Une simple modification des paramètres de son téléphone suffit à tromper une application de contrôle. Des Suisses et Suissesses qui disposent d’un certificat covid à durée limité ont ainsi réussi à entrer frauduleusement dans des établissements publics. C’est ce que révèle le média en ligne Watson ce mercredi, soulignant que «les autorités n’ont pas encore corrigé cette faille.»

La possibilité de truquage

Des restaurants, bars, salles de sport, cinémas ou musées vérifient l’authenticité des QR codes en appuyant sur le bouton de vérification proposé par une application. Bien que rapide, cette méthode n’est pas fiable.

Lire aussi: La panne du certificat covid pose trois questions majeures

Les clients et clientes ayant modifié la date et l’heure de leur smartphone peuvent considérablement allonger la durée de validité de leur test négatif ou de leur attestation de guérison. Une fois ces paramètres changés, le QR code – en réalité périmé – génère une couleur verte, celle attestant de sa validité.

L’application «CovidCert», utilisée par un grand nombre d’établissements publics en Suisse, «ne vérifie que si le certificat – expiré ou non – est présent sur la liste de la Confédération, précise Watson. Seuls les certificats «retirés» de cette liste en raison d’une erreur de frappe ou d’une délivrance incorrecte» sont retirés et donc invalidés.

Le média romand confie ne pas connaître l’étendue de cette pratique: «En raison de la structure technique du système, il n’est pas possible de savoir le nombre de personnes» qui en ont profité. Mais l’existence même de cette possibilité de truquage devrait inquiéter les autorités.

«Un œil attentif»

Contacté par Watson, l’Office fédéral de l’informatique (Ofit) indique ne pas avoir connaissance de cette faille de sécurité. «Watson lui a offert le temps d’éliminer le bug, afin de ne pas inciter les fraudeurs à l’exploiter, peut-on lire. Cependant, malgré des demandes répétées, l’Ofit n’a donné aucun signe que la faille de sécurité serait corrigée.»

L’Office fédéral de la santé publique (OFSP) rappelle de son côté qu’elle n’a jamais fait la promotion de cette méthode de contrôle des certificats covid et qu’elle préconise l’utilisation de l'application «COVID Certificate Check.»

Watson pointe au passage un autre élément: le site de l’OFSP, sur lequel il n’est pas explicitement recommandé de contrôler la date de validité du certificat. Pourtant, «un œil attentif» pourrait changer la donne: l’application «CovidCert» affiche la date d’expiration du document, mais en petits caractères.


Retrouvez nos principaux articles sur la crise du covid.