Passeport vaccinal : une nouvelle occasion en or pour les cybercriminels de propager leurs attaques

Les bouleversements causés par la crise sanitaire ont eu un impact considérable sur notre vie sociale et particulièrement notre capacité à voyager. À ce jour, soit plus d'un an après la première vague mondiale, l'Association internationale du transport aérien (IATA) recense toujours des restrictions totales ou partielles aux frontières dans presque tous les pays du monde.

Naturellement, les gouvernements du monde entier, ainsi que l'industrie du voyage, concentrent leur attention sur la recherche d'une solution pour permettre à tout à chacun de franchir à nouveau les frontières. Jusqu'à présent, l'initiative phare semble être le passeport vaccinal - un document physique ou numérique conçu pour confirmer au personnel des frontières qu'un voyageur a été vacciné contre le COVID-19 ou qu'il a récemment été testé négatif. 

Cependant, si les passeports vaccinaux peuvent apporter une réponse aux voyages internationaux, ils soulèvent un grand nombre de questions relatives à la vie privée, à la sécurité et à la falsification potentielle.

Remédier à un manque de transparence

Bien que les certificats d'immunité soient utilisés dans certains pays pour la fièvre jaune, il n'existe pas de norme définie et universelle pour garantir l’immunité collective. Aujourd’hui, l'Organisation mondiale de la santé se dit favorable aux principes de certificats de vaccination, mais elle n'approuve encore aucun passeport vaccinal covid-19. 

Les vacances d'été approchant à grands pas, il est urgent de trouver une solution, mais difficile d’accorder l’ensemble des dispositifs mis en place par les gouvernements et entreprises privées du monde entier tout en préservant la confidentialité des données médicales.

En mars de cette année, la Commission européenne publiait une déclaration appelant "de toute urgence" à la création d'un certificat vert numérique afin de faciliter la libre circulation en toute sécurité au sein de l'UE pendant la pandémie de COVID-19. Certains pays ont mis en place leur propre système : Israël dispose d'un "laissez-passer vert" pour valider la vaccination, de nombreux pays nordiques collaborent pour l'élaboration d'une application numérique de passeport vaccinal, l’Afrique développe "My COVID Pass", un outil numérique de vérification des vaccins à utiliser aux frontières d'entrée et de sortie, et le Royaume-Uni, quant à lui, a annoncé qu'un passeport vaccinal pourrait être disponible via l'application NHS (National Health Service), mais uniquement pour les personnes ayant reçu les deux doses du vaccin.

En France, le gouvernement a mis en service le 9 juin dernier un pass sanitaire obligatoire pour les personnes de plus de 11 ans voyageant "de et vers les outre-mer et la Corse", via l’application TousAntiCovid. Tout ceci vient s'ajouter à une multitude de programmes privés proposés par L'Association du transport aérien international (l'IATA), IBM et plusieurs compagnies aériennes internationales.

Cette multitude d'initiatives soulève toute une série de préoccupations. Tout d'abord, il y a la question de savoir qui détient quelles données, avec qui elles seront partagées et, plus important encore, dans quelle mesure ces parties sont équipées pour détenir ces données en toute sécurité.

Plus il y a d'organisations qui stockent ou qui ont accès à nos informations personnelles, plus elles sont exposées à la perte et à la violation des données. Et, en dehors des organismes médicaux ou gouvernementaux, il est peu probable que la plupart d'entre eux aient mis en place des protections adéquates pour garantir la sécurité de ces données sensibles.

Une occasion en or pour les attaquants

L'absence d'une solution uniforme en matière de passeports vaccinaux est source de confusion et il ne fait aucun doute que les cybercriminels n’hésiteront pas à tirer profit de ces circonstances. 

Dès le mois d'avril de l'année dernière, plus de 300 menaces phishing liées au COVID ont été repérés, et nombre d'entre elles ont été couronnés de succès, prenant au piège leurs victimes via des contenus malveillants. En effet, depuis le déploiement du travail à distance au début de la pandémie,  61% des RSSI français et 58% à l’échelle mondiale, reconnaissent que leur organisation est devenue plus vulnérable aux cyberattaques ciblées.

Jusqu'à présent, les acteurs de la menace ont exploité le COVID-19 pour soutirer aux victimes de l'argent et des informations d'identification en échange de traitements, de tests et d'alertes frauduleux. L'initiative du passeport vaccinal est une incitation supplémentaire, d’autant plus que les conditions sont réunies pour mettre en place ce type d'attaque.

Si tout le monde connaît le nom de sa banque, de sa mutuelle ou encore de l’organisme qui délivre les permis de conduire, permettant ainsi une certaine défense contre les escroqueries les plus courantes, cela n’empêche pas les cybercriminels de mener à bien leurs attaques. Moins familier encore, la gestion du passeport vaccinal reste floue pour bon nombre de voyageurs. Ils sont encore trop peu avertis de la manière dont ils seront délivrés ou des informations qu'ils devront communiquer pour en recevoir un.  Par conséquent, il faut s’attendre à des communications frauduleuses de la part de compagnies aériennes, d'organismes commerciaux, de gouvernements, etc. Tous demandent à un public cible très réceptif des justificatifs d'identité, des informations personnelles, voire de l'argent.

C'est là que réside un autre danger potentiel. Soumis à des restrictions de voyage internationales depuis des mois, les gens cherchent désespérément à revenir à la normale, à prendre une pause bien méritée ou à voyager pour revoir des êtres chers. Tout cela ajoute une urgence les rendant vulnérables aux leurres envoyés les cybercriminels.

Sous la pression sociale, émotionnelle et temporelle, les individus sont moins enclins à vérifier les domaines des sites Web et plus susceptibles de cliquer sur un lien ou d'ouvrir une pièce jointe provenant d'un expéditeur inconnu ou non authentifié. Quant aux cybercriminels, ils adaptent leurs appâts et affinent leurs messages pour une efficacité maximale.

Élargir la sensibilisation à tous les individus

La sensibilisation est la meilleure défense contre la plupart des formes de cybermenaces. La compréhension de ces méthodes et des motivations d'un acteur de la cybercriminalité permet de mettre en évidence les signes révélateurs, et ainsi de modifier les comportements sensibles ou mettre en place des protections efficaces.

Cependant, à l'heure actuelle, les chercheurs en cybercriminalités disposent de très peu d’informations concernant la logistique, la mécanique et l'esthétique des systèmes de passeports vaccinaux. Cela représente à la fois un défi et une opportunité.

Tant que les organismes émetteurs et leurs processus restent méconnus, il est impossible de donner des conseils concrets sur des leurres spécifiques. Cela étant, l’occasion est toujours bonne à saisir lorsqu’il s’agit de sensibiliser au danger toujours présent du phishing et du vol d'identifiants, car s'il y a une chose qui est certaine, c'est que les cybercriminels vont exploiter cette opportunité, en lançant des attaques très ciblées auprès de voyageurs remplis d'espoir. 

Enfin, que ce soit face à une banque bien rodée ou à un leurre de passeport vaccinal, plus les gens connaissent leur rôle dans le succès des cybera