Le ministre de l’Intérieur communique massivement sur la découverte de 182 000 faux pass sanitaire français. Mais les données de TousAntiCovid montrent que seulement 3 307 pass sont pour l’instant sur liste noire. Comment expliquer ce décalage ? Les faux pass sont-ils toujours valides et en circulation ?

Des annonces, mais surtout des questions. Depuis plusieurs jours, le ministère de l’Intérieur, à travers son ministre Gérald Darmanin et sa porte parole, répète que plusieurs dizaines de milliers de faux pass sanitaires auraient été repérés.

Le premier chiffre évoqué le 16 décembre 2021 est 110 000 faux documents, rapidement augmenté 4 jours plus tard par le cabinet de Gérald Darmanin pour atteindre 182 000 faux pass sanitaires ce lundi 20 décembre 2021.

Mais plusieurs interrogations entourent ce chiffre. D’après les informations de Numerama, seulement 3 307 pass sanitaires étaient sur liste noire à cette date. Comment un tel décalage est-il possible ?

Les réseaux de faux pass sanitaires sont ciblés

Cette déclaration de Beauvau ne tombe pas du ciel. Les filières de faux pass existent depuis un moment, mais ces derniers jours, le gouvernement appuie sur sa volonté de lutter contre la fraude alors que la 5ème vague épidémique s’aggrave et que l’on parle de l’arrivée d’un pass vaccinal pour janvier. Ce durcissement cible précisément ces réseaux de faussaires qui fournissent des documents aux personnes qui souhaitent avoir des pass sanitaire sans se faire vacciner.

Toujours selon le ministère de l’Intérieur, 400 enquêtes seraient en cours. Certaines investigations se concentreraient sur un volet cyber « d’envergure », notamment des piratages de comptes de médecins et de pharmaciens, d’après des informations de l’AFP recueillies auprès de l’entourage du ministère de l’Intérieur. Contacté par Numerama, le ministère n’a pas donné de précisions sur ces affaires.

Une lutte contre la fraude difficile techniquement

Mais ces faux pass identifiés sont, pour l’écrasante majorité, toujours actifs.

Un pass sanitaire est un QR code généré à partir d’une clé privée. Il ne peut pas être révoqué à distance, sans révoquer tous les pass sanitaires qui disposent de cette même clé privée, ce qui peut concerner des dizaines de milliers de QR codes.

Ce système a été choisi pour éviter une trop grande concentration des données. C’est également à cause de ce fonctionnement que toutes les données contenues dans votre QR code sont techniquement lisibles par quiconque le scanne.

Mais comment, dans ce cas, se débarrasser d’un pass sanitaire généré de façon frauduleuse, par un soignant malhonnête ou un pirate qui a volé des identifiants?

Une liste noire a été mise en place dans les applications. Les pass ne sont donc pas annulés, mais rendus « inutilisables » par TousAntiCovid et TousAntiCovid-Verif, un par un. Cette liste est censée être mise à jour régulièrement dans le code de TousAntiCovid.

S’il y a 182 000 faux pass sanitaires en France, pourquoi ne sont-ils pas blacklistés ?
Un exemple du message qui s’affiche quand un pass sur liste noire est scanné // Source : Photo Numerama

Seulement 3 307 pass sur liste noire

Piotr Chmielnicki est consultant en cybersécurité. Observateur assidu des évolutions techniques du pass sanitaire, il a mis en place un script qui permet de suivre les évolutions du nombre de pass blacklistés. « Je l’actualise à la main. […] Et n’importe qui peut prendre mon script et le lancer se son côté », nous explique-t-il. Sa dernière exécution remonte à lundi, un peu avant 23h : « Il y a exactement 162 pass 2D-Doc et 3145 pass EUDCC dans la liste noire ». Soit en tout et pour tout 3 307 pass sur liste noire.

Pas besoin d’avoir la médaille Fields pour comprendre qu’il y a un problème.

Le fait qu’il n’y ait que 3 307 pass « blacklistés » ne signifie pas nécessairement que les chiffres du ministère de l’Intérieur des 182 000 faux pass découverts sont erronés. Simplement qu’ils sont probablement encore presque tous encore actifs, et donc encore utilisés.

Un cadre de révocation flou, le silence de l’Intérieur

Le secrétariat d’État au Numérique explique à Numerama qu’il y a pour l’instant deux manières de révoquer des pass sanitaires.

  • D’abord, pour la personne titulaire, dans des « cas de vol de son certificat, de perte ou encore de diffusion sur des réseaux sociaux, la personne titulaire a la possibilité de demander la révocation de son certificat auprès de la Direction générale de la santé ». La victime doit alors envoyer par mail un justificatif d’identité et son pass sanitaire en mode à [email protected]
  • La deuxième option est destinée au soignant à l’origine du certificat. Quand « un professionnel de santé (ou toute autre personne habilitée à générer des certificats) annule le dossier (cycle vaccinal, test) à l’origine du justificatif (par exemple en cas d’erreur dans sa saisie), il peut transmettre une demande de révocation à la Direction générale de la santé », à la même adresse mail que pour les particuliers.

« Des travaux sont en cours pour améliorer la portée des dispositifs anti fraude », concède le secrétariat d’État au Numérique. Car ici aussi, des interrogations demeurent. Quelles sont, par exemple, les procédures quand ce sont des soignant qui ont illégalement générés des pass sanitaires? Cela a notamment été le cas en octobre dernier quand un soignant a généré des pass aux noms d’Hitler et de Bob l’éponge, depuis mis sur liste noire, manuellement.

Sur plusieurs éléments, le secrétariat d’État au Numérique renvoie au ministère de l’Intérieur. Contacté à plusieurs reprises sur le nombre de pass sur liste noire et les procédures en cours pour les désactiver, ce dernier refuse de donner plus de précisions, renvoyant au secret de l’enquête.