Comment une faille de sécurité permet de valider un certificat Covid expiré

En changeant la date et l’heure de son smartphone, il est possible de rendre à nouveau valide son pass sanitaire expiré sur l’application «CovidCert». La Confédération n’a pas encore corrigé la faille de sécurité.
21 oct. 2021, 11:17
/ Màj. le 21 oct. 2021 à 12:06
Certains serveurs se contentent d'appuyer sur le bouton de vérification de l'app pour contrôler le certificat Covid.

Vous l’avez peut-être fait vous-même en vous rendant dans un restaurant, un fitness ou un autre lieu où le certificat Covid est obligatoire. En cliquant sur le bouton bleu de rafraîchissement situé en bas à droite de l’application «CovidCert», vous pouvez faire vérifier votre pass simplement au lieu de faire scanner votre QR code. Bien qu’il ne s’agisse pas de la bonne façon de contrôler, des établissements recourent régulièrement à cette méthode.

Problème, une faille de sécurité permet d’allonger la durée de validité de son certificat et d’entrer illégalement dans ces lieux, a révélé Watson News mercredi. Pour ce faire, il suffit d’entrer dans les paramètres de son smartphone et de changer la date et l’heure pour éviter que son test négatif ou son attestation de guérison soit périmé.



Lors de l’autocontrôle, le QR code génère alors une couleur verte, qui atteste de sa validité. Qu’il soit réellement expiré ou non, le certificat peut en effet être accepté s’il est présent sur la liste de la Confédération, explique Watson. En sont exclus seulement ceux qui présentent une erreur de frappe ou une délivrance incorrecte.

La faille n’est pas encore réparée

Contacté à plusieurs reprises par Watson, l’Office fédéral de l’informatique «n’a donné aucun signe que la faille de sécurité serait corrigée». 

De son côté, l’Office fédéral de la santé publique a expliqué avoir informé les associations et les cantons que les contrôleurs ne sont pas autorisés à appuyer sur la touche de rafraîchissement du téléphone d'une autre personne. L'OFSP ne précise néanmoins pas si une indication plus claire de la bonne façon de contrôler le certificat, le scannage par son autre app officiel «Covid Certificate Check», devrait être mentionnée.

Il s’agit de la deuxième faille de sécurité repérée sur «Covid Cert» en quelques semaines, rappelle le Blick. S'ils ne recourent pas à la fonction «certificat light» sur leur app, les utilisateurs révèlent de nombreuses données personnelles, notamment liées à leur santé.

par Andy Maître