Pass Sanitaire : il est temps de repenser les pratiques de cybersécurité !

Le déploiement massif des campagnes vaccinales contre la COVID-19 à l'international a permis la réouverture des frontières, induisant rapidement l'introduction de nouveaux systèmes de vérification (du pass sanitaire ou encore des certificats numériques). Interopérable au sein de ses vingt-sept États membres, le pass sanitaire utilise un QR code sécurisé lisible par smartphone qui permet de certifier qu'une personne a été vaccinée, testée négative ou s'est rétablie de la COVID-19.

Depuis le 16 juillet 2021, il est nécessaire de présenter un certificat de vaccination numérique valide pour voyager ou accéder à certains lieux (restaurants, musées, cinémas, etc.). Cependant, la sécurité et la confidentialité des données sont devenues des sujets de préoccupation.

La compréhension des problématiques de sécurité et de confidentialité des données est indispensable

Ce n'est un secret pour personne : les hackers ont fait preuve d’ingéniosité et ont su tirer parti de la crise sanitaire pour mener à bien leurs activités. Ils ont notamment adapté leurs techniques de phishing. Ils ont attaqué de nouvelles cibles comme les acteurs de la chaîne d'approvisionnement en vaccins ou ont « offert » aux particuliers un accès rapide aux vaccins. Enfin, d’autres groupes de hackers proposent de faux certificats de vaccination sur le Darknet à un prix moyen de 100 à 120 $ (80 - 100 €).

Il ne fait aucun doute que les hackers mettront à profit la numérisation généralisée du pass sanitaire grâce à de fausses applications ou à des systèmes de vérification par QR code vérolés. Rien de plus facile : ils n’ont plus qu’à intercepter le trafic pour diriger les utilisateurs peu soupçonneux vers des sites de phishing ou des fausses applications.

En France, des pirates ont notamment envoyé un faux SMS en se faisant passer pour le gouvernement afin d’inciter les citoyens à télécharger l’application TousAntiCovid, qui n’était rien de plus qu’un malware bancaire. Autre exemple, une version Android de l'application COVID-19 du NHS (National Health Service) au Royaume-Uni, disponible en téléchargement, permettait de présenter un pass fictif sans qu’aucune donnée de suivi ne soit synchronisée avec le système gouvernemental.

Autre technique, les cybercriminels peuvent également étendre leur surface d'attaque en créant de fausses adresses électroniques et de faux numéros de téléphone prétendant provenir du gouvernement ou d'un établissement de santé légitime. Ainsi ils pouvaient demander aux citoyens de s’enregistrer pour obtenir le pass (au Royaume-Uni et en Inde par exemple).

Finalement, les hackers tirent parti de la demande autour du pass sanitaire pour obtenir de façon illégale des informations, détourner des comptes et vendre des données personnelles identifiables (DPI) en utilisant simplement de vieilles astuces. En sachant que le pass sanitaire est amené à devenir une condition permanente pour voyager et accéder à certaines infrastructures ou loisirs, ne pas être en mesure de détecter et d'arrêter ces menaces peut entraver la capacité d'un gouvernement à stopper la propagation du virus. Cela ouvre également la voie à un nouveau marché noir que les cybercriminels peuvent exploiter.

Assurer la sécurité des dispositifs mobiles pour protéger les données relatives au pass sanitaire

Même si les applications dédiées au pass sanitaire développées par les gouvernements sont probablement sécurisées, les utilisateurs risquent tout de même d'être victimes d'autres applications malveillantes qu'ils auraient installées par inadvertance sur leurs appareils.

Les dispositifs mobiles étant devenus incontournables au quotidien que ce soit au niveau personnel ou professionnel – et particulièrement dans un contexte de télétravail – il est essentiel que leur sécurité soit une priorité. Les malwares mobiles sont de plus en plus courants et pourraient permettre aux hackers d'accéder à des données sensibles stockées sur une application relative au pass sanitaire installée sur un appareil infecté. Dans la plupart des cas, des solutions simples peuvent permettre une meilleure protection et favoriser la cyber-résilience :

  • Les utilisateurs doivent être plus vigilants vis-à-vis des liens et des applications auxquels ils accèdent (ou qu'ils téléchargent), en vérifiant la légitimité de la source et en faisant preuve de prudence lorsqu'ils partagent leurs informations personnelles sur le web. Si possible, l'utilisation d'une solution de protection contre les menaces mobiles ou d'un antivirus sur leurs appareils, capable de détecter les activités malveillantes qui tentent d'accéder à leurs informations, constitue également une couche de défense supplémentaire.  
  • Pour les entreprises, une stratégie de sécurité Zero Trust doit être mise en œuvre pour non seulement vérifier en permanence l’identité de chaque utilisateur et de chaque appareil, mais aussi pour limiter l'accès aux actifs critiques.
  • Pour les gouvernements et les développeurs d'applications mobiles, notamment dans le cadre du pass sanitaire ou des données relatives à la vaccination, il est important de disposer de systèmes garantissant la sécurité et la confidentialité des données à mesure que les déploiements à grande échelle s'accélèrent.

Pour aller plus loin

Alors que l'avenir du tourisme face au déploiement de la pandémie reste incertain, les pays du monde entier considèrent le pass sanitaire comme une opportunité de relancer de nombreux  secteurs et semble être annonciateur d’un certain retour à la normale. De leur côté, les hackers ne savent que trop bien que leurs activités sont particulièrement lucratives en temps de crise – comme ce fut le cas au cours des 18 derniers mois. En cette période d’incertitude, même si les particuliers semblent sensibilisés à la notion de cybercriminalité, les hackers n’hésitent pas à exploiter cette vulnérabilité pour optimiser leurs attaques.

Enfin, d'un point de vue purement technologique, la réussite de la mise en place d’un pass sanitaire repose sur quelques principes de base : celui-ci doit s’assurer de préserver la vie privée et être sécurisé dès sa conception. Si ce n'est pas le cas, la sortie de crise (qui semble pointer à l’horizon) risque de subir de nouveaux revers.