ENTREPRISES & STRATÉGIES — Technologies

Les e-faussaires profitent des annonces

Rencontre avec un vendeur de «vrais» faux certificats de vaccination



Pour 79 dollars, le plus petit prix que nous ayons trouvé sur le dark web, un «client» peut acheter différents certificats de vaccination. (Photo: Maison Moderne)

Pour 79 dollars, le plus petit prix que nous ayons trouvé sur le dark web, un «client» peut acheter différents certificats de vaccination. (Photo: Maison Moderne)

L’été et la perspective de pouvoir partir en vacances dopent l’activité des faussaires de tout poil. Un vrai certificat de vaccination pour quelqu’un qui n’aurait jamais été vacciné s’échange à 300 euros sur le dark web. Brève rencontre avec un de ces vendeurs.

Après les faux vaccins – toujours en vente –, les faux certificats de vaccination profitent à plein de la fin des restrictions et de la limitation de déplacement à ceux qui peuvent présenter un certificat de vaccination ou les résultats d’un test négatif et récent. De faux certificats, ou même de vrais certificats pour des personnes qui n’auront donc jamais été vaccinées, sont en vente sur des forums ou sur le dark web.

C’est là qu’un internaute propose un vrai certificat français – c’est notre analyse – à 300 euros, payable en bitcoins ou en monero. Une simple adresse mail sur Proton, la messagerie chiffrée, suffit à le contacter et à comprendre le principe. 

«Je possède plusieurs cartes de médecin, ce qui me permet de faire des certificats», explique-t-il à Paperjam. Des cartes de médecin? Avec le déploiement de la technologie dans le domaine de la santé, si les patients ont une carte, comme en France, avec la carte vitale à puce, les médecins et tous les spécialistes sont eux aussi équipés d’une carte, la CPS pour les médecins, une CPx de manière générale. Il y en a 1,47 million en circulation dans l’Hexagone, dont plus de la moitié pour les seuls médecins.

«Je propose deux options pour les certificats. La première: vous ‘recevez’ une dose unique de vaccin et je mentionne que vous avez déjà eu le Covid, et vous obtiendrez votre pass sous 48h. La seconde: vous ‘recevez’ vos deux injections, avec un intervalle d’un mois, et vous obtiendrez votre pass sous 30-35 jours», détaille-t-il.

Comment être sûr que vous recevrez bien votre certificat? Et qu’il sera valide si jamais il était contrôlé? «Je ne peux malheureusement pas vous apporter de preuve sans compromettre mon activité, ou pire, mes clients», répond-il, avant de préciser: «Ce n’est pas ma carte, et je n’en possède pas qu’une, je peux ‘noyer’ les différentes commandes grâce à elles, et je prends soin de passer sous les radars, il suffit de bien connaître la procédure.»

Ce que fait ce vendeur, selon toute vraisemblance, est de connecter une carte professionnelle de santé avec le système français et d’émettre un document sans avoir jamais vacciné personne. Le professionnel de santé risque gros… comme son éventuel client, parce que les informations contenues dans le certificat comportent aussi les numéros de série du vaccin. Difficile de les copier pour plusieurs clients, ou de ne pas avoir des numéros invalides. Selon l’article 441-8 du Code pénal français, la rédaction d’un faux certificat médical est passible de cinq à sept ans d’emprisonnement et de 75.000 à 100.000 euros d’amende, tandis que celui qui utilise le document est passible de trois ans de prison et d’une amende de 45.000 euros, selon l’article 441-1 du Code pénal.

Mais ce n’est pas tout: pour avoir une chance d’avoir ce document, le client doit donner son nom, son prénom, son numéro de sécurité sociale et son adresse, évidemment, pour recevoir son certificat.  Autant de données qui ont aussi une valeur pour des cybercriminels plus classiques qui vendent ces données personnelles. Voire qui peuvent usurper l’identité d’un client.

En début d’année, la société israélienne de cybersécurité Check Point avait déjà évoqué le phénomène . Même quand les autorités ferment une boutique sur le dark web, les faussaires réapparaissent sur des forums, explique cette étude, actualisée fin mars. D’avril à fin mai, expliquent Les Échos , le marché avait bondi de 500%, les certificats les plus demandés étant ceux des États-Unis, d’Angleterre et d’Allemagne.

Là où les experts de Check Point évoquaient des prix de 250 dollars pour ces certificats, les dernières offres encore visibles sur le dark web vont de 79 dollars à 300 euros. Ces vendeurs demandent à être payés en bitcoins ou en monero la plupart du temps, mais utilisent de cartes prépayées d’Amazon ou de Steam.

Début février, Europol avait averti qu’il fallait se méfier des faux certificats  de tests négatifs, à la suite de l’interpellation de trois voyageurs, en France, au Royaume-Uni et en Espagne.