IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    1 424
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 1 424
    Points : 47 682
    Points
    47 682
    Par défaut L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid
    Génération de pass sanitaires frauduleux, réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky

    Des hackers ont réussi à récupérer les clés privées permettant de générer des pass sanitaires via de faux QR codes. Un green pass a notamment été créé au nom d’Adolf Hitler. Giampaolo Dedola, expert en sécurité au GReAT, Kaspersky commente cette situation :

    Nom : 1635527014322.jpg
Affichages : 5831
Taille : 13,5 Ko
    Giampaolo Dedola

    « Nous avons vu que certaines des clés utilisées pour générer les certificats du Green Pass (pass sanitaire) Européen ont probablement été volées. Par conséquent, nous avons découvert des messages en ligne proposant de générer des pass de vaccination COVID-19 valides, qui sont largement utilisés pour prendre un vol à l’aéroport, et accéder aux restaurants et aux musées à travers l'Europe. Pour preuve, l'acteur a utilisé les clés volées pour générer un QR code valide sous le nom d'Adolf Hitler.

    Une analyse plus approfondie de deux échantillons de QR codes montre que les clés utilisées pour signer les certificats sont liées à des organisations basées en France et en Pologne. De plus, lorsqu'ils sont testés par des applications officielles, ces codes sont considérés comme valides. Cette situation est préoccupante car elle peut rendre impossible la distinction entre les pass sanitaires légitimes et ceux générés par des clés ayant fait l'objet d'une fuite.

    Cette affaire nous rappelle à quel point l'infrastructure utilisée pour générer les certificats COVID-19 est critique dans le climat actuel. Il est possible de révoquer les clés des certificats, mais cela aura des conséquences sociales et sécuritaires plus larges. Il est donc important d'améliorer la surveillance et les défenses de sécurité pour protéger tous les dispositifs de l'infrastructure contre les cyberattaques externes et pour prévenir et détecter les abus
    . »

    Nom : 1635527330848.jpeg
Affichages : 2804
Taille : 30,3 Ko

    Nom : 1635527806775.jpg
Affichages : 2809
Taille : 28,7 Ko

    Source : Kaspersky

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Le Dark Web regorge de vaccins et de passeports vaccinaux covid-19, les annonces ont augmenté de plus de 300 % depuis janvier, selon Check Point

    StopCovid : l'application collecte bien plus de données que ce que le gouvernement avait annoncé, le secrétariat d'État au numérique s'explique

    Application TousAntiCovid et Pass sanitaire : les informations personnelles et médicales sont disponibles en clair, prévient Christian Quest

    Application TousAntiCovid et Pass sanitaire : des données conservées en clair, des doutes quant à la sécurité des données transmises, la CNIL relève les défaillances de l'application
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    juin 2016
    Messages
    2 466
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 466
    Points : 47 551
    Points
    47 551
    Par défaut L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid
    L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid
    ce qui pourrait conduire à l'invalidation du pass sanitaire de millions d'Européens

    La clé privée utilisée pour signer les certificats numériques Covid de l'UE aurait fait l'objet d'une fuite et circulerait sur des applications de messagerie et des marchés en ligne consacrés aux violations de données. Cette clé aurait également été utilisée pour générer de faux certificats, tels que ceux d'Adolf Hitler et de Mickey Mouse, qui sont tous reconnus comme valides par les applications officielles du gouvernement. La clé privée utilisée pour vérifier le laissez-passer d'Hitler aurait été révoquée à partir de mercredi, mais plusieurs heures plus tard, de multiples rapports ont fait état de certificats fonctionnels toujours vendus en ligne.

    Une fuite de données remet en cause la sécurité du pass sanitaire de l'UE

    Le certificat numérique Covid (Digital Covid certificate -DCC), ou "laissez-passer vert", aide les résidents de l'UE à traverser les frontières sans encombre en prouvant qu'ils ont été vaccinés contre la Covid-19, qu'ils ont reçu un résultat négatif au test ou qu'ils se sont rétablis avec succès du Covid-19. Vous pouvez utiliser le DCC pour accéder aux services intérieurs dans les restaurants, les pubs et les boîtes de nuit… Il contient les informations personnelles nécessaires, notamment nom, date de naissance, date de délivrance, des informations pertinentes sur votre vaccin ou test ou récupération, un numéro d'identification unique, etc.

    Nom : leak.png
Affichages : 8738
Taille : 79,4 Ko

    Le DCC est disponible en format numérique et en format papier et comporte également un code QR pour éviter toute fraude. Seulement, le jeudi matin, Adolf Hitler et Mickey Mouse pouvaient encore valider leurs laissez-passer numériques Covid, Bob l'éponge n'avait pas de chance et l'Union européenne enquêtait sur une fuite de la clé privée qu'il utilise pour signer les passeports vaccinaux. Deux jours plus tôt, mardi, plusieurs personnes ont déclaré avoir trouvé un code QR en ligne qui s'est avéré être un DCC sur lequel était inscrit le nom "Adolf Hitler", ainsi que la date de naissance indiquée comme étant le 1er janvier 1900.

    Mercredi, l'agence de presse italienne ANSA a rapporté que plusieurs vendeurs clandestins vendaient des laissez-passer signés avec la clé volée sur le Dark Web, mais que l'UE avait convoqué "plusieurs réunions de haut niveau" pour déterminer si le vol était un incident isolé. « Sur différents groupes (Telegram principalement) circulent plusieurs faux Pass Vert avec une signature valide. Il est possible qu'une base de données de clés privées soit compromise et cela peut [aboutir] à une rupture de la chaîne de confiance dans l'architecture du Green Pass », a déclaré Emanuele Laface, utilisateur de GitHub dans un fil de discussion.

    D'autres codes QR postés sur GitHub ont permis de découvrir un certificat valide pour Mickey Mouse, bien que le certificat de Bob l'éponge ait depuis été refusé, car la ou les clés ont été révoquées. Selon le testeur de pénétration "reversebrain", les faux certificats d'Adolf Hitler et de Mickey Mouse ont été reconnus comme valides par les applications officielles Verifica C19 de l'Italie. Le testeur de pénétration a ensuite signalé que les certificats falsifiés n'étaient plus reconnus par les applications Verifica C19 du gouvernement, ce qui indique que la clé privée divulguée a été révoquée. Mais les experts ont suggéré que ce n'est pas tout à fait le cas.

    Par exemple, des tests effectués jeudi par BleepingComputer ont révélé que les versions Android et iOS de l'application Verifica C19 considéraient toujours le code QR du certificat d'Adolf Hitler comme valide. Les tests ont été réalisés via l'application Verifica C19 version 1.1.5, sortie le 19 octobre sur Google Play, et le 26 octobre sur l'App Store d'Apple. Jeudi, le certificat d'Adolf Hitler était également toujours accepté par l'application allemande Covid "CovPass", où le certificat privé semble lui-même provenir de France. Le ministère de la Santé aurait expliqué jeudi avoir identifié un soignant à l'origine de l'émission des pass sanitaires frauduleux.

    Plusieurs sources françaises ont fait écho de cette information, ajoutant qu'une enquête a été ouverte pour l'occasion. Interrogé par Numerama, un site français d'actualité sur l'informatique et le numérique, la direction générale de la santé du ministère de la Santé a évoqué une « fraude » et a expliqué avoir pu « identifier une carte eCPS (carte de professionnel de santé, ndlr) associée à un professionnel de santé, qui aurait permis cette fraude en France ».

    Des passeports de vaccination de l'UE seraient en vente pour 300 dollars

    BleepingComputer a également observé que plusieurs utilisateurs publiaient des clés privées sur des forums clandestins et discutaient de méthodes pour "fabriquer un passeport vert européen". « Récemment, l'Union européenne rend le laissez-passer vert obligatoire pour de nombreuses activités, je vois qu'il y a plusieurs sites qui peuvent parfaitement lire le code QR en le déchiffrant, je voulais savoir si quelqu'un est capable de rechiffrer les données et de générer le code QR en bref, générer un faux laissez-passer vert », a demandé un membre du forum. Des commerçants lui ont proposé des passeports européens Covid avec la mention "vacciné".

    Nom : adolf.png
Affichages : 4698
Taille : 114,8 Ko

    Sur des sites en Pologne, les passeports seraient vendus au prix de 300 dollars chacun. Les codes QR contenus dans les certificats numériques Covid de l'UE comportent une signature numérique qui les protège contre la falsification. Lorsque le certificat est contrôlé à l'aide des applications officielles, le code QR est scanné et la signature est vérifiée. Les documents officiels du gouvernement indiquent que chaque organisme émetteur, tel qu'un hôpital, un centre de test ou une autorité sanitaire, possède sa propre clé de signature numérique. Toutes ces clés privées sont stockées dans une base de données sécurisée dans chaque pays.

    Mais il n'est pas clair non plus si la compromission de la clé affecte tous les pays de l'UE ou seulement les organismes de délivrance de certains pays. D'après les données du code QR vues par le média américain, les faux certificats qui circulent en ligne ont été émis par différents pays - France, Allemagne, Italie, Pays-Bas, Macédoine du Nord, Pologne, etc. - ce qui indique que le problème pourrait très bien toucher l'ensemble de l'UE. L'UE est au courant et enquête sur la fuite de données.

    « Nous sommes conscients des manipulations frauduleuses présumées du code QR du certificat Covid de l'UE et avons vu les rapports. En priorité, nous suivons de près les développements de cet incident et sommes en contact avec les autorités compétentes des États membres qui enquêtent et mettent en place des actions correctives. Nous condamnons fermement cet acte malveillant, qui représente une ingérence dans un domaine sensible et stratégique, à un moment où les services de santé de tous les États membres sont sous pression pour lutter contre la pandémie », a déclaré un porte-parole de l'UE.

    « L'incident n'a aucun impact sur la sécurité et l'intégrité du portail de l'UE géré par la Commission », a conclu le porte-parole. Le fait que n'importe qui soit capable de falsifier des certificats Covid cryptographiquement valides remet en question l'authenticité des certificats, même légitimes, émis par les organismes gouvernementaux de l'UE. Si tel était le cas, la clé privée devrait être révoquée par les autorités gouvernementales de l'ensemble de l'UE, ce qui invaliderait les certificats Covid, qu'ils soient falsifiés ou légitimes.

    Ainsi, le temps que la situation soit résolue et que les clés privées soient réinitialisées, les détenteurs de certificats Covid numériques légitimes de l'UE devront très probablement générer de nouveaux laissez-passer verts.

    Cette fuite de certificat privé pourrait avoir de graves répercussions

    Dirk Schrader, vice-président mondial de la recherche en sécurité chez New Net Technologies (NNT), qui fait désormais partie du fournisseur de logiciels de gestion du changement Netwrix, a déclaré jeudi à Threatpost que cette fuite risque d'avoir de graves répercussions, les voyageurs exigeant de plus en plus de preuves de vaccination. « La fuite d'un certificat privé est probablement un problème important, car d'autres pays, en particulier les pays non membres de l'UE, pourraient exiger des preuves supplémentaires pour tout voyageur, une fois que l'ampleur de cet incident aura été révélée », a-t-il déclaré par e-mail.

    Nom : Mickey-scaled-e1635431827738.jpeg
Affichages : 4595
Taille : 41,2 Ko

    « Le marché de ces faux certificats de vaccination semble être prometteur, car l'utilisation de Mickey Mouse et d'autres noms fictifs et historiques sert certainement de preuve et d'assurance pour les acheteurs potentiels », a-t-il ajouté. Schrader a souligné que le pire résultat potentiel de cette situation serait la révocation de cette clé privée - un résultat qui pourrait affecter 278 millions de citoyens européens. Joseph Carson, responsable scientifique de la sécurité et conseiller CISO chez ThycoticCentrify, un fournisseur de solutions de sécurité d'identité en nuage basé à Washington D.C., a déclaré que la nouvelle de la fuite était "choquante".

    « Il est très préoccupant de constater que les clés privées ont été divulguées/vendues et activement utilisées pour créer de faux passeports numériques Covid de l'UE », a-t-il déclaré jeudi. « Cette fuite pourrait, en fait, invalider les passeports numériques authentiques de l'UE, à moins qu'une réponse complète à l'incident et une analyse des causes profondes ne soient déterminées pour minimiser les dommages potentiels », a-t-il ajouté. Carson a souligné que chaque pays est responsable de ses clés privées, de sorte que la compromission d'un pays "ne serait pas une surprise majeure". Mais ce n'est toutefois pas le cas.

    Plusieurs pays sont signalés, ce qui pourrait nuire à la confiance que procure le passeport numérique de l'UE et qui "pourrait obliger à revoir les restrictions de voyage ou la confiance dans le passeport". « J'espère simplement que les pays concernés ont minimisé les risques et qu'ils ne dépendent pas d'un seul jeu de clés privées pour tous les passeports numériques de l'UE. Déterminer comment les clés privées ont été compromises devrait être une priorité absolue, tandis que la réduction des risques qu'une telle fuite se reproduise devrait signifier que la sécurité et la protection des clés seront considérablement améliorées », a-t-il expliqué.

    Sources : reversbrain, Fil de discussion GitHub sur la fuite

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi

    Génération de pass sanitaires frauduleux. Réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky

    France : le Conseil constitutionnel valide l'extension du pass sanitaire, mais censure plusieurs dispositions comme l'obligation pour les salariés en CDD de présenter un justificatif sanitaire

    Le Parlement européen valide le pass sanitaire : et maintenant ? Les vols internationaux devraient bientôt reprendre leur cours normal

    France : selon le Conseil d'État, le pass sanitaire n'est pas manifestement illégal, en réponse aux critiques adressées par la Quadrature du Net

    Bruxelles annonce la mise en service du pass sanitaire européen, mais des zones de frictions demeurent autour de ces certificats COVID numérique de l'UE
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  3. #3
    Inactif  

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 064
    Points : 4 560
    Points
    4 560
    Par défaut
    Bonjour,

    Génération de pass sanitaires frauduleux, réaction de Giampaolo Dedola, expert en sécurité au GReAT, chez Kaspersky

    Des hackers ont réussi à récupérer les clés privées permettant de générer des pass sanitaires via de faux QR codes. Un green pass a notamment été créé au nom d’Adolf Hitler. Giampaolo Dedola, expert en sécurité au GReAT, Kaspersky commente cette situation

    Qu'en pensez-vous ?
    Il fallait sen douter ...

    Des employés véreux qui travaillent dans les sécurités sociales de plusieurs pays européens. Ces même personnes sont au contact des tokens/clefs d'identifications ... Ainsi voilà comment fuitent ces clefs pour la génération de faux de pass ...

    L'autre alternative c'est le siphonnage de BDD mal sécurisées.

    ===

    Encore une fois, le citoyen honnête , risque se retrouver emmerdé et face à un mur techno-bureaucrato-administratif ... Et emmerdé au quotidien.

    ===

    L'UE enquête sur la fuite d'une clé privée utilisée pour falsifier des laissez-passer Covid ce qui pourrait conduire à l'invalidation du pass sanitaire de millions d'Européens

    Quel est votre avis sur le sujet ?
    En espérant que cela soit le "plus minime" possible ... Comme dit plus haut, cela va une fois de plus emmerder le citoyen lambda dans son quotidien ... déplacement , accès à certains lieu .

    Plusieurs sources françaises ont fait écho de cette information, ajoutant qu'une enquête a été ouverte pour l'occasion. Interrogé par Numerama, un site français d'actualité sur l'informatique et le numérique, la direction générale de la santé du ministère de la Santé a évoqué une « fraude » et a expliqué avoir pu « identifier une carte eCPS (carte de professionnel de santé, ndlr) associée à un professionnel de santé, qui aurait permis cette fraude en France ».
    Je plaints les personnes qui seront emmerder pour voyager ...

    Schrader a souligné que le pire résultat potentiel de cette situation serait la révocation de cette clé privée - un résultat qui pourrait affecter 278 millions de citoyens européens.
    A la vu de ces chiffres ... C'est effarant.

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    juin 2009
    Messages
    634
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 634
    Points : 2 056
    Points
    2 056
    Par défaut
    Citation de la discussion github :

    It seems pretty clear now, given the public information and (https://twitter.com/Xiloeee/status/1453493664806735876), that some unsecured dgca-issuance-web instances are running somewhere and are the source of the fake DGCs. I think this should be enough info for the eHN to urge members to go and secure all of the issuance-web instances (the members should know where they run these instances).
    Pour ceux qui aiment pas l'anglais : ce sont des serveur avec des conf par défaut, donc non sécurisés.

    Ce qui est plus vraisemblable que de piquer les clés privées => https://fr.wikipedia.org/wiki/Rasoir_d%27Ockham

  5. #5
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    mai 2002
    Messages
    21 176
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2002
    Messages : 21 176
    Points : 50 400
    Points
    50 400
    Billets dans le blog
    1
    Par défaut
    Ceci est souvent la conséquence d'installation de SGBDR free comme MySQL ou PostGreSQL.
    Par défaut ces deux logiciels s'installent avec des comptes d’administrateur et laissent la porte ouverte à tous les admin systèmes.... Pire les certificats comme les clés de chiffrement doivent être déposés en tant que fichier sur les serveurs... Un peu comme si on fermait sa voiture à clé en laissant les clés dessus.

    Dans des systèmes comme Oracle ou SQL Server, les clés de chiffrement comme les certificats sont intégrés aux bases de données et dépendant hiérarchiquement de clefs ou certificat en amont. Par exemple pour SQL Server, une clé est générée pour l'instance lors de l'installation. Cette clé d'instance est utilisée pour créer la clé maître de chacune des bases de données. La clé maître d'uns base est nécessaire pour générer une clé de chiffrement ou un certificat... Tout ceci stocké à l'intérieur de la base et de manière chiffrée...

    Voler une base ne permet pas de restaurer la base, car l'interdépendance sur un autre serveur n'est pas assurée ! Restaurer une base sur une autre instance ne permet pas non plus d'accéder ni aux données chiffrées ni aux objets de chiffrement, car à nouveau l'interdépendance est brisée....

    Enfin, Oracle comme SQL Server permettent un chiffrement transparent des données (TDE) qui chiffre l'intégralité du support de stockage (fichiers de données : tables et index et journal de transaction).

    Ces mécanismes n'existant pas ni dans PostGreSQL ni dans MySQL, ce sont de véritables passoires au niveau de la sécurité !

    Pire : les méthodes de sauvegardes n'étant pas des copies binaires des pages de données, mais l'extraction des commandes SQL, le fichier de sauvegarde contient en clair les mots de passe de déchiffrement des clés !
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

Discussions similaires

  1. Bruxelles annonce la mise en service du passe sanitaire européen
    Par Michael Guilloux dans le forum Actualités
    Réponses: 107
    Dernier message: 02/11/2021, 14h27
  2. Réponses: 739
    Dernier message: 12/08/2021, 06h39
  3. Transcription script génération de passe (bash -> php)
    Par gogy13 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 8
    Dernier message: 02/06/2011, 17h02
  4. [framework]génération de mot de passe aléatoire
    Par seb_fou dans le forum API standards et tierces
    Réponses: 1
    Dernier message: 13/02/2006, 13h14
  5. [conseil] script de génération de mots de passe
    Par spilliaert dans le forum Langage
    Réponses: 11
    Dernier message: 07/02/2006, 20h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo