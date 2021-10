Après la confusion des premières heures de la nouvelle des Green Pass contrefaits à des noms arbitraires comme Adolf Hitler, quelques indices ont émergé en ligne qui aident à reconstituer l’histoire. L’hypothèse la plus probable est que les accès à certains outils web permettant de générer les documents en question sont restés découverts.

Ces derniers jours, le mécanisme de certification verte Covid-19 a été mis à mal par une faille de sécurité qui permettait à des personnes anonymes de générer des Pass Verts contrefaits mais pouvant apparaître réelles lors des contrôles. Observateurs et experts en sécurité ont tout de suite tenté de comprendre comment il était possible qu’un système de vérification jugé inviolable comme celui du Green Pass soit contourné, mais pendant des heures les indices disponibles étaient en réalité peu nombreux et difficiles à confirmer. Cependant, le nouveau matériel qui a émergé des forums en ligne aujourd’hui nous permet d’avoir une image plus complète et si possible décourageante de la situation : plus que le résultat d’un vol ou d’une attaque hacker astucieuse, la situation actuelle pourrait être le résultat d’un erreur de conception grossière par ceux qui ont conçu une partie clé du mécanisme de délivrance de documents.

Le rôle des clés privées

L’hypothèse de départ liée à l’apparition en ligne des Green Pass au nom d’Adolf Hitler et de Mickey Mouse était que quelqu’un avait mis la main sur les clés privées qui permettent de générer les signatures qui rendent authentiques les Green Pass. Ces algorithmes – conservés par les autorités sanitaires de chaque pays du territoire de l’UE – fonctionnent comme des sceaux d’authenticité qui impriment leur marque numérique sur les cartes de vaccination ; le tag en question est encodé dans l’image QR et est vérifié par l’application VerificationC19 qui reconnaît alors le pass comme valide.

Cependant, les derniers indices apparus en ligne sur le portail 4Chan semblent suggérer que les choses ne se sont pas passées comme on l’avait imaginé au cours des dernières heures, ou du moins pas exactement. Au lieu d’avoir volé ou autrement pris possession des algorithmes directement, les auteurs des pass verts contrefaits auraient pu générer les documents en utilisant un portail automatisé beaucoup plus pratique : une interface web qui se connecte aux algorithmes, qui génèrent les pass verts à distance à partir de les données requises.

La faille du système

Les indices en question sont représentés par les captures d’écran de ces portails, qui montrent clairement leur fonctionnement. Les opérateurs qui se connectent à ces sites n’ont qu’à saisir les données personnelles du demandeur et à choisir les informations sur le vaccin ou l’écouvillon dans le menu déroulant. La saisie de ces données les envoie à un serveur distant qui détient les clés privées capables d’authentifier les Pass Verts, et est suivie de deux étapes : la première étape génère un aperçu du QR Code correspondant aux informations compilées ; la seconde confirme la délivrance du Green Pass en enregistrant l’événement dans la base de données de l’UE. Apparemment pourtant – il s’agit des reconstitutions réalisées en ligne à partir des indices récoltés – le simple QR Code de prévisualisation fonctionne comme un véritable Green Pass, et peut donc être téléchargé sous forme d’image pour passer les contrôles sans que le document soit effectivement délivré et enregistré.

Le cas du serveur macédonien

Le développeur de logiciels @Xiloe sur Twitter a utilisé les informations divulguées en ligne jusqu’à présent pour reconstruire et essayer de reproduire ce qui s’est passé, arrivant à une conclusion probable : au moins un des portails violés est situé sur un serveur officiel macédonien utilisé par les autorités pour générer les Pass Verts, mais il était protégé par le simple mot de passe système, c’est-à-dire le mot de passe temporaire écrit directement dans le logiciel et peut être consulté par toute personne ayant un niveau de préparation adéquat ; un administrateur local aurait dû changer le mot de passe, et en omettant de le faire, il aurait essentiellement laissé ouvertes les portes d’un système d’une importance cruciale pour le continent.

Le nombre total de points d’accès ainsi découverts n’est pas clair, mais à ce stade, il semble confirmé que les fameuses clés privées n’ont pas été volées. Cependant, la solution au problème actuel reste épineuse : il faudra tout d’abord courir à couvert pour boucher les trous de sécurité découverts ; De plus, il faudra mettre hors d’usage tous les laissez-passer verts générés par les clés privées qui ont été indûment exploités par les serveurs piratés, et pour ce faire, tous les documents authentiques réalisés à partir des mêmes clés devront être invalidés et réédité – avec des inconvénients pour les citoyens et un coup dur pour la crédibilité du système.