Non. Mickey Mouse, Bob l’Éponge et d’autres dictateurs ne pourraient pas obtenir de certificat luxembourgeois de vaccination contre le Covid. La technologie et les procédures de sauvegarde et de veille mises en place par le ministère de la Santé, le Centre des technologies de l’information de l’État (CTIE) et l’Incert sont régulièrement citées en exemple au niveau européen.

Dix jours après le début de la polémique au Luxembourg, le directeur du CTIE, Patrick Houtsch, et le directeur de l’Incert, Benoît Poletti, ont accepté l’idée d’une conversation à trois, que nous avons scindée par thématiques.

Les mécanismes de protection

Patrick Houtsch: «Aujourd’hui, ils sont basés sur la cryptographie. Le contrôle d’authenticité des certificats Covid se fait grâce à une paire de clés privée et publique. Chaque certificat est émis au nom du ministère de la Santé et signé électroniquement avec la clé privée, comme le sont les certificats émis dans les autres pays. Les clés publiques permettent de contrôler la signature de ces certificats. L’app CovidCheck se connecte une fois toutes les 24 heures sur la gateway nationale et télécharge les différentes clés publiques des pays qui signent ces certificats. L’app peut alors vérifier qu’un certificat émis au nom du ministère de la Santé ou d’un autre organisme d’un État membre est valide.

Si on voulait faire un vrai-faux, il faudrait disposer de la clé privée, il faudrait la voler. Et ces clés sont très bien protégées. Si une clé privée est compromise, le pays révoquerait la clé, et tous les certificats signés par cette clé ne seraient plus valides.

Jusqu’à présent, cette protection fonctionne très bien. Dans les cas connus, en France ou en Allemagne, ce sont des personnes qui disposent d’un accès légitime ou illégitime à une application officielle pour créer des certificats et qui abusent de cet accès pour établir des certificats avec de fausses données. Elles sont très difficiles à détecter. On voit apparaître des certificats ‘Mickey Mouse’ parce qu’une personne qui a un accès légitime à l’application officielle d’un pays membre a profité de cet accès pour créer un vrai certificat au nom de Mickey Mouse.

Benoît Poletti: «Beaucoup de news sur internet disent que des clés privées ont été hackées et sont réutilisées. Cette information est erronée. Il y a eu un cas dans un pays où ils n’avaient pas mis en place un système d’identification robuste par rapport à des praticiens. Un hacker a trouvé un moyen de le contourner. La totalité des certificats de ce pays non membre de l’Union européenne, mais qui adhère au concept DCC, ont été révoqués.

À notre niveau, les clés ne sont pas exportables hors de notre matériel, parce que nous l’avons configuré comme cela. Ce sont les mêmes infrastructures que nous utilisons pour l’émission des passeports, cartes d’identité et cartes de séjour du Luxembourg. Si ces clés devaient être corrompues ou exportables, nous aurions des problèmes bien plus importants. 

Patrick Houtsch: «Ce qui est essentiel, c’est de bien protéger l’accès aux applications. Les accès, au Luxembourg, sont protégés par des authentifications fortes. D’un côté, il y a MyGuichet, par lequel les professionnels de la santé s’authentifient grâce à un certificat Luxtrust. On ne peut pas voler un mot de passe de quelqu’un et utiliser son accès. Seules les personnes autorisées par le ministère de la Santé ont accès à cette démarche que cette personne doit faire dans son espace professionnel. Elle demande la création d’un certificat de test antigénique rapide. Ce certificat est généré puis signé par le mécanisme de clés. À côté de l’authentification forte, nous avons aussi des logs d’activité qui permettent de retracer des actions des personnes en cas de doute et sur demande du ministère ou des organismes compétents. On peut donc retracer qui a fait quoi. Au niveau des vaccinations, le mécanisme est le même, via une authentification forte, par l’application qui gère la vaccination. Les médecins ou ceux qui vaccinent doivent s’authentifier via Luxtrust.

Autre élément, au Luxembourg, on ne verra pas de certificat de vaccination Mickey Mouse ou Bob l’Éponge, qui sont créés dans d’autres pays, parce que notre application de vaccination ne permet pas de vacciner une personne qui n’existe pas dans le registre national. Mickey Mouse n’existe pas au Luxembourg, donc personne ne peut vacciner Mickey Mouse, et il n’y aura pas de certificat au nom de personnes qui n’existent pas. C’est quelque chose qui n’est pas en place dans d’autres pays, mais qui est en place au Luxembourg.

Benoît Poletti: «Nous générons un certificat de vaccination à partir du moment où la personne est enregistrée au Registre national des personnes physiques (comme les résidents ou les frontaliers, ndlr). Même chose avec les certificats de rétablissement. Certains pays ne font pas le contrôle et vous pouvez venir avec un faux certificat pour obtenir un vrai certificat de rétablissement. Toutes les personnes positives sont enregistrées au niveau des bases de données du ministère de la Santé. Les informations vont être croisées.

Dans la vue globale de la gestion des risques, il y a le ministère de la Santé, qui fait les points d’entrée, de l’enregistrement et de la connaissance des personnes qui travaillent dans le secteur et qui ont le droit d’émettre des certificats. Ces informations sont consultées par les systèmes d’authentification mis en place par le CTIE, notamment comme Luxtrust, pour être en mesure de retrouver le praticien autorisé en amont par le ministère de la Santé. CTIE et Incert ont des systèmes de monitoring et d’alerte qui permettent d’identifier des activités frauduleuses de production de certificats ou des hausses de génération qui seraient anormales par rapport à un praticien standard. Si un praticien décide de lui-même de faire un certificat de test PCR Mickey Mouse, le risque vient plutôt du volet éthique de personnes qui voudraient décrédibiliser le système alors qu’elles font une action frauduleuse. Cela nous pénalise de manière injuste. Le système tel qu’il a été conçu a suffisamment de mesures de sécurité au niveau du ministère de la Santé, du CTIE et de l’Incert pour que le risque soit quand même minime.

Que fait l’app exactement?

Patrick Houtsch: «L’app fait deux choses: elle contrôle l’authenticité du certificat, que la signature électronique du certificat est bien valide et que le certificat a bien été établi par une autorité de santé. Toutes les 24 heures, l’app se connecte au national gateway pour mettre à jour les clés publiques qu’elle utilise. Si le certificat n’est pas signé avec une clé d’un pays dans la liste, l’app affiche un écran rouge. Le certificat n’est pas valide.

Benoît Poletti: «L’app va se synchroniser de manière forcée toutes les 24 heures. Notre national back-up est synchronisé toutes les heures. Mais nous avons fait le choix de ne pas forcer, à chaque fois qu’une personne va démarrer son app, à se synchroniser avec le national back end. Elle peut le faire si elle a un certificat rouge et qu’elle trouve cela bizarre. Au prorata des erreurs qui nous reviennent, cela est vraiment anecdotique. Quand vous, vous allez dans un restaurant, c’est CovidCheck. Quand vous voulez aller dans un bar, c’est CovidCheck. Quand vous voulez aller au marché de Noël, c’est CovidCheck. Même parfois sur le lieu du travail, c’est CovidCheck. 

Au vu des milliers de contrôles qui sont faits chaque jour, on a moins d’une dizaine de certificats connus à base d’action frauduleuse. Ramenés à plus de 2,2 millions de certificats émis… Quotidiennement, on estime à 100.000 le nombre de synchronisations, 100.000 utilisateurs qui se connectent au moins une fois par jour.

Patrick Houtsch: «L’app vérifie aussi la validité des données dans le certificat par rapport aux ‘business rules’. La date d’émission, le type de vaccin, etc. L’application vérifie cela par rapport aux règles nationales. Si un certificat antigénique rapide est plus vieux que 48 heures, l’app dit que le certificat n’est pas valide. Cela vérifie les concordances avec les règles nationales.

Benoît Poletti: «Le Luxembourg est couramment cité comme référence par la Commission européenne par rapport aux délais de mise en œuvre et par rapport au niveau de fiabilité de l’application CovidCheck. Nous étions le premier pays européen à avoir mis en œuvre les business rules, mi-juillet. Nous avons une certaine maturité. C’est d’autant plus important que nous allons avoir deux types de business rules. Quand vous voyagez d’un pays à l’autre et quand vous êtes dans un pays parce que les règles nationales vont encore changer. Par exemple, si vous voulez aller en Autriche, vous pouvez voyager avec un certificat de vaccination deux doses, mais vous ne pourrez pas prendre les remontées mécaniques si vous n’avez pas trois doses. Cela va encore amener un niveau de complexité supplémentaire. Nous sommes dans cette réflexion pour présenter au mieux les règles pour les Luxembourgeois qui veulent aller en Autriche pour skier, par exemple.

Patrick Houtsch: «L’application est en évolution constante depuis ses débuts. À chaque fois, on s’adapte très vite aux nouvelles mesures validées par la Commission européenne.

Quid des faux certificats de vaccination?

Patrick Houtsch: «Sur des noms de personnes qui n’existent pas, pour le vaccin, ça ne peut pas exister pour des certificats émis au Luxembourg.

Benoît Poletti: «C’était seulement pour des certificats PCR, c’était moins de 10. Et ni pour les certificats de vaccination, ni pour les certificats de rétablissement.

Patrick Houtsch: «Ces cas sont traités par le Parquet.

Est-ce qu’un Luxembourgeois peut obtenir un faux certificat étranger?

Patrick Houtsch: «Si la personne qui crée les certificats frauduleux a accès à un système étranger, elle peut les créer au nom de n’importe qui dans ce même pays.

Benoît Poletti: «Sinon, non. Techniquement, il reste le forgery, l’imitation d’un existant. Si moi, je récupère votre pass, je peux faire une copie de votre QR code et vous le remettre sur un papier et je vais pouvoir aller partout. On ne peut pas prévenir cela, parce que, pour le moment, il n’y a pas de vérification d’identité associée au pass sanitaire.

À quand des contrôles d’identité en même temps?

Patrick Houtsch: «Nous ne pouvons pas vous répondre. C’est une décision politique.

Quid des invalidations de certificats quand ils sont frauduleux?

Patrick Houtsch: «Des travaux sont en cours, pour finaliser un standard qui sera utilisé en Europe, pour échanger entre les pays pour identifier les certificats qui sont frauduleux et qu’il faudra neutraliser bien qu’ils aient une signature électronique valide, typiquement le cas Mickey Mouse. Nous attendons la finalisation des standards techniques pour les mettre en place.

Et bientôt la troisième dose…

Patrick Houtsch: «On va au centre de vaccination ou chez son généraliste. Directement, quand le vaccin est administré, le médecin se connecte à l’application de vaccination, il inscrit la troisième dose. Il imprime un certificat de la troisième dose qu’il fournit au patient. On peut, dans la minute, en temps réel, télécharger le nouveau certificat. On a aussi accès à l’ancien certificat.

Benoît Poletti: «Pourquoi on a encore accès à l’ancien certificat? Parce qu’au niveau des business rules, vous partez du principe que vous avez la troisième dose et que vous avez un certificat qui devient vert. Dans d’autres pays, il va falloir attendre un délai de carence, même si c’est la troisième dose. En France, il y aura un délai de carence de 15 jours. Ils sont en train de modifier ces règles. On invite toujours les gens qui ont la troisième dose à conserver l’ancien certificat, pendant une quinzaine de jours, pour ne pas avoir de surprise quand ils voyagent. Il y a des pays qui ont encore des règles qui peuvent sembler surprenantes, mais c’est comme ça. En règle générale, le certificat de vaccination est valable un an jusqu’à ce que vous atteigniez la troisième dose dans les mois qui viennent.

Sur la polémique Mickey Mouse?

Patrick Houtsch: «Je peux comprendre qu’on se pose des questions. Mais pas qu’on pense que les systèmes de sécurité ne sont pas assez bons ou sont hackés. Il y a toujours un facteur humain. Si une personne qui a un accès légitime en abuse pour créer de faux certificats, ça peut arriver.»

Benoît Poletti: «Le facteur humain a toujours été un point faible. Il faut mettre en place des procédures de sanction. C’est la même problématique avec les passeports. Il y a toujours eu des faux passeports, et il en existera toujours. D’autant plus que les DCC sont beaucoup plus utilisés. Ils sont au cœur d’un déchaînement des passions entre deux communautés. C’est humain.»

Cet article est issu de la newsletter hebdomadaire Paperjam Trendin’, à laquelle vous pouvez vous abonner .