Adolf Hitler, Mickey Mouse, ou encore Bob l’éponge auraient pu aller au restaurant en Suisse sans soucis avec leur certificat Covid valide. Mauvaise blague à part, depuis mercredi, deux faux certificats Covid au nom du Führer ou des personnages de fiction de Walt Disney et de Nickelodeon circulent en ligne.
Bien que farfelus, le code QR de ces certificats est bien valide, rapporte Heidi. news. Nous avons aussi fait le test avec un certificat au nom d’Adolf Hitler avec l’application «Covid Certificate Check» de la Confédération.
Comment de tels certificats ont-ils pu se retrouver en circulation? Comment se fait-il qu’ils soient valables? Le média en ligne est allé à la pêche aux infos sur la plateforme de développeurs GitHub. Certains y affirment que d’autres certificats Covid falsifiés circuleraient sur des groupes de messagerie privée comme Telegram.
Une fuite informatique mondiale?
Et si la situation était plus grave encore? L’existence de ces faux certificats, mais surtout de deux certificats valides simultanément alors qu’ils comportent les mêmes informations, fait craindre une éventuelle fuite des clés informatiques nécessaires à produire des certificats Covid dans le monde entier.
Cette hypothèse est peu probable, rassure l’ingénieur de Swisscom Denys Vitalis. Toujours sur GitHub, il explique que les chances d’une fuite sont faibles et qu’il s’agirait plutôt d’un piratage du code pour produire ces certificats — à savoir d'un cas isolé. Le risque, avec une fuite, serait de compromettre la validité de certificats Covid à grande échelle.
Le mathématicien Paul-Olivier Dehaye abonde dans ce sens. Heidi.news rapporte que ce dernier a mené l’enquête sur la création de faux documents et qu'il ne s’agirait pas selon lui d’un phénomène global. La création d’un certificat au nom d’Adolf Hitler serait le résultat d’un défi que deux internautes se seraient lancé sur GitHub. Cela signifie qu'ils auraient créé de faux certificats Covid isolés sans compromettre la validité d'autres certificats avec de vraies données.
En ligne, l'enquête avance. L'expert de Swisscom aurait remonté la trace des certificats Covid au nom d’Adolf Hitler: celle-ci mène en Macédoine du Nord. Jeudi matin Denys Vitalis affirme que la situation évolue, puisque d’autres certificats Covid falsifiés ont commencé à circuler dans le reste de l'Europe. Le flou demeure encore toutefois sur l'ampleur réelle du phénomène.
Le Certificat Covid est-il vraiment fiable?
Dans ce flou artistique, les autorités, elles, restent étonnamment silencieuses. Contacté par Blick, l’Office fédéral de l’informatique et de la télécommunication (OFIT) n’était pas joignable pour répondre à nos questions, et expliquer pourquoi l’application «Covid Certificate Check» ne rejetait pas ces certificats. Il aurait toutefois répondu à Heidi.news, comme l'indique une mise à jour sur leur article. Le contenu de cette réaction de l'OFIT n'est pas encore publié.
Ce cas n’est pas le premier à révéler des failles dans le système du document officiel. Depuis sa mise en place, des centaines de faux certificats avaient été délivrées par des pharmacies vaudoises, des personnes avaient été arrêtées à Genève, et un marché parallèle de création de faux documents avait fleuri cet été. L'affaire a de quoi questionner, puisque l'OFIT avait déjà martelé cet été que le Certificat Covid était «infalsifiable».