QR Code du pass sanitaire

Est-il possible de falsifier le QR Code du pass sanitaire ?

Est-il possible de falsifier un QR Code ?

Avant tout, c’est quoi un QR code ?

Le QR Code pour “Quick response code” est un code barre en deux dimensions qui est représenté par un carré de pixels, ce qui est le cas pour le QR Code du pass sanitaire. Il permet de décrypter des informations par un scan en moins de 3 secondes. Il a été créée en 1994 au Japon par l’entreprise Denso-Wave. Conçu à la base pour l’entreprise Toyota, afin de tracer le chemin des pièces détachées en usine, il a ensuite été rendu publique en 1999 sous licence libre. Le QR code connaît très vite le succès et ça dès son lancement. Il peut donner des tas d’informations différentes : un simple texte, une URL pour navigateur internet, mais aussi interagir avec différentes applications et créer des instructions au sein de cette même application.

 

Le QR code a la côte

En ces temps de pandémie mondiale, cette technologie s’offre une seconde vie. D’autant plus qu’aujourd’hui les smartphones intègrent un lecteur de QR code dans leur appareil photo. Avant cela, il fallait télécharger une application pour les lire. La crise sanitaire a aussi accéléré l’utilisation du « sans contact » : dans la restauration par exemple, les cartes ont été remplacées par  des autocollants de QR Code à flasher. Dans certains commerces, on s’en sert également pour créer des files d’attente virtuelles. De son côté, Paypal a lancé le paiement par QR code, très pratique pour les livreurs, artisans et petits commerçants qui ne disposaient pas de terminal de paiement par carte.

 

Le QR code est-il sécurisé ?

Les codes à barres et les QR codes qui représentent la technologie de première et de deuxième génération ne sont pas sécurisés et donc vulnérables au piratage. Nous l’avons évoqué, les QR codes ont été développés comme une technologie de numérisation pour le suivi de pièces automobiles. Un monde très loin de l’utilisation qu’on en fait aujourd’hui avec les passeports de santé numériques. Ils n’ont jamais été conçus de façon sécurisé et avec la confidentialité à l’esprit.

Le processus d’attagging consiste à remplacer un « QR code authentique » par un QR code cloné qui redirige ensuite la personne scannant ce code, vers un site Web similaire où les données personnelles peuvent être interceptées et volées. Le problème est si important qu’en Inde, il y a plus d’un milliard de transactions financières frauduleuses chaque jour utilisant des QR codes. Comme le parcours utilisateur de numérisation est le même, seuls les individus avertis en technologie peuvent remarquer que le nom de domaine a changé.

Source : Services-mobiles

 

En ce qui concerne le QR Code du pass sanitaire…

Le code datamatrix sert à garantir l’authenticité du document, afin d’éviter que des individus utilisent de faux certificats. Une fois scanné, il révèle de multiples informations, comme la date de naissance et le type de vaccin. Le QR Code,  lui, est utilisé pour stocker le document dans TousAntiCovid afin de détenir le précieux Pass Sanitaire. Lui aussi peut être scanné par n’importe quel smartphone pour accéder aux données personnelles de son propriétaire. Grâce à cette simple opération, des pirates peuvent ainsi voler l’identité de leur victime et circuler librement dans des lieux soumis à un contrôle sanitaire.

Grâce aux données récoltées sur le document, les pirates peuvent se faire passer par l’Assurance maladie, ou même un hôpital, en mettant en avant les coordonnées exactes de leurs victimes. Notez que les passeports sanitaires sont d’ores et déjà devenus des objets de contrebande sur le Dark Web. Le danger est donc bien réel, mais des mesures sont prises pour minimiser l’action de ces hackeurs.

Source : Phonandroid

 

 

Une application pour contrer des failles de sécurité dans l’application

À la demande de l’État, StopCovid l’application de traçage de contacts est passée au peigne fin. Elle est actuellement prise pour cible par des hackers et codeurs qui cherchent les failles ou erreurs dans le logiciel. Tous les codeurs qui le souhaitent peuvent accéder au code source de l’application.  Une bonne partie a été mise en ligne, selon l’institut public de recherche en informatique Inria, maître d’œuvre de la contestée application. Ils peuvent ainsi vérifier qu’elle fonctionne correctement et n’est pas détournée par ses promoteurs.

Parallèlement, une petite trentaine de chasseurs de primes du numérique renommés, ont commencé à attaquer l’application. Cette campagne de recherche de vulnérabilités a été orchestrée par la société spécialisée Yes We Hack, à la demande de l’Inria et de l’agence publique Anssi, gardienne française de la sécurité des réseaux.

L’objectif de ces chercheurs de bugs est de se mettre dans la peau d’un pirate informatique et de trouver une vulnérabilité sur l’application et le QR Code du pass sanitaire, en échange d’une prime pouvant aller jusqu’à 2 000 €. Leur travail ne sera pas forcément facile, avertit Guillaume Vassault-Houlière, dirigeant de Yes We Hack. Ces pirates vont arriver sur une plateforme assez mature, qui a déjà bénéficié des recommandations de l’Anssi, rappelle-t-il. Mais les chasseurs de primes arrivent toujours à trouver des trucs, qui peuvent être bénins comme ils peuvent être très gros, explique-t-il. “Et pourtant, nous avons tout types de structures parmi nos clients, y compris des entreprises qui dépensent des millions d’euros ou de dollars en système de défense.”

 

D’une manière générale, les informaticiens jugent impossible de garantir qu’il n’y ait pas de bug ou de faille nichée dans un programme, quel qu’il soit. En plus les programmeurs utilisent eux-mêmes des outils tout faits, des bouts de code tout faits accessibles dans des librairies qui, elles aussi, ont potentiellement des failles et des problèmes. La vulnérabilité des applications est aussi renforcée par l’environnement de travail des développeurs, dont la mission est avant tout d’arriver à faire fonctionner un outil dans un certain délai – la sécurisation ne venant qu’ensuite.

Aujourd’hui ce qu’on demande aux développeurs, c’est de répondre à un cahier des charges et de respecter un délai, souligne Arnaud Lemaire.

Pour Guillaume Vassault-Houlière, ce qui compte n’est pas seulement de trouver une erreur ou un bug, c’est aussi de bien évaluer sa dangerosité ou ses conséquences sur le fonctionnement de l’application : Tout doit se qualifier en fonction des métiers de l’application.

Source : Ouest-France

 

La protection des données de santé

La question de la protection des données est également posée, surtout qu’il s’agit de données médicales et personnelles sensibles. Le gouvernement affirmait que les données importées dans TousAntiCovid seraient chiffrées et resteraient en local sur le téléphone des usagers. Ce dernier assurait également que l’application ne garderait rien en mémoire. Les autorités et les personnes habilités ne devaient avoir accès qu’aux informations utiles. “Quand vous tendrez votre pass, la seule chose qui apparaîtra à l’écran sera du vert ou du rouge. Personne ne saura si vous pouvez vous déplacez grâce à un vaccin ou un test PCR” déclarait ainsi Cédric O, Secrétaire d’Etat en charge du numérique, sur Europe 1.

Cependant, la réalité semble un peu plus compliquée. Des experts en informatique ont découvert en analysant l’application TousAntiCovid Verif que cette dernière effectuait l’opération de vérification des QR Codes scannés à distance, via un serveur central et non en local. De plus, les données des QR codes ne sont apparemment pas chiffrés comme annoncé par l’exécutif. Interrogé, le gouvernement explique tout d’abord que le serveur central ne stocke pas les données des QR codes. Il affirme ensuite avoir manqué de temps mais assure que le tir sera corrigé via une mise à jour prochaine. À terme, la vérification sera opérée en local sur les téléphones des personnes qui scanneront les codes, selon le gouvernement.

D’après le dossier de presse envoyé par le gouvernement, la vérification du pass européen se fait cette fois en local sur les téléphones des personnels habilités et aucune donnée n’est stockée. Seule la signature électronique permettant de vérifier l’authenticité de la preuve que vous présentez est envoyée à un serveur central pour vérification.

Quoi qu’il en soit, il faut se rappeler qu’avant d’être ajoutés à TousAntiCovid, les résultats de tests et autres certificats sont nécessairement centralisés sur la plateforme sidep.gouv.fr ou sur les serveurs d’ameli.fr et aussi sécurisés soient-ils, aucun système informatique n’est infaillible.

Source : CNET

 

À voir aussi : Comment faire perdurer son site web ?