Le ministre de la Santé a annoncé qu’il allait désactiver 300 000 pass vaccinaux frauduleux, dont plusieurs dizaines de milliers en quelques jours. Presque trois semaines plus tard, le nombre de pass bannis est seulement d’un peu moins de 35 000.

Depuis plusieurs mois, le gouvernement durcit le ton face aux fraudeurs qui utilisent de faux pass sanitaires, devenus pass vaccinaux. Mais les faits ne suivent toujours pas les mots. Invité le 2 février 2022 par BFM TV, le ministre de la Santé Olivier Véran évoquait l’identification par l’assurance maladie de 300 000 faux pass fonctionnels : « J’ai annoncé qu’on allait les faire sauter progressivement, 30 000 cette semaine et puis davantage les semaines suivantes. »

Pourtant, il a fallu attendre le 17 février 2022, presque trois semaines après l’annonce, pour que la liste noire de l’application TousAntiCovid (le seul moyen d’annuler un pass) augmente significativement pour atteindre 34 584 pass rendus inopérants.

En décembre 2021, c’était le ministre de l’Intérieur Gérald Darmanin qui brandissait le chiffre de 182 000 faux pass débusqués par les services de police, sans que le nombre de documents rendus inopérants ne se rapproche de son annonce, avec à l’époque moins de 4 000 pass blacklistés.

Aucune augmentation majeure dans les pass blacklistés

Les chiffres ne correspondent pas : le matin du 18 février 2022, 2 semaines après les annonces d’Olivier Véran, 5 234 pass étaient placés sur liste noire. Seulement 4 739 l’étaient le 16 février 2022. Bien loin des dizaines de milliers annoncés par le ministre. Ce chiffre est obtenu par le consultant en cybersécurité et observateur assidu des évolutions du pass vaccinal Piotr Chmielnicki, en accédant directement à la liste dans le fichier de configuration de l’application, grâce à un script développé à cet effet.

Interrogée sur cette différence, la Direction Générale de la Santé (DGS) nous indique le 17 février 2022 que ce processus de suppression par l’assurance maladie se fait en deux étapes. Dans un premier temps, la Caisse Nationale de l’Assurance Maladie (Cnam) supprime les dossiers de parcours vaccinaux, ce qui ne supprime pas directement le pass sanitaire. Une deuxième manœuvre « donne ensuite lieu à la révocation (ou blacklistage) des pass correspondants par les services de l’État en charge. »

La DGS reconnait entre les lignes que, contrairement à ce qu’a annoncé Olivier Véran, « Des séquences de mise sur liste noire par tranche de 10 000 pass ont commencé ce [17 février] pour atteindre ces 300 000 faux pass en cours d’annulation de dossiers dans Vaccin Covid. » Ce qui n’a toujours rien à voir avec le calendrier évoqué par le ministre.

Mais cette fois-ci, le nombre sur liste noire a effectivement augmenté le 17 février 2022 en fin de journée pour brusquement atteindre 34 584 pass blacklistés. Un chiffre repéré le 18 février en fin de journée par le développeur web David Libeau, un autre observateur attentif des évolutions du pass vaccinal, que Cyberguerre avait dans un premier temps sous-évalué à cause d’un problème technique (cf explication de fin d’article).

Olivier Véran
Olivier Véran pendant une conférence de presse // Source : YT/French Government

La révocation des pass, un processus fastidieux

Pourquoi cette suppression n’est pas si simple ? Parce qu’un pass sanitaire est un QR code généré à partir d’une clé privée. Il ne peut pas être révoqué sans révoquer tous les pass sanitaires qui disposent de cette même clé privée, ce qui peut concerner des dizaines de milliers de QR codes (qui ne sont pas tous frauduleux).

Ce système a été choisi pour éviter une trop grande concentration des données. C’est également à cause de ce fonctionnement que toutes les données contenues dans votre QR code sont techniquement lisibles par quiconque le scanne.

La liste noire a été mise en place dans les applications pour se débarrasser d’un pass sanitaire généré de façon frauduleuse, par un soignant malhonnête ou un pirate qui a volé des identifiants. Les pass ne sont donc pas annulés, mais rendus « inutilisables » par TousAntiCovid et TousAntiCovid-Verif, un par un. Cette liste est censée être mise à jour régulièrement dans le code de TousAntiCovid.

Pas d’évolution majeure dans les dispositifs anti-fraude

En décembre 2021, le secrétariat d’État au Numérique concédait à Cyberguerre que « des travaux sont en cours pour améliorer la portée des dispositifs anti-fraude ». La DGS confirme que la liste noire est encore le seul moyen de rendre inopérant un pass. Elle précise néanmoins quelques évolutions.

La justice ne peut toujours pas supprimer directement des pass, « mais elle peut demander la suppression de pass auprès de l’Assurance maladie par voie de réquisition. La CNAM peut donc supprimer des cycles vaccinaux suite à une décision de justice ou sur réquisitions des parquets. » Ce qui n’était pas encore possible en décembre 2021.

La DGS mentionne également le dispositif de repentis, qui permet d’annuler des faux pass de personnes qui souhaiteraient se faire vacciner. Et enfin « la possibilité d’annulation en grands nombres des cycles vaccinaux par la CNAM, avec à la clé révocation des pass correspondants », processus en question dans les annonces d’Olivier Véran.

Néanmoins ces améliorations du dispositif anti-fraude n’ont pas encore réussi à opérer de changements majeurs. Dans les faits, l’écrasante majorité des 300 000 faux pass évoqués par Olivier Véran, tout comme les 182 000 évoqués par Gérald Darmanin en décembre, sont toujours actifs et fonctionnels.

Correction 20h40 : cet article, originellement titré « Olivier Véran promet 300 000 faux pass vaccinaux bannis, mais seuls 5 234 l’ont été », mentionnait dans un premier temps un nombre de pass sous-évalué de 5 234 pass blacklistés. Une erreur due à l’interface du script qui permet d’accéder aux pass placés sur liste noire, qui limite l’affichage à 5 000 pass par page.