Lancé le 21 juillet 2021, le pass sanitaire est un passeport vaccinal qui permet d’accéder à divers lieux publics, notamment les lieux de divertissement et de culture, certains centres commerciaux, le métro ou encore les lieux de restauration. L’application TousAntiCovid Vérif permet aux gérants de ces lieux de vérifier le pass sanitaire de ses clients. Toutefois, le dispositif amène des questions puisqu’il y va de la sécurisation des données personnelles des bénéficiaires de ce pass sanitaire.
Pass sanitaire, TousAntiCovid et TousAntiCovid Vérif
Sous l’impulsion du Président de la République, le pass sanitaire est en quelque sorte l’invité surprise du processus de déconfinement progressif. En cette période où un certain nombre de Français hésitent encore à se faire vacciner, le pass sanitaire est perçu par ces derniers et autre opposant au pas, comme un moyen de pression du gouvernement. Pour les experts en sécurité cyber, il cache un enjeu encore plus important, la cyberprotection relative aux données personnelles.
Pour rappel, l’application TousAntiCovid Verif est une application gouvernementale téléchargeable sous Android et iOS pour les personnes habilitées à le faire. L’application scanne le QR Code présenté par les clients sur papier ou directement depuis l’application TousAntiCovid. Des informations comme le nom, la date de naissance et la validité du pass s’affichent alors.
Usurpation et falsification du pass sanitaire
Selon la CNIL (Commission nationale de l’informatique et des libertés), même si théoriquement personne ne peut accéder aux données de santé sans y être habilité, il subsiste une menace. La CNIL conseille fortement les utilisateurs de ne jamais afficher son code QR sur les réseaux sociaux ou dans les endroits où ce n’est pas nécessaire. En effet, nombreux sont ceux qui publient fièrement leurs code QR sur Twitter ou Facebook après leurs vaccins. D’autres individus peuvent être tentés de les récupérer et de s’en servir pour créer de faux certificats de vaccination.
D’ailleurs, la vente de faux pass sanitaires a le vent poupe sur le Darknet et ce depuis le début de l’année. Les certificats de vaccination contrefaites y sont vendus entre 100 et 120 euros. La France, le Royaume-Uni et l’Allemagne sont les plus grands pourvoyeurs d’attestations illégalles. Pour arriver à leurs fins, les pirates récupèrent les QR codes appartenant aux personnes vaccinées ainsi que les informations qu’ils contiennent pour ensuite créer de fausses pièces d’identité.
L’Assurance Maladie est la seule entité habilitée à créer un pass sanitaire. Pour rappel, Produire ou utiliser un faux document expose jusqu’à 3 ans d’emprisonnement et 45 000 € d’amende. Idem pour ceux qui « prêtent » leurs pass sanitaires à des tiers, quels que soient leurs motifs. Les passeports vaccinaux ayant fait l’objet de falsification et/ou d’usurpation seront inutilisables et placés sur une liste noire.
Quid de la cybersécurité ?
Ce qui inquiète les observateurs et les experts en cybersécurité, c’est la possibilité d’une surveillance de masse. Daniel Bancal, expert en la matière tempère en déclarant :
Je pense que ce n’est pas dans l’intérêt de l’État, il y a tellement d’autres outils avec lesquels on pourrait espionner, je pense aux impôts, aux réseaux sociaux par exemple…
En effet, les QR Codes contiennent des données personnelles chiffrées qui sont envoyées au serveur de l’imprimerie nationale IN Groupe. Quand bien même il s’agit de données privées, on ne sait pas grand-chose sur la manière dont elles sont utilisées. Suite aux réactions pour le moins sceptiques des spécialistes, le processus de vérification se fait hors ligne désormais.
Sunbren pour votre entreprise
Entrez en contact dès maintenant avec notre équipe commerciale pour définir avec elle la solution Sunbren optimisée pour votre entreprise.
Articles récents
Arnaque au faux RIB : TPE et PME prises pour cible
En 2019, la dernière année avant la crise sanitaire, 7 entreprises françaises sur 10 ont été la cible d’au moins une tentative de fraude sur fond de délinquance financière selon le ministère de l’Intérieur. Heuler Hermes DFCG a réalisé une étude similaire en 2021,...
UE : le mécanisme de notifications des incidents cyber peut mieux faire
Créée en 2004, l’Agence européenne chargée de la sécurité des réseaux de l’information ou ENISA est censée être bien rodée et fonctionner en plein régime à l’heure actuelle. Il n’en est rien ! À une époque ou nous avons plus que jamais besoin d’une structure fiable...
Cybersécurité et industrie pharmaceutique
L’industrie pharmaceutique française a connu un passage à vide qui a duré une quinzaine d’années. Période pendant laquelle notre secteur pharmaceutique a perdu sa place de leader européen en termes de production, malgré un total de 271 sites en activité sur tout le...