Deux hommes sont actuellement jugés par le tribunal judiciaire de Paris. Ils étaient à la tête de l'un des plus importantes fraudes de pass sanitaires en France. Au total, ils ont généré plus de 117 000 faux documents et empoché plusieurs milliers d'euros. Voici comment ils ont procédé.

Souvenez-vous, durant l'été 2021, le gouvernement français a instauré le fameux pass sanitaire, une attestation de vaccination contre le Covid-19 nécessaire pour accéder aux salles de cinéma, aux restaurants ou à tout autre établissement public capable de rassembler plus de 50 personnes.

Fatalement, cette mesure restrictive a rapidement eu son lot de détracteurs, bien déterminés à contourner le système. En quelques mois seulement, les offres pour de faux pass sanitaires se sont multipliées sur la toile, laissant place à un vaste marché parallèle. En juin 2023, nous avons évoqué dans nos colonnes le cas de ces pirates qui ont écoulé pas moins de 63 000 pass sanitaires durant les périodes de confinement.

Des “amateurs” en comparaison des douze prévenus jugés actuellement par le tribunal judiciaire de Paris. En effet, cette équipe aurait écoulé plus de 117 000 faux pass sanitaires. Soit 10 % des fausses attestations en circulation en France, si l'on en croit les données de la Caisse nationale d'assurance-maladie. Au total, l'institution a détecté un million de faux sanitaires dans l'Hexagone, pour 150 millions de doses administrées et 40 millions de personnes vaccinées.

Les escrocs ont exploité l'authentification à plusieurs facteurs

Dylan et Morad, les deux cerveaux présumés de l'opération, expliquent s'être lancés dans cette vaste fraude après une rencontre durant l'été 2021. Cette connaissance affirme être capable de produire des faux sanitaires. De quoi piquer la curiosité des deux hommes, alors dans une situation financière plutôt précaire (l'un est au RSA, l'autre vit chez sa mère).

Selon eux, cette connaissance exploitait le principe de la MFA Fatigue, une technique d'attaque informatique qui repose sur un principe simple : un hacker vise un utilisateur et lui envoie une avalanche de demandes d'authentification via des notification push sur son smartphone.

L'idée est ensuite de faire craquer la victime et de la pousser à valider l'une des notifications… Ce qui permet aux hackers d'accéder à son compte. Un parfait exemple d'ingénierie sociale, où la manipulation de la psychologie humaine permet de mettre en place des arnaques.

A lire également : Pass sanitaire – il vend de faux certificats sur eBay et risque 120 ans de prison

Prochaine cible, la plateforme de santé e-CPS

Après avoir effectué quelques recherches, les deux complices se rendent compte qu'il est possible de générer de faux attestations sanitaires en compromettant un compte e-CPS. Il s'agit de l'application mobile utilisée par les professionnels de santé pour accéder aux services de l'Agence du numérique en santé.

Mais comment s'emparer d'un compte ? Rapidement, les pirates détectent l'existence d'une faille dans le système de la plateforme. En effet, l'e-CPS transmet régulièrement des QR-Code par email ou SMS en se basant sur les coordonnées des personnels soignants affichées sur le site de l'ordre des médecins ou des infirmiers. Des sites sans aucun système sécurité d'après les deux accusés.

Reste maintenant à obtenir un accès au site de l'ordre. Pour ce faire, le duo a fait ses emplettes sur Genesis Market, une plateforme pirate fermée en 2023 qui abritait des milliers de données d'identifications volées lors de campagnes de phishing ou autre. “Plutôt que d'attendre que le praticien valide, vous vous mettez à la place du médecin”, déduit la présidente du tribunal.

54 000 faux pass sanitaires générés avec un seul compte

Maintenant en possession de plusieurs identifiants et mots de passe pour accéder à des comptes sur le site de l'ordre, il ne restait plus qu'à modifier les coordonnées téléphoniques des professionnels de santé par les leurs. Au total, ils ont détourné les comptes de plus de 30 professionnels de santé. Pour vous donner un ordre d'idée, le compte d'un cadre infirmier a permis de générer plus de 54 000 fausses attestations sanitaires.

Après avoir révélé leur modus operandi, les deux hommes se défendent tout de même d'avoir généré eux-même ces pass sanitaires falsifiés. Selon eux, ils se contentaient de louer les accès aux comptes e-CPS piratés à des particuliers, moyennant 3 000 euros la semaine. La justice se chargera de déterminer leurs responsabilité dans cette affaire, dont la conclusion est attendue pour le 30 novembre 2023.

Source : Zdnet