«La fraude est possible, la fraude est facile», résume à notre micro Pedro Guanaes, expert en cybersécurité et responsable numérique du mouvement République souveraine.
Si la France est la patrie de Pasteur, elle est aussi celle d’Arsène Lupin. Si près de deux millions de personnes se sont ruées sur Doctolib pour se faire vacciner dans les jours qui ont suivi l’annonce du Président, une autre partie des Français fait de son côté le choix de la fraude. À la suite de l’allocution du lundi 12 juillet annonçant l’extension du pass sanitaire, les recherches des termes «faux vaccin», «faux pass sanitaire», «faux test Covid» ou «fausse attestation» ont explosé sur Google. Pour ce dernier critère de recherche, l’outil de référencement SEMrush estime que l’on est passé d’environ 500 recherches mensuelles à plus de 4.000 le 13 juillet au matin. Depuis, tout un réseau de falsificateurs d’attestations s’organise. Ces derniers proposent leurs services, en particulier via Snapchat ou au moyen d’applications plus sécurisées type Telegram ou Signal.
Pass sanitaire: les tentatives de fraudes se multiplient sur le web pic.twitter.com/ctGecSZDB0
— BFMTV (@BFMTV) July 15, 2021
Pour ne pas se faire vacciner et obtenir son faux pass sanitaire pour accéder aux bars, restaurants ou certains moyens de transport, il en coûtera entre 150 et 500 euros. Avec le risque, arnaque oblige, de ne pas recevoir le pass sanitaire et de se faire attraper par la patrouille. Un risque minime selon Pedro Guanaes, pour qui à la facilité d’obtenir un faux pass sanitaire s’ajoute l’impossibilité logistique de mettre en place ces contrôles dans la vie courante.
Version «low cost», version «faussaire»
Sur la Toile, les témoignages de fraudes en tout genre pullulent. Libération rappelait récemment que ces trafics d’attestations durent en réalité depuis déjà plusieurs mois. Avec parfois des idées simples, mais ingénieuses. En témoigne l’exemple de ce médecin, Raphaël Simon, contacté par un homonyme dans la foulée de l’allocution présidentielle afin d’obtenir de celui-ci son QR Code pour passer incognito lors des contrôles.
Il y en a qui ne perdent pas de temps, quitte à trouver des arguments originaux! Première rencontre avec un homonyme anonyme 😁
— Raphaël Simon (@RplSmn) July 13, 2021
Réponse inspirée de tes tweets @LehmannDrC ! pic.twitter.com/s2wjnSLZhs
Pour Pedro Guanaes, il est possible au premier venu de se procurer «une version low cost», avec un faux QR Code «fabriqué n’importe où». Qui, du coup, ne fonctionnerait pas «au premier coup de scan, mais suffirait si le contrôleur négligeant se contente d’un coup d’œil furtif ou conclut que l’application déconne». Sur la Toile circulent en revanche des sortes de «versions premium» plus efficaces.
«Dans ce cas, le QR Code de l’attestation, le plus souvent acheté à des gens vaccinés, fonctionnera au contrôle. L’attestation sera authentifiée au scan, mais si le contrôleur est rigoureux, il verra bien la différence des informations avec celles des papiers d’identité», détaille notre interlocuteur.
Reste la version «faussaire», la plus prisée, qui permet d’afficher au moment du scan du QR Code les vrais noms, prénom et date de naissance de l’intéressé. Celle-ci pourra être obtenue avec la complicité d’un médecin ou d’une personne habilitée à vacciner. Selon nos informations, un professionnel de santé travaillant dans un centre de vaccination parisien, actuellement devant la justice, trafiquait de «vrais-faux passeports sanitaires» pour la somme de 500€.
Un pharmacien de la région niçoise a quant à lui confirmé à Sputnik recevoir plusieurs appels depuis lundi lui proposant de prendre rendez-vous chez lui pour «vider une dose dans le vide» dans l’idée d’obtenir l’attestation sans se faire vacciner. «On peut imaginer aussi certains, par la folie de l’appât du gain, aller par exemple dans un vaccinodrome et, sous plusieurs noms d’emprunt, se faire vacciner à plusieurs reprises pour revendre derrière plusieurs attestations…», projette Pedro Guanaes.
La théorie et la pratique
Autant de pratiques évidemment condamnées par la loi. Le délit de faux ou d’usage de faux est puni en France de trois ans de prison et de 45.000€ d’amende. Si le faux en question est un document habituellement délivré par une administration officielle, la peine peut monter à cinq ans de prison et 75.000 euros d’amende. Mais encore faut-il se faire prendre.
«Vous imaginez dans le rush d’un midi à deux au McDo du coin, les employés vérifier attentivement que les noms affichés sur l’application correspondent bien? Sans parler de tous les problèmes de logistique que cela implique, comme le fait de payer un employé pour cette seule tâche», analyse le spécialiste en cybersécurité.
Reste également en suspens la question de la responsabilité du commerçant en cas de fraude du client, car l’application ne conserve pas de trace de l’opération de contrôle. Pour Pedro Guanaes, ces limites inhérentes à la technologie utilisée témoignent beaucoup plus «d’une stratégie de la pression organisée par le gouvernement pour pousser les gens à aller se vacciner» qu’à une vraie stratégie de contrôle optimal.