Impossible d’en connaître le nombre. Mais il est certain que de faux certificats, émis dans des pays de l’Union européenne et automatiquement reconnus en Suisse, circulent. On l’a vu de manière éclatante la semaine passée avec des documents au nom de Bob l’Eponge, Mickey Mouse ou Adolf Hitler. Si le nom était fantaisiste, le certificat lié était, lui, bien valable. Ces documents avaient très certainement été émis par des individus voulant tester le système et prouver, par l’absurde, que créer de faux documents est possible. Mais ce n’est sans doute que la pointe de l’iceberg, montrant qu’un trafic de faux certificats, liés à de vrais noms, existe.
Vendredi, l’Office fédéral de l’informatique, des télécommunications et des technologies de l’information (OFIT) affirmait que les certificats aux noms fantaisistes étaient désormais bloqués en Suisse, suite à des tests effectués dans la nuit de jeudi à vendredi. Mais cela ne veut pas dire que le problème est résolu de manière définitive. C’est un travail continu et sans fin: les pays de l’Union européenne où les faux certificats sont émis doivent en permanence retirer les clés privées de la liste de confiance de l’Union européenne (UE) en cas de suspicion de fraude.
Les regards se sont portés vers la Macédoine, qui n’est pas membre de l’UE mais qui fait partie du système européen de passe sanitaire. Le portail macédonien a été désactivé, apparemment car il n’était pas assez protégé et avait permis la création de faux certificats. «Si un service reste ouvert et signe n’importe quoi, en pratique c’est un peu la même chose» que si la clé cryptographique secrète avait été volée, selon un expert cité par l’AFP. Il est aussi probable que de faux certificats aient été émis dans d’autres pays européens. On en trouve d'ailleurs en vente sur certains forums pour plusieurs centaines de francs.
2. Les faux certificats suisses
En Suisse, de faux documents sont aussi émis par des personnes mal intentionnées ayant accès au système informatique. Comme l’a révélé la RTS la semaine passée, au moins 400 faux certificats ont été créés à Genève et cinq personnes, dont trois œuvraient pour la protection civile, ont été arrêtées. Ces individus avaient «accès au programme informatique, ouvert le matin par mot de passe et actif toute la journée, pour entrer les données de personnes non vaccinées et générer des QR codes», comme l’a expliqué la RTS. Avec à la clé un trafic de faux certificat et des bénéfices estimés à 120 000 francs.
On ne parle donc pas de piratage, mais de comportement délictueux de personnes ayant accès au système informatique. «Il s’agit de certificats délivrés de manière inappropriée, et non de certificats falsifiés. La signature électronique des certificats Swiss Covid est infalsifiable», assure un porte-parole de l’OFIT contacté par Le Temps. Selon lui, «seul un émetteur reconnu et autorisé par les cantons peut générer un certificat. Ainsi, seul un tel émetteur peut générer un certificat même s’il n’y a pas de vaccination complète ou de test négatif.» Il est tout à fait possible que d’autres individus malveillants aient fait de même, ou fassent encore de même, dans d’autres cantons. Détecter ce type de fraude est difficile.
3. L’émission impossible de certificats
Jeudi passé, il n’a pas été possible d’émettre le moindre certificat suisse durant près de quatre heures. Cette panne de longue durée avait suivi celle intervenue lundi, qui n’avait, elle, duré que dix minutes environ. Pourquoi de tels soucis? L’OFIT est avare de détails, ne parlant que d’un «problème technique», ce qui ne donne aucune indication sur la nature du problème.
Ce n’est pas le seul type de souci rencontré lors de l’émission du certificat. Un lecteur nous a raconté qu’il avait été testé le 9 octobre au centre cantonal fribourgeois de dépistage vers 17h30. Normalement, écrit-il, «les résultats sont transmis assez rapidement puis vient le certificat dans l’heure. Sauf que ce jour-là, rien n’est arrivé.» Le lecteur poursuit: «J’ai reçu mon certificat et mon résultat échu le lundi 11 octobre malgré les nombreux e-mails adressés à l’HFR (hôpital fribourgeois) au travers du seul formulaire de contact.» Trop tard, donc. «J’ai été bien embêté mais j’ai eu une pensée pour toutes les personnes qui dépendent du certificat pour le travail, pour celles qui sont symptomatiques et confinées en attendant le résultat ou celles qui ont déjà déboursé un certain montant pour un événement culturel», écrit le lecteur.
4. La vérification impossible
Les 15 et 25 octobre dernier, deux pannes informatiques ont rendu impossible la vérification des certificats. Il était certes possible de présenter un document sous forme papier, mais sans vérification par le système central, sa validité ne pouvait être garantie à 100%. Dans ces deux cas, le souci est autant le problème technique que la communication lacunaire et tardive des autorités. Interrogé à ce sujet, un porte-parole affirme que «l’OFIT a pris toutes les mesures possibles concernant les problèmes de performance survenus récemment. Bien entendu, nous travaillons en permanence pour que le système fonctionne aussi bien que possible.»
Conclusion: ces quatre points n’ébranlent pas le certificat covid. Mais ils montrent que le système a des limites. On constate qu’il se base en partie sur la confiance accordée aux personnes chargée d’entrer les données, or certaines peuvent être mal intentionnées. Il y a aussi la complexité technique d’un système supranational. Enfin, ces soucis montrent que les autorités, tant nationales que cantonales (on l’a vu avec l’exemple fribourgeois), devraient mieux communiquer lors de problèmes qui ont des conséquences concrètes et immédiates.
Lire aussi: La panne du certificat covid pose trois questions majeures