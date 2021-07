Suisse

Les Certificats Covid en Suisse sont-ils «infalsifiables» que ça?



Des certificats Covid suisses «infalsifiables», vraiment?

En été, la demande de certificats Covid explose en Suisse. L'occasion rêvée pour des trafiquants de gagner de l'agent en vendant des faux documents, parfois très bien faits.

«Le certificat suisse Covid est infalsifiable», mettent en avant les responsables cantonaux et fédéraux. Les tests effectués par des experts en sécurité informatique n'ont, pour l'heure, pas révélé de lacunes en matière de sécurité.

Alors tout va bien? Non.

Sur le darknet, des trafiquants vendent de faux certificats de vaccination allemand et valables en Suisse, selon notre enquête. Et personne ne fait rien. Pire encore: la Suisse n'a toujours pas mis en place une fonction qui empêcherait la possibilité de convertir ces certificats allemands en certificat light suisses. Maintenant, la Confédération dit vouloir réagir.

Une question dangereuse

Est-il facile d'obtenir un certificat de vaccination si l'on n'est pas vacciné? watson s’est posé la question il y a une quinzaine de jours. En ce moment, nous savons que les personnes non vaccinées peuvent acheter relativement facilement des certificats de vaccination Covid sur Internet. Cela en moins de 30 minutes via une application de messagerie cryptée. La Suisse fait face à plusieurs problèmes.

Tout d’abord: les certificats générés en Allemagne et dans d’autres pays de l’Union européenne sont également valables en Suisse et ne peuvent techniquement pas être reconnus comme des faux. Ensuite, comme le confirme l'Office fédéral de l'informatique et de la télécommunication (OFIT), il y a un autre problème:

«Nous ne pouvons pas invalider les certificats étrangers. C’est la responsabilité du pays émetteur»

Dans la suite de cet article, nous ne divulguerons pas d'informations détaillées qui permettraient de tirer des conclusions sur l’émission de certificats illégaux. Il est à craindre que des personnes non vaccinées, porteuses du virus, contaminent de nombreux individus lors de voyages ou à l’occasion de grandes manifestations.

Les dealers de certificats

Les transactions ont lieu via des applications de messagerie avec un cryptage de bout en bout. Les autorités chargées de l'enquête ne peuvent pas décrypter les messages envoyés sur ces applications. Ce qui est dangereux, c'est que les certificats sont illégalement émis à partir des sites internet des autorités compétentes et ne sont donc pas reconnaissables comme des faux. Pas même par la police.

Contre un versement d’environ 150 francs (en crypto-monnaie), un dealer anonyme peut envoyer un «certificat numérique de vaccination COVID de l’Union européenne», sous forme de fichier PDF. Ces certificats munis de codes QR peuvent être utilisés en Suisse et dans les pays de l'UE pour voyager.

Les certificats numériques ont vraisemblablement été générés à partir d’un accès interdit à un système informatique correspondant à l'association allemande des pharmaciens. L'association allemande des pharmaciens a répondu à watson:

«Jusqu'à présent, nous n'avons aucune indication que des certificats de vaccination aient pu être délivrés dans des pharmacies allemandes sans que la base juridique correspondante soit respectée».

La Confédération réagit

Les certificats générés en Allemagne sont également valables en Suisse et ne peuvent pas être reconnus comme des faux, ni à l'œil nu, ni lors d'un contrôle avec l'application de vérification officielle.

La porte-parole de l’OFIT, Sonja Uhlmann, souligne:

«Nous ne pouvons prendre aucune responsabilité pour les certificats Covid étrangers, ni pour les contrefaçons qui sont faites à l'étranger»

De plus, un certificat light suisse peut être généré à partir d’un faux certificat européen, comme le confirment les experts de l’OFIT.

Pour rappel, le certificat light a été développé à la demande du Préposé fédéral à la protection des données et à la transparence (PFPDT). Il comporte moins de données que l’original. Ce certificat n’est valable que pour une durée de 48 heures. Il ne peut en aucun cas être annulé pendant cette période, comme l'a déjà précisé Watson.

Dans l'évaluation des risques, la Confédération a conclu qu'une validité irrévocable de 48 heures était justifiable. Toutefois, en raison des recherches effectuées sur les faux certificats Covid allemands, les offices fédéraux compétents veulent maintenant revenir sur leurs décisions.

«L'OFIT a enquêté sur cette question. A présent, nous allons discuter avec l'OFSP si la possibilité de créer un certificat light devrait être limitée aux certificats émis en Suisse»

Le dilemme de l’annulation

L'Union européenne et la Suisse ont convenu au plus haut niveau politique de reconnaître mutuellement leurs certificats nationaux. Toute personne ayant été vaccinée deux fois contre le Covid-19 devrait pouvoir le prouver en montrant simplement son code QR (sur papier ou sur un smartphone). L'objectif visé est de faciliter les déplacements en Europe.

Pour qu'un certificat Covid allemand soit reconnu comme valable lors d'une vérification en Suisse, un trafic de données transfrontalier est nécessaire. Les États échangent les clés de signature électroniques stockées sur leurs serveurs. Ces clés cryptographiques peuvent ensuite être utilisées pour confirmer l'authenticité des certificats.

C’est là que survient le problème. Alors que la Suisse a mis en place un travail de précision pour révoquer les faux certificats et peut bloquer un seul certificat de vaccination sur la base de son identifiant unique (appelé UVCI), l'UE et donc aussi l'Allemagne gèrent cette problématique d’une autre façon : si un certificat Covid doit être bloqué, cela ne peut se faire qu'en révoquant tous les certificats de vaccination émis par une seule pharmacie ou un seul centre de vaccination.

L'expert allemand en sécurité informatique Thomas Siebert, de l'entreprise G DATA, s'est occupé intensivement des carnets de vaccination numériques. Dans un article publié sur le blog de l'entreprise fin juin, il parlait d’importantes faiblesses. Il faisait notamment référence au problème de l'impossibilité de déclarer caducs les certificats Covid individuels en Allemagne et dans d'autres pays de l'UE.

Il est au courant que toutes les pharmacies allemandes utilisent la même clé de signature pour générer des certificats pour leurs clients.

« Ainsi, si une seule pharmacie a émis de faux certificats de vaccination dans une vaste zone, tous les certificats de vaccination émis dans les pharmacies devraient être rappelés. Et jusqu’à présent, une grande partie des certificats de vaccination en Allemagne ont probablement été délivrés dans des pharmacies. »

Toute option de blocage individuel – telle que pratiquée par la Suisse, par exemple, sur la base de l'identifiant unique - n'est actuellement pas spécifiée et n'est donc pas possible. Si la Suisse bloquait un certificat de cette manière, ce certificat serait toujours reconnu comme valide dans les applications allemandes, par exemple.

A quel point est-ce grave ?

L'ampleur des faux certificats numériques Covid qui passent pour authentiques ne peut être estimée.

Le dealer de certificats que nous avons rencontré lors de nos recherches est-il un cas isolé? Il y a deux possibilités:

Soit Watson est tombé par hasard sur le premier et unique revendeur de certificats en Allemagne

Soit il existe plusieurs trafiquants qui peuvent livrer des certificats officiels générés par des canaux secrets.

watson ne dispose pas de données chiffrées ou de statistiques sur les accès abusifs aux systèmes informatiques utilisés pour générer les certificats Covid en Allemagne. Le ministère fédéral de la santé, situé à Bonn, n'a pas voulu divulguer de détails à Watson. Il a fait référence aux sanctions auxquelles s'exposent les vendeurs et les acheteurs de certificats illégaux.

« Les statistiques criminelles de la police allemande n’indiquent pas les falsifications des carnets de vaccination de façon spécifique. Toutefois, la falsification des certificats de vaccination est punie par la loi. Cela s'applique aux documents de vaccination analogiques et numériques. Ainsi, l'utilisation de documents incorrects de ce type peut être punie d'une peine d'emprisonnement allant jusqu'à un an ou d'une amende. La production de documents incorrects est passible d'une peine de prison pouvant aller jusqu'à deux ans ou d'une amende.»

En outre, le ministère fédéral de la santé fait référence dans sa déclaration à des «instruments de sécurité» censés dissuader les éventuels délits. Les pharmaciens devraient «non seulement faire face à des conséquences pénales, mais aussi au retrait de leur licence d'exercice en cas d’abus de leur fonction.» Les pharmaciens sont tenus «de facturer les services fournis sur une base mensuelle en termes de quantité». Une collecte de données concrètes sur les personnes vaccinées n'a pas lieu «pour des raisons d'économie de données».

Des certificats tout sauf «infalsifiables»?

Cela révèle-t-il que le certificat Covid suisse délivré sur papier et sous forme numérique est tout sauf infalsifiable? Pas du tout! Le système selon la mise en œuvre suisse n'autorise toujours que les certificats valides et vérifiables sur le plan cryptographique.

L’OFIT exclut-il l'utilisation abusive du système pour générer des certificats Covid – par exemple dans une pharmacie ?Les responsables au niveau fédéral s'accordent à dire que les abus ne peuvent jamais être exclus à 100%. Toutefois, la Suisse dispose d'un système très sûr et les dérives sont peu probables.

Les données du serveur pourraient également être utilisées pour repérer à tout moment si un professionnel a délivré indûment de faux certificats de vaccination. La porte-parole de l’OFIT fait référence au devoir de surveillance des cantons. Ils sont responsables et déterminent également les personnes qui sont autorisées à délivrer des certificats Covid.

Jusqu'à 5 ans de prison

Les cantons sont également tenus par la loi de surveiller les émetteurs. Cela signifie que les responsables doivent veiller à ce que seules des personnes compétentes aient accès au système.

Sur le plan juridique, l'émission de faux certificats Covid constitue une falsification de documents. Le Code pénal suisse prévoit jusqu'à cinq ans de prison pour les délits de falsification de documents. Cela s'applique non seulement aux émetteurs de certificats, mais aussi aux personnes qui les utilisent.

Cependant, la doctrine juridique n’est pas encore au clair au niveau de l'art. 252 du code pénal par rapport à son application sur l'utilisation de faux certificats Covid, explique un juriste de l'Office fédéral de la santé publique. En fin de compte, c’est le rôle des tribunaux de juger et de décider de cette question.

Art. 252 Faux dans les certificats Selon l’art. 252 du Code pénal suisse (CP), «Celui qui, dans le dessein d’améliorer sa situation ou celle d’autrui, aura contrefait ou falsifié des pièces de légitimation, des certificats ou des attestations, aura fait usage, pour tromper autrui, d’un écrit de cette nature, ou aura abusé, pour tromper autrui, d’un écrit de cette nature, véritable mais non à lui destiné, sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.»

Combien d’annulations y a-t-il déjà eu ?

Le système suisse de certificats Covid est conçu de telle sorte que non seulement les émetteurs mais aussi l'OFIT et les cantons peuvent révoquer les certificats Covid.

Environ 1 % des certificats délivrés ont été annulés jusqu'à présent, «généralement en raison de noms incomplets ou incorrects ou à cause de prescriptions». En ce qui concerne la génération illégale de certificats en Suisse, les autorités fédérales n'ont pas connaissance d'incidents à ce jour, selon les rapports. Pour l'instant, les autorités restent impuissantes avec les faux certificats étrangers.

En conclusion, la Confédération décrit les certificats Covid comme infalsifiables. Les citoyens et citoyennes doivent savoir ce que cela signifie concrètement. Et personne ne devrait se bercer d'un faux sentiment de sécurité à cause d'un tel document et renoncer aux mesures de prévention anti-covid.

