porteuses du virus, contaminent de nombreux individus lors de voyages ou à l’occasion de grandes manifestations.
Les transactions ont lieu via des applications de messagerie avec un cryptage de bout en bout. Les autorités chargées de l'enquête ne peuvent pas décrypter les messages envoyés sur ces applications. Ce qui est dangereux, c'est que les certificats sont illégalement émis à partir des sites internet des autorités compétentes et ne sont donc pas reconnaissables comme des faux. Pas même par la police.
Contre un versement d’environ 150 francs (en crypto-monnaie), un dealer anonyme peut envoyer un «certificat numérique de vaccination COVID de l’Union européenne», sous forme de fichier PDF. Ces certificats munis de codes QR peuvent être utilisés en Suisse et dans les pays de l'UE pour voyager.
Les certificats numériques ont vraisemblablement été générés à partir d’un accès interdit à un système informatique correspondant à l'association allemande des pharmaciens. L'association allemande des pharmaciens a répondu à watson:
Les certificats générés en Allemagne sont également valables en Suisse et ne peuvent pas être reconnus comme des faux, ni à l'œil nu, ni lors d'un contrôle avec l'application de vérification officielle.
La porte-parole de l’OFIT, Sonja Uhlmann, souligne:
De plus, un certificat light suisse peut être généré à partir d’un faux certificat européen, comme le confirment les experts de l’OFIT.
Pour rappel, le certificat light a été développé à la demande du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il comporte moins de données que l’original. Ce certificat n’est valable que pour une durée de 48 heures. Il ne peut en aucun cas être annulé pendant cette période, comme l'a déjà précisé watson.
Dans l'évaluation des risques, la Confédération a conclu qu'une validité irrévocable de 48 heures était justifiable. Toutefois, en raison des recherches effectuées sur les faux certificats Covid allemands, les offices fédéraux compétents veulent maintenant revenir sur leurs décisions.
L'Union européenne et la Suisse ont convenu au plus haut niveau politique de reconnaître mutuellement leurs certificats nationaux. Toute personne ayant été vaccinée deux fois contre le Covid-19 devrait pouvoir le prouver en montrant simplement son code QR (sur papier ou sur un smartphone). L'objectif visé est de faciliter les déplacements en Europe.
Pour qu'un certificat Covid allemand soit reconnu comme valable lors d'une vérification en Suisse, un trafic de données transfrontalier est nécessaire. Les États échangent les clés de signature électroniques stockées sur leurs serveurs. Ces clés cryptographiques peuvent ensuite être utilisées pour confirmer l'authenticité des certificats.
C’est là que survient le problème. Alors que la Suisse a mis en place un travail de précision pour révoquer les faux certificats et peut bloquer un seul certificat de vaccination sur la base de son identifiant unique (appelé UVCI), l'UE et donc aussi l'Allemagne gèrent cette problématique d’une autre façon: si un certificat Covid doit être bloqué, cela ne peut se faire qu'en révoquant tous les certificats de vaccination émis par une seule pharmacie ou un seul centre de vaccination.
L'expert allemand en sécurité informatique Thomas Siebert, de l'entreprise G DATA, s'est occupé intensivement des carnets de vaccination numériques. Dans un article publié sur le blog de l'entreprise fin juin, il parlait d’importantes faiblesses. Il faisait notamment référence au problème de l'impossibilité de déclarer caducs les certificats Covid individuels en Allemagne et dans d'autres pays de l'UE.
Il est au courant que toutes les pharmacies allemandes utilisent la même clé de signature pour générer des certificats pour leurs clients.
Toute option de blocage individuel – telle que pratiquée par la Suisse, par exemple, sur la base de l'identifiant unique - n'est actuellement pas spécifiée et n'est donc pas possible. Si la Suisse bloquait un certificat de cette manière, ce certificat serait toujours reconnu comme valide dans les applications allemandes, par exemple.
L'ampleur des faux certificats numériques Covid, qui passent pour authentiques, ne peut être estimée.
Le dealer de certificats que nous avons rencontré, lors de nos recherches, est-il un cas isolé? Il y a deux possibilités:
Watson ne dispose pas de données chiffrées ou de statistiques sur les accès abusifs aux systèmes informatiques utilisés pour générer les certificats Covid en Allemagne. Le ministère fédéral de la santé, situé à Bonn, n'a pas voulu divulguer de détails à watson. Il a fait référence aux sanctions auxquelles s'exposent les vendeurs et les acheteurs de certificats illégaux.
En outre, le ministère fédéral de la santé fait référence, dans sa déclaration, à des «instruments de sécurité» censés dissuader les éventuels délits. Les pharmaciens devraient «non seulement faire face à des conséquences pénales, mais aussi au retrait de leur licence d'exercice en cas d’abus de leur fonction.» Les pharmaciens sont tenus «de facturer les services fournis sur une base mensuelle en termes de quantité». Une collecte de données concrètes sur les personnes vaccinées n'a pas lieu «pour des raisons d'économie de données».
Cela révèle-t-il que le certificat Covid suisse délivré sur papier et sous forme numérique est tout sauf infalsifiable? Pas du tout! Le système, selon la mise en œuvre suisse, n'autorise toujours que les certificats valides et vérifiables sur le plan cryptographique.
L’OFIT exclut-il l'utilisation abusive du système pour générer des certificats Covid – par exemple dans une pharmacie? Les responsables au niveau fédéral s'accordent à dire que les abus ne peuvent jamais être exclus à 100%. Toutefois, la Suisse dispose d'un système très sûr, et les dérives sont peu probables.
Les données du serveur pourraient également être utilisées pour repérer à tout moment si un professionnel a délivré indûment de faux certificats de vaccination. La porte-parole de l’OFIT fait référence au devoir de surveillance des cantons. Ils sont responsables et déterminent également les personnes qui sont autorisées à délivrer des certificats Covid.
Les cantons sont également tenus par la loi de surveiller les émetteurs. Cela signifie que les responsables doivent veiller à ce que seules des personnes compétentes aient accès au système.
Sur le plan juridique, l'émission de faux certificats Covid constitue une falsification de documents. Le Code pénal suisse prévoit jusqu'à cinq ans de prison pour les délits de falsification de documents. Cela s'applique non seulement aux émetteurs de certificats, mais aussi aux personnes qui les utilisent.
Cependant, la doctrine juridique n’est pas encore au clair au niveau de l'art. 252 du code pénal par rapport à son application sur l'utilisation de faux certificats Covid, explique un juriste de l'Office fédéral de la santé publique. En fin de compte, c’est le rôle des tribunaux de juger et de décider de cette question.
Le système suisse de certificats Covid est conçu de telle sorte que non seulement les émetteurs, mais aussi l'OFIT et les cantons peuvent révoquer les certificats Covid.
Environ 1% des certificats délivrés ont été annulés jusqu'à présent, «généralement en raison de noms incomplets ou incorrects ou à cause de prescriptions». En ce qui concerne la génération illégale de certificats en Suisse, les autorités fédérales n'ont pas connaissance d'incidents à ce jour, selon les rapports. Pour l'instant, les autorités restent impuissantes avec les faux certificats étrangers.
En conclusion, la Confédération décrit les certificats Covid comme infalsifiables. Les citoyens et citoyennes doivent savoir ce que cela signifie concrètement. Et personne ne devrait se bercer d'un faux sentiment de sécurité à cause d'un tel document et renoncer aux mesures de prévention anti-covid.