« Pour 20 euros, je peux fournir un faux test PCR »

Test PCR @BelgaImage
Test PCR @BelgaImage
Teaser

Tests PCR truqués, certificats de vaccination bidon… Et bientôt les premiers pass sanitaires européens falsifiés? Immersion dans un nouveau trafic inquiétant.

Sur la messagerie cryptée russe ­Telegram, quelques minutes suffisent pour entrer en contact avec l’un de ces dealers de fausses attestations de tests PCR. L’un des précieux sésames pour pouvoir voyager. “Pour 20 euros, je peux vous fournir un document officiel à votre nom, prescrit par un médecin bruxellois et certifié par un laboratoire reconnu par Sciensano, l’Institut de santé publique belge”, promet notre interlocuteur. On demande à voir. Quelques instants plus tard, on en reçoit un. Celui-ci a l’air plus vrai que nature et comporte en effet tous les éléments vantés, y compris le nom du laboratoire. En l’occurrence, un gros labo d’analyse bruxellois. Le nom du médecin a été barré au surligneur mais on arrive quand même à le déchiffrer. Il s’agit d’un certain David Tahri, officiant lui aussi dans cette commune bruxelloise. De quoi valider encore un peu plus cette attestation.

Faciles à falsifier

Une recherche Google ne nous permet pourtant pas de trouver les coordonnées de ce praticien. Il y a bien un Dr Tahri dans cette localité, mais il se prénomme Mohammed et non David. On décide alors de montrer ce document au laboratoire mentionné en tête de page. “Nous connaissons bien le Dr Tahri car il nous envoie une trentaine de demandes d’analyse par jour, explique le directeur du labo, un médecin biologiste. Mais effectivement, il se prénomme Mohammed et non David. Ce document est un faux et les faussaires ont sans doute modifié le prénom pour ne pas que celui-ci mène sa petite enquête et retrouve le document original qui a été falsifié, et donc le patient à la source de la fuite. Deux autres détails me permettent également de voir qu’il s’agit d’un faux, mais je n’en dirai pas plus afin d’éviter que les faussaires ne se mettent à jour.”

Ce directeur n’a pas l’air très surpris. “Il y a un gros trafic, surtout au nord de Bruxelles. Et ­franchement, nous n’y pouvons rien. Ces documents sous format PDF sont très faciles à falsifier. Notre informaticien nous a aussi expliqué que les QR codes que d’autres labos ou hôpitaux rajoutent le sont également. Alors on se contente de contacter la police pour leur montrer comment les détecter.” Certains ne reculent en tout cas devant rien pour se procurer le précieux papier. “On a déjà essayé de me soudoyer plusieurs fois, confie ce directeur. On m’a promis quelques centaines d’euros pour faire des fausses attestations mais j’ai bien entendu refusé. Outre une radiation de l’Ordre des médecins, je risquerais aussi la prison.” Rappelons que les faussaires risquent une amende jusqu’à 3.000 euros et une peine de prison de un mois à cinq ans. Rappelons aussi que les acheteurs encourent les mêmes sanctions puisqu’ils ont donné leurs données personnelles et sont donc considérés comme complices.

576 Belges pincés

Même imparfaites, ces fausses attestations ont-elles une chance de passer les douanes? On en mettrait notre main à couper. D’autant que plusieurs témoignages nous confirment que les agents de certains aéroports et gares contrôlent à peine ce document ou ne vérifient pas s’il correspond bien à la personne qui le présente. “La seule façon de vérifier est d’appeler le labo, poursuit ce directeur. Tout document qui sort de chez nous est traçable jusqu’aux données brutes de la machine d’analyse. Et nous recevons parfois de telles demandes. Nous leur répondons alors que le voyageur en question nous est inconnu ou qu’il est venu chez nous mais à une autre date que celle mentionnée dans le rapport PCR.” Au seul ­Brussels Airport, 576 ont été coincés à ce jour avec de fausses attestations, d’après le parquet de Hal-Vilvorde. Une période où il était pourtant très compliqué de voyager. Mais ce mois de juin et les grandes vacances qui ­suivent vont faire exploser le nombre de voyageurs. Sur la route, le rail et dans l’aérien. Et il est évidemment impossible de passer un coup de fil à chaque fois qu’un Belge passe une frontière.

Toutes ces procédures ont été mises en place dans l’urgence et ont évolué selon les demandes de Sciensano, explique Nicolas Archen, chef de la division informatique chez Cerba Healthcare Belgique, réseau international de laboratoires de biologie médicale. Ces documents sont donc peu sécurisés et ne facilitent pas vraiment les contrôles.” Mais cet expert est bien plus optimiste concernant le niveau de sécurité du certificat numérique européen Covid, le fameux pass sanitaire destiné à harmoniser ces procédures aux douanes de l’UE (voir ci-dessous). “D’après ce que l’on nous a présenté, je peux vous dire que ce système est difficilement falsifiable car ce QR code est très sécurisé. Il est unique et a une durée de vie limitée, un peu comme un QR code de paiement ­Payconiq, par exemple. Il ne comprend pas les données personnelles du patient mais bien un lien sécurisé pour y avoir accès. Tout est toujours falsifiable en informatique si on y met les moyens, mais je ne vois pas très bien ce qu’ils auraient pu faire de plus.” Sur le réseau Snapchat, on entre pourtant en contact avec un trafiquant de faux certificats de vaccination.

Lequel nous assure être en mesure de falsifier un QR code pour qu’il renvoie vers le serveur du Centre européen de prévention et de contrôle des maladies (ECDC), l’agence européenne chargée du monitoring de la vaccination. On demande aussi à voir. Une heure plus tard, on reçoit un faux document avec un QR code. On le scanne et celui-ci ouvre automatiquement une fenêtre du site de l’ECDC qui confirme la validité du code, les coordonnées du patient, son numéro de passeport, le type de vaccin soi-disant reçu ainsi que le nombre de doses injectées. Reste que ce document pourrait aussi être un vrai. “Nous avons une équipe spécialement dédiée au piratage de ces QR codes”, prétend ce faussaire. Prix du faux certificat de ­vaccination avec le QR code européen: 200 euros. Payable en cryptomonnaies, évidemment.

Un faux Sciensano

Ce trafic sera peut-être encore lucratif au début du mois de juillet, poursuit Nicolas Archen, mais beaucoup moins lorsque la plupart des Européens seront ­vaccinés.” Précisons tout de même que les États membres disposent d’un délai de six semaines de transition pour adapter leur système à ce certificat européen. Ce qui devrait laisser un peu de marge aux faussaires. “Après, ce sera beaucoup plus compliqué de pirater ce système, confirme Kevin Wiart, hacker éthique. Pour contourner le chiffrement de ce certificat, il faudrait soit avoir un complice au sein des agences sanitaires, soit faire appel à du hacking étatique. Et ce genre de piratage peut parfois prendre six mois.

Attention néanmoins à ne pas diffuser ce certificat européen sur les réseaux, comme beaucoup l’ont fait avec l’attestation belge. Si les douaniers se contentent de contrôler la validité du pass sans vérifier en même temps l’identité de la personne, une ­usurpation est possible. “Mais je crains davantage des ­attaques informatiques qui paralyseraient l’appli CovidSafe, par exemple. J’ai d’ailleurs trouvé sur les forums spécialisés un script malveillant destiné à saturer l’appli TousAntiCovid, son homologue français.” Sans parler des risques de phishing. “C’est selon moi le plus gros risque. Usurper l’identité de Sciensano, par ­exemple, et envoyer un e-mail en se faisant passer pour eux avec un faux QR code est enfantin. Non seulement ce code ne vous permettra pas de franchir les douanes, mais en plus il contiendra très probablement un programme malveillant qui subtilisera vos données.

 

Plus de Actu

Les plus lus

Notre Selection