… déjà quelque 400 enquêtes sont en cours !
La transformation du passe sanitaire en passe vaccinal, adoptée en Conseil des ministres le 27 décembre, n’y changera rien : question sécurité, le portail informatique Vaccin Covid (le service de l’assurance-maladie chargé de recenser les vaccinés) est aussi étanche qu’une pomme d’arrosoir. A l’heure actuelle, n’importe quel apprenti bidouilleur est capable de le pirater pour fabriquer à la pelle de faux sésames parfaitement valides !
Effarés, policiers et gendarmes découvrent peu à peu l’ampleur de la fraude ; plus de 400 enquêtes sont en cours.
Le système est si poreux qu’un petit malin a réussi à usurper l’identité d’un élève infirmier pour générer, à lui seul, 54 000 faux certificats vaccinaux ! Pour le ministre de l’Intérieur, l’affaire, confiée aux services de police judiciaire d’Angers, est tombée au pire moment.
Le 16 décembre 2021 sur France 2, Gérald Darmanin venait d’annoncer le chiffre officiel des tricheries : autour de 110 000 faux documents.
Pilleurs de codes
Quatre jours plus tard, à la suite de la découverte de l’arnaque angevine, la Place Beauvau a dû rehausser ses statistiques à la hâte, et a annoncé 182 000 faux passes. Des chiffres toujours sous-estimés, avoue un cador de la police : « Personne n’est capable de dire combien de faux certificats vaccinaux sont actuellement en circulation ».
Très vite, les contrefacteurs ont trouvé la faille pour générer des QR codes associés à l’identité de leurs clients. La première étape consiste à récupérer le matricule d’un professionnel de santé. Fastoche : ces identifiants à 11 chiffres (ou codes RPS) sont disponibles en libre accès sur le site du ministère de la Santé !
Deuxième étape : muni de ce code, le pirate peut s’infiltrer sur le portail Vaccin Covid. Après quelques manips supplémentaires, pour, notamment, se faire attribuer un nouveau mot de passe (comme si l’ancien était « oublié ») le faussaire peut, dans un troisième temps, ajouter ses clients non vaccinés à la liste des « vaccinés ».
Cette opération (et l’édition des faux passes correspondants) serait toutefois impossible sans la dernière En principe, tous les soignants, au moment de la vaccination, doivent introduire la carte Vitale de leurs patients dans un terminal. Installé devant son ordinateur, le pirate peut, lui, modifier la procédure grâce à un message « panne de terminal » lui permettant de poursuivre en mode manuel. Il lui est alors loisible d’ajouter à sa guise identités et numéros de Sécurité sociale.
250 euros la non-piqûre
Sur les réseaux sociaux, ou sur le Dark Net, les dealeurs de documents facturent leurs services 250 euros en moyenne, dont 50 payés d’avance, le plus souvent en cryptomonnaies.
A cet effet, le faussaire adresse à son commanditaire un message lui indiquant la marche à suivre. Une fois la note payée, ce dernier n’a plus qu’à récupérer son « certificat » de vaccination sur l’application TousAntiCovid : un faux doc indétectable lors d’un contrôle, même en cas de vérification d’identité.
« Les pirates profitent aussi de l’absence de vigilance des professionnels de santé, qui, lorsqu’ils reçoivent sur leur ordinateur des notifications d’authentification (correspondant aux opérations effectuées à distance par les escrocs), les valident machinalement », déplore un gendarme spécialiste de la cybercriminalité.
Parmi les toubibs pas assez attentifs, on trouve le Dr Veaux, médecin en Gironde et propre frère du… directeur général de la police nationale. Piraté, son compte a été utilisé pour fabriquer 55 faux certifs de vaccination !
Sur les 400 enquêtes en cours, seule une dizaine concerne une autre forme de tricherie, impliquant des ripoux soignants : ceux-ci déclarent leurs patients vaccinés sans avoir pratiqué d’injection.
Pour la fraude la plus répandue, qui relève du piratage informatique, la Caisse nationale de l’assurance-maladie tente de colmater ses failles en sécurisant, entre autres, la procédure de récupération des mots de passe des professionnels de santé, et en utilisant des algorithmes censés détecter les déclarations de vaccination aberrantes. Pour l’instant, ces derniers n’ont repéré que 214 trafics, impliquant 795 vaccinés virtuels.
Une bien faible dose.
Didier Hassoux et Christophe Labbe – Le Canard Enchainé – 29/12/2021
Récemment, j’ai reçu un courrier de Martin HIRSCH, Directeur Général de l’Assistance Publique de Paris, comme 1 400 000 autres personnes, que mes données complètes État-civil, adresse, n° de sécu, adresse mail et téléphone, fournies lors de prélèvements rhino-pharyngés pour tests PCR, en mars 2020, avaient été piratées, alors qu’elles se trouvaient provisoirement stockées sur un site non dédié du Ministère…
Je connais plusieurs habitants de ma ville, et pour cause, également concernés.
Cela devient préoccupant. Ces trafiquants ont aussi fichu le bazar dans les sites informatiques de certaines villes, et particulièrement dans la paie des personnels…
J’ose écrire « on n’arrête pas le progrès… »
Il existe sur le marché des logiciel sachant décoder un qrcode (chaque petit carré est équivalent à un bit noir c’est 1 blanc c’est 0. 8 de ces bits font un caractère ou byte) et en générer un. Donc il suffit de prendre un qrcode valide le décoder changer le nom le sexe la date de naissance et régénérer un qrcode. Bon se faire prendre ça coûte très cher, mais je ne pense pas qu’il faille pirater ameli. Quand je travaillais l’entreprise avait un logiciel (openprint) capable de faire ça en passant par la norme sgml.