Ces faux pass sanitaires qui s’appuyaient sur le “MFA Fatigue”

Ces faux pass sanitaires qui s’appuyaient sur le “MFA Fatigue”


C’était une variante avant l’heure de la « MFA Fatigue », ce type d’attaque informatique popularisée par des hackers du groupe Lapsus$ qui joue sur la lassitude d’une cible soumise à un envoi en masse de demandes d’authentification forte. Le tribunal correctionnel de Nanterre juge jusqu’à mercredi les cinq derniers protagonistes d’un important réseau de revente de faux pass sanitaires qui avait sévi durant la crise sanitaire.


Le procès de ces trois hommes et deux femmes poursuivis pour escroquerie, blanchiment et plusieurs délits informatiques fait suite au plaider coupable en novembre 2022 de cinq autres mis en cause, déjà signalé par Le Monde. Le réseau aurait vendu en tout près de 11000 vrais faux pass sanitaires, ce qui leur aurait permis, selon les enquêteurs, de générer près de 400 000 euros de recettes courant 2021. Les attestations de vaccination étaient vendues entre 250 et 350 euros par le biais d’annonces sur le réseau social Snapchat.


Inattention des médecins

Après le signalement de ce trafic par un informateur, plusieurs suspects avaient été identifiés par les adresses IP de leurs terminaux par les enquêteurs. Selon l’accusation, les faussaires s’appuyaient sur une faille du système d’authentification en pariant sur l’inattention, la lassitude ou la méconnaissance de l’informatique des médecins.



Ainsi, comme le précise l’ordonnance de renvoi devant le tribunal correctionnel, consultée par ZDNET, les fraudeurs auraient d’abord recueilli dans un premier temps des numéros d’identification du répertoire partagé des professionnels de santé (RPPS). Cette information publique accessible par exemple via le site de l’assurance maladie Ameli ou via le site de réservation de rendez-vous Doctolib permettait ensuite aux fraudeurs de se connecter aux bases de données vaccinales.



Restait alors toutefois une dernière sécurité: la demande d’autorisation d’ouverture de session utilisateur devait être validée par le professionnel de santé. Or ce verrou a pu facilement être contourné, des professionnels de santé validant des notifications sans s’apercevoir qu’ils n’en étaient pas à l’origine. Une fois la porte ouverte, les fraudeurs avaient quatre heures devant eux pour opérer librement. La faille sera comblée au printemps 2022 avec la mise en place d’une nouvelle procédure, l’ajout d’un code à usage unique à saisir à chaque demande d’authentification.

Pas d’appel à la vigilance

“Il y a eu des fautes d’inattention chez certains professionnels de santé mais la période était très particulière, avec une activité intense et des journées à 1,5 million d’injections”, a remarqué en début d’audience, selon Le Parisien, Dominique Martin, le responsable du programme de vaccination à la Caisse nationale d’assurance maladie (Cnam), évoquant des plusieurs dizaines de médecins victimes d’usurpation d’identité.


Les médecins utilisateurs ne sont en effet pas les seuls à blâmer. Ainsi, comme le remarque l’ordonnance de renvoi, “aucun message d’alerte ou d’appel à la vigilance n’avait été relayé pendant cette même période par les autorités administratives, qui n’avaient pas encore pu prendre conscience de l’ampleur des fraudes en cours”. De même, “le fonctionnement de la base de données vaccinales était affecté pendant cette période par des difficultés récurrentes”, des problèmes qui ont pu agacer les utilisateurs et diminuer leur vigilance. 





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.