« Nous avons vu que certaines des clés utilisées pour générer les certificats du Green Pass (pass sanitaire) Européen ont probablement été volées. Par conséquent, nous avons découvert des messages en ligne proposant de générer des pass de vaccination COVID-19 valides, qui sont largement utilisés pour prendre un vol à l’aéroport, et accéder aux restaurants et aux musées à travers l’Europe. Pour preuve, l’acteur a utilisé les clés volées pour générer un QR code valide sous le nom d’Adolf Hitler.

Une analyse plus approfondie de deux échantillons de QR codes montre que les clés utilisées pour signer les certificats sont liées à des organisations basées en France et en Pologne. De plus, lorsqu’ils sont testés par des applications officielles, ces codes sont considérés comme valides. Cette situation est préoccupante car elle peut rendre impossible la distinction entre les pass sanitaires légitimes et ceux générés par des clés ayant fait l’objet d’une fuite.

Cette affaire nous rappelle à quel point l’infrastructure utilisée pour générer les certificats COVID-19 est critique dans le climat actuel. Il est possible de révoquer les clés des certificats, mais cela aura des conséquences sociales et sécuritaires plus larges. Il est donc important d’améliorer la surveillance et les défenses de sécurité pour protéger tous les dispositifs de l’infrastructure contre les cyberattaques externes et pour prévenir et détecter les abus. »