Par Gérard Haas et Irène Corne
Si la crise sanitaire a fortement impacté l’économie, certains ont su en tirer profit. Dès le début, des trafics en tout genre sont apparus. En effet, en raison de la rupture de stock de masques chirurgicaux au début de l’année 2020, de nombreux faux sites de vente ainsi que des offres de masques périmés ou contrefaits ont vu le jour. Depuis, un nouveau trafic en ligne s’est développé : celui des vrais-faux certificats de vaccination.
L’instauration du pass sanitaire a largement contribué à l’émergence d’un trafic de QR codes et de certificats de vaccination, qui s’est intensifié depuis qu’a été annoncé l’élargissement du pass. Tandis que certains voient dans la mise en place du pass sanitaire une atteinte excessive aux libertés individuelles, d’autres y ont vu une opportunité de s’enrichir. Ainsi, sur les réseaux sociaux (Snapchat, Facebook, Télégram, TikTok…) de nombreuses offres circulent et proposent des QR codes ou des certificats de vaccination, moyennant quelques centaines d’euros. Si un certain nombre de ces offres sont de pures arnaques, d’autres proposent de vrais-faux QR codes à enregistrer sur l’application TousAntiCovid ou des certificats de vaccination à télécharger sur le site Ameli.
Les documents attestant d’une vaccination au Covid-19 sont assortis d’un code barre bi-dimensionnel 2D-DOC mis en place par l’Agence nationale des titres sécurisés qui contient certaines informations (état civil du patient, nombre de doses injectées, vaccin, date…) et qui est signé électroniquement par une clé de chiffrement privée que seuls les organismes autorisés par l’Etat détiennent (ici l’Assurance maladie). L’application TousAntiCovid Verif dotée de la clé publique permet ensuite de vérifier le caractère authentique du certificat. Ce système hautement sécurisé rend (quasiment) impossible un éventuel piratage. Le trafic a donc émergé avec la complicité de certains médecins, pharmaciens et employés de centres de vaccination qui, eux, ont accès à la clé privée permettant de signer électroniquement les codes barre.
Concrètement, les personnes qui souhaitent obtenir un pass sanitaire prennent contact avec un intermédiaire via les réseaux sociaux et lui fournissent les informations personnelles nécessaires à la création de l’attestation (numéro de sécurité sociale, état civil). Cet intermédiaire transmet ensuite les informations à un personnel de santé complice qui va générer le vrai-faux certificat sans qu’aucun vaccin ou test PCR n’ait été réalisé.
Si le trafic est facilité par la complicité de médecins et employés de centres de vaccination, il est alimenté aussi par les personnes qui publient sur leurs réseaux sociaux des photos de leur certificat de vaccination. Le partage d’un tel document présente plusieurs dangers. Le fameux 2D-DOC pourra être copié par des personnes malveillantes afin d’être revendu. Mais surtout, il ne faut pas oublier que ce code contient vos données de santé. Dans le cas d’un contrôle du pass sanitaire qui ne serait pas assorti d’un contrôle d’identité, des personnes tierces pourraient, grâce au 2D-DOC qui normalement vous est personnel, circuler sans problème.
Par ailleurs, les données de santé contenues dans le 2D-DOC pourraient être utilisées à votre encontre pour faire du spearphishing, méthode de piratage ciblée beaucoup plus efficace que le phishing. Il est donc primordial de veiller à ce que les contenus que vous partagez sur les réseaux sociaux ne compromettent pas vos données personnelles.
Ceux qui s’adonnent à un tel trafic risquent gros. En effet, plusieurs infractions sont susceptibles de s’appliquer dans ce contexte : faux et usage de faux administratif (article 441-2 du Code pénal), détention frauduleuse de faux administratif (article 441-3 du Code pénal), complicité d’usage de faux administratif (article 441-5 du Code pénal), participation à une association de malfaiteurs (article 450-1 du Code pénal) ou encore introduction frauduleuse de données ou modification de données contenues dans un système de traitement automatisé mis en œuvre par l’Etat (articles 323-3 du Code pénal), les peines encourues pouvant être portées jusqu’à 10 ans d’emprisonnement lorsqu’elles ont été commises en bande organisée.
***
Spécialisé en cybercriminalité, le cabinet HAAS Avocats vous accompagne dans vos démarches et procédures contentieuses. Pour en savoir plus sur la cybersécurité, cliquez ici.