DE | FR
Bild

shutterstock / montage watson

Des certificats Covid suisses «infalsifiables», vraiment?

En cette période estivale, la demande de certificats Covid explose en Suisse. L'occasion rêvée pour des trafiquants de gagner de l'argent en vendant des faux documents, souvent très bien imités.

Diese Story ist auch auf Deutsch verfügbar. Zur Story


«Le certificat suisse Covid est infalsifiable», mettent en avant les autorités cantonales et fédérales. Les tests effectués par des experts en sécurité informatique n'ont, pour l'heure, pas révélé de lacunes en matière de sécurité.

Alors, tout va bien? Non.

Sur le darknet, des trafiquants vendent de faux certificats de vaccination allemands et valables en Suisse, selon notre enquête. Et personne ne fait rien. Pire encore: la Suisse n'a toujours pas mis en place une fonction qui empêcherait la possibilité de convertir ces certificats allemands en certificat light suisses. Maintenant, la Confédération dit vouloir réagir.

Une question dangereuse

Est-il facile d'obtenir un certificat de vaccination si l'on n'est pas vacciné? watson s’est posé la question il y a une quinzaine de jours. En ce moment, nous savons que les personnes non vaccinées peuvent acheter relativement facilement des certificats de vaccination Covid sur Internet. Cela en moins de 30 minutes via une application de messagerie cryptée. La Suisse fait face à plusieurs problèmes.

Tout d’abord: les certificats générés en Allemagne et dans d’autres pays de l’Union européenne sont également valables en Suisse et ne peuvent techniquement pas être reconnus comme des faux. Ensuite, comme le confirme l'Office fédéral de l'informatique et de la télécommunication (OFIT), il y a un autre problème:

«Nous ne pouvons pas invalider les certificats étrangers. C’est la responsabilité du pays émetteur»

Sonja Uhlmann, porte-parole de l’OFIT

Dans la suite de cet article, nous ne divulguerons pas d'informations détaillées qui permettraient de tirer des conclusions sur l’émission de certificats illégaux. Il est à craindre que des personnes non vaccinées, porteuses du virus, contaminent de nombreux individus lors de voyages ou à l’occasion de grandes manifestations.

Les dealers de certificats

Les transactions ont lieu via des applications de messagerie avec un cryptage de bout en bout. Les autorités chargées de l'enquête ne peuvent pas décrypter les messages envoyés sur ces applications. Ce qui est dangereux, c'est que les certificats sont illégalement émis à partir des sites internet des autorités compétentes et ne sont donc pas reconnaissables comme des faux. Pas même par la police.

Bild

Les certificats de vaccination de l'État ne sont pas seulement disponibles sur papier, ils peuvent également être envoyés sous forme de documents PDF. watson

Contre un versement d’environ 150 francs (en crypto-monnaie), un dealer anonyme peut envoyer un «certificat numérique de vaccination COVID de l’Union européenne», sous forme de fichier PDF. Ces certificats munis de codes QR peuvent être utilisés en Suisse et dans les pays de l'UE pour voyager.

Les certificats numériques ont vraisemblablement été générés à partir d’un accès interdit à un système informatique correspondant à l'association allemande des pharmaciens. L'association allemande des pharmaciens a répondu à watson:

«Jusqu'à présent, nous n'avons aucune indication que des certificats de vaccination aient pu être délivrés dans des pharmacies allemandes sans que la base juridique correspondante soit respectée».

Reiner Kern, responsable de la communication, Association fédérale des pharmaciens allemands

La Confédération réagit

Les certificats générés en Allemagne sont également valables en Suisse et ne peuvent pas être reconnus comme des faux, ni à l'œil nu, ni lors d'un contrôle avec l'application de vérification officielle.

La porte-parole de l’OFIT, Sonja Uhlmann, souligne:

«Nous ne pouvons prendre aucune responsabilité pour les certificats Covid étrangers, ni pour les contrefaçons qui sont faites à l'étranger»

De plus, un certificat light suisse peut être généré à partir d’un faux certificat européen, comme le confirment les experts de l’OFIT.

Bild

Un certificat light suisse authentique peut être généré à partir d’un faux certificat allemand.

Pour rappel, le certificat light a été développé à la demande du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il comporte moins de données que l’original. Ce certificat n’est valable que pour une durée de 48 heures. Il ne peut en aucun cas être annulé pendant cette période, comme l'a déjà précisé watson.

Dans l'évaluation des risques, la Confédération a conclu qu'une validité irrévocable de 48 heures était justifiable. Toutefois, en raison des recherches effectuées sur les faux certificats Covid allemands, les offices fédéraux compétents veulent maintenant revenir sur leurs décisions.

«L'OFIT a enquêté sur cette question. A présent, nous allons discuter avec l'OFSP si la possibilité de créer un certificat light devrait être limitée aux certificats émis en Suisse»

Sonja Uhlmann, Porte-parole de l’OFIT

Le dilemme de l’annulation

L'Union européenne et la Suisse ont convenu au plus haut niveau politique de reconnaître mutuellement leurs certificats nationaux. Toute personne ayant été vaccinée deux fois contre le Covid-19 devrait pouvoir le prouver en montrant simplement son code QR (sur papier ou sur un smartphone). L'objectif visé est de faciliter les déplacements en Europe.

Pour qu'un certificat Covid allemand soit reconnu comme valable lors d'une vérification en Suisse, un trafic de données transfrontalier est nécessaire. Les États échangent les clés de signature électroniques stockées sur leurs serveurs. Ces clés cryptographiques peuvent ensuite être utilisées pour confirmer l'authenticité des certificats.

C’est là que survient le problème. Alors que la Suisse a mis en place un travail de précision pour révoquer les faux certificats et peut bloquer un seul certificat de vaccination sur la base de son identifiant unique (appelé UVCI), l'UE et donc aussi l'Allemagne gèrent cette problématique d’une autre façon: si un certificat Covid doit être bloqué, cela ne peut se faire qu'en révoquant tous les certificats de vaccination émis par une seule pharmacie ou un seul centre de vaccination.

L'expert allemand en sécurité informatique Thomas Siebert, de l'entreprise G DATA, s'est occupé intensivement des carnets de vaccination numériques. Dans un article publié sur le blog de l'entreprise fin juin, il parlait d’importantes faiblesses. Il faisait notamment référence au problème de l'impossibilité de déclarer caducs les certificats Covid individuels en Allemagne et dans d'autres pays de l'UE.

Il est au courant que toutes les pharmacies allemandes utilisent la même clé de signature pour générer des certificats pour leurs clients.

« Ainsi, si une seule pharmacie a émis de faux certificats de vaccination dans une vaste zone, tous les certificats de vaccination émis dans les pharmacies devraient être rappelés. Et jusqu’à présent, une grande partie des certificats de vaccination en Allemagne ont probablement été délivrés dans des pharmacies. »

Toute option de blocage individuel – telle que pratiquée par la Suisse, par exemple, sur la base de l'identifiant unique - n'est actuellement pas spécifiée et n'est donc pas possible. Si la Suisse bloquait un certificat de cette manière, ce certificat serait toujours reconnu comme valide dans les applications allemandes, par exemple.

A quel point est-ce grave ?

L'ampleur des faux certificats numériques Covid, qui passent pour authentiques, ne peut être estimée.

Le dealer de certificats que nous avons rencontré, lors de nos recherches, est-il un cas isolé? Il y a deux possibilités:

Watson ne dispose pas de données chiffrées ou de statistiques sur les accès abusifs aux systèmes informatiques utilisés pour générer les certificats Covid en Allemagne. Le ministère fédéral de la santé, situé à Bonn, n'a pas voulu divulguer de détails à watson. Il a fait référence aux sanctions auxquelles s'exposent les vendeurs et les acheteurs de certificats illégaux.

« Les statistiques criminelles de la police allemande n’indiquent pas les falsifications des carnets de vaccination de façon spécifique. Toutefois, la falsification des certificats de vaccination est punie par la loi. Cela s'applique aux documents de vaccination analogiques et numériques. Ainsi, l'utilisation de documents incorrects de ce type peut être punie d'une peine d'emprisonnement allant jusqu'à un an ou d'une amende. La production de documents incorrects est passible d'une peine de prison pouvant aller jusqu'à deux ans ou d'une amende.»

Sebastian Gülde, porte-parole

En outre, le ministère fédéral de la santé fait référence, dans sa déclaration, à des «instruments de sécurité» censés dissuader les éventuels délits. Les pharmaciens devraient «non seulement faire face à des conséquences pénales, mais aussi au retrait de leur licence d'exercice en cas d’abus de leur fonction.» Les pharmaciens sont tenus «de facturer les services fournis sur une base mensuelle en termes de quantité». Une collecte de données concrètes sur les personnes vaccinées n'a pas lieu «pour des raisons d'économie de données».

Des certificats tout sauf «infalsifiables»?

Cela révèle-t-il que le certificat Covid suisse délivré sur papier et sous forme numérique est tout sauf infalsifiable? Pas du tout! Le système, selon la mise en œuvre suisse, n'autorise toujours que les certificats valides et vérifiables sur le plan cryptographique.

L’OFIT exclut-il l'utilisation abusive du système pour générer des certificats Covid – par exemple dans une pharmacie? Les responsables au niveau fédéral s'accordent à dire que les abus ne peuvent jamais être exclus à 100%. Toutefois, la Suisse dispose d'un système très sûr, et les dérives sont peu probables.

Les données du serveur pourraient également être utilisées pour repérer à tout moment si un professionnel a délivré indûment de faux certificats de vaccination. La porte-parole de l’OFIT fait référence au devoir de surveillance des cantons. Ils sont responsables et déterminent également les personnes qui sont autorisées à délivrer des certificats Covid.

Jusqu'à 5 ans de prison

Les cantons sont également tenus par la loi de surveiller les émetteurs. Cela signifie que les responsables doivent veiller à ce que seules des personnes compétentes aient accès au système.

Sur le plan juridique, l'émission de faux certificats Covid constitue une falsification de documents. Le Code pénal suisse prévoit jusqu'à cinq ans de prison pour les délits de falsification de documents. Cela s'applique non seulement aux émetteurs de certificats, mais aussi aux personnes qui les utilisent.

Cependant, la doctrine juridique n’est pas encore au clair au niveau de l'art. 252 du code pénal par rapport à son application sur l'utilisation de faux certificats Covid, explique un juriste de l'Office fédéral de la santé publique. En fin de compte, c’est le rôle des tribunaux de juger et de décider de cette question.

Art. 252 Faux dans les certificats

Selon l’art. 252 du Code pénal suisse (CP), «Celui qui, dans le dessein d’améliorer sa situation ou celle d’autrui, aura contrefait ou falsifié des pièces de légitimation, des certificats ou des attestations, aura fait usage, pour tromper autrui, d’un écrit de cette nature, ou aura abusé, pour tromper autrui, d’un écrit de cette nature, véritable mais non à lui destiné, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.»

Combien d’annulations y a-t-il déjà eu ?

Le système suisse de certificats Covid est conçu de telle sorte que non seulement les émetteurs, mais aussi l'OFIT et les cantons peuvent révoquer les certificats Covid.

Environ 1% des certificats délivrés ont été annulés jusqu'à présent, «généralement en raison de noms incomplets ou incorrects ou à cause de prescriptions». En ce qui concerne la génération illégale de certificats en Suisse, les autorités fédérales n'ont pas connaissance d'incidents à ce jour, selon les rapports. Pour l'instant, les autorités restent impuissantes avec les faux certificats étrangers.

En conclusion, la Confédération décrit les certificats Covid comme infalsifiables. Les citoyens et citoyennes doivent savoir ce que cela signifie concrètement. Et personne ne devrait se bercer d'un faux sentiment de sécurité à cause d'un tel document et renoncer aux mesures de prévention anti-covid.

L’essentiel en bref

Les recherches de watson montrent que même les personnes non vaccinées peuvent acheter un faux certificat de vaccination Covid sur Internet, relativement facilement. Contre un paiement d’environ 150 francs (en crypto-monnaie), le vendeur anonyme envoie un «certificat numérique COVID» valide. Il peut être utilisé en Suisse et dans les pays de l'UE pour voyager et à d'autres fins. L'origine des certificats illégaux n'est pas claire. L'association allemande des pharmaciens dit ne pas avoir connaissance des abus mentionnés.

«Les effets désirables du vaccin»

1 / 7
«Les effets désirables du vaccin»
Share on FacebookShare on TwitterShare via WhatsApp

Pourquoi les Suisses boudent-ils le vaccin?

Plus d'analyses en lien avec le Covid

Le «oui» à la loi Covid est-il un test fiable pour la confiance du peuple?

Link zum Artikel

Quand est-ce que le Conseil fédéral rendra son pouvoir?

Link zum Artikel

«Théories du complot»: De quoi ne parle-t-on pas?

Link zum Artikel

Accentué par la crise, un élan libertaire parcourt la Suisse

Link zum Artikel

Pourquoi l'initiative contre la vaccination obligatoire va aboutir

Avec déjà plus de 76 000 signatures annoncées, auxquelles s’ajoute désormais le soutien actif des Amis de la Constitution, l’initiative contre la vaccination obligatoire n’aura aucune peine à atteindre les 100 000 signatures.

Le dépôt de leur deuxième référendum contre la loi Covid passé, les Amis de la Constitution peuvent désormais se concentrer sur un autre objectif: Faire aboutir l’initiative populaire «STOP à la vaccination obligatoire». Comme son nom l’indique, cette dernière compte inscrire dans la Constitution fédérale une interdiction d’obliger la population à se faire vacciner.

«Nous soutenons depuis un moment cette initiative. Mais ne pouvant pas courir plusieurs lièvres à la fois, c’est maintenant …

Lire l’article
Link zum Artikel