Comment deux jeunes hackers ont généré plus de 117 000 faux passes sanitaires

Ces faux pass sanitaires qui s’appuyaient sur le “MFA Fatigue”


Au départ, il ne s’agit que d’une poignée d’accès frauduleux, une vingtaine, vendus 25 dollars chacun sur Genesis Market. A l’arrivée, c’est une fraude massive aux faux passes sanitaires, sans doute l’une des plus importantes suivies par la justice française, qui illustre l’efficace division des tâches existant dans la cybercriminalité.


Selon le dernier décompte de l’accusation, les douze prévenus de cette affaire jugée depuis une semaine par la 13e chambre du tribunal judiciaire de Paris auraient en effet écoulé plus de 117 000 faux passes sanitaires. Soit plus d’un faux passe sur dix signalé par la Caisse nationale d’assurance-maladie, qui a repéré en tout environ un million de faux passes sanitaires pour 150 millions de doses injectées et 40 millions de personnes vaccinées.



Pour Dylan et Morad, les deux jeunes hommes suspectés d’avoir été les hackeurs à l’origine de cette fraude massive, tout a commencé par une rencontre. A l’été 2021, à Bron, près de Lyon, où ils louent un “bureau” – un local avec une télé, un canapé, et leurs ordinateurs – une connaissance leur explique être capable de produire des faux passes sanitaires.

Curiosité piquée 

Les deux jeunes font la fine bouche. Leur connaissance “n’a rien d’un pirate informatique, cela attise ma curiosité”, explique aux juges Dylan, un ancien administrateur système et réseau, au RSA depuis la crise sanitaire. Morad, son ami, “glande” chez sa mère. Ce jeune déscolarisé passionné par le développement web vient d’échouer à la piscine de l’école d’ingénieur Epitech pour cause de sociabilité insuffisante.



Les deux geeks réalisent que leur connaissance s’appuie sur une variante de la “MFA fatigue” pour produire des faux passes sanitaires. Ce type d’attaque informatique joue sur la lassitude d’une cible soumise à un envoi en masse de demandes d’authentification. Leur curiosité piquée, Dylan et Morad se plongent dans la documentation publique disponible sur e-CPS, l’application permettant aux professionnels de santé de s’authentifier et d’accéder aux services numériques de l’agence numérique de santé.



Ce compte, s’il est compromis, permet de générer des passes sanitaires. Mais il y a un maillon faible, notent les deux jeunes. Des QR code sont envoyés par email ou par SMS à partir des coordonnées renseignées sur le site de l’ordre des médecins ou des infirmiers. Deux sites sans “aucune sécurité ni double authentification”, remarque Dylan.

Genesis Market 

“Plutôt que d’attendre que le praticien valide, vous vous mettez à la place du médecin”, résume la présidente du tribunal. “Oui c’est cela”, répond Morad. Pour pirater des professionnels de santé, Dylan va donc tout simplement faire ses emplettes sur Genesis Market. Alimentée en matière première par les campagnes d’infostealers, elle est devenue l’une des plaques tournantes de la revente d’informations et de cookies d’identification.



La plateforme de revente d’accès compromis sera finalement démantelée en avril 2023 par Europol. “On trouve de tout sur ce site là”, signale aux juges Morad. Mais “il faut préciser ce que l’on veut noir sur blanc”, ajoute-t-il. “On va  demander [aux vendeurs] s’ils ont de la donnée en France, et ensuite s’ils ont des comptes de tel ou de tel site”, poursuit Dylan.



Une fois en possession d’un compte sur le site de l’ordre, il est très simple pour les hackeurs de modifier les coordonnées mails et téléphoniques du professionnel de santé. Au total, ils sont soupçonnés d’avoir piraté les comptes d’une trentaine de professionnels de santé.

Le compte de leur plus grande victime sera ainsi à l’origine de plus de 54 000 passes sanitaires. Ce cadre infirmier avait ouvert un compte sur le site de l’ordre pour les besoins d’une formation, en novembre 2020, dont il n’avait plus l’usage ensuite.

Arrestations en janvier 2022 

Les deux hackeurs se sont toutefois défendus d’avoir généré eux-mêmes des faux passes. Ils louaient en effet, expliquent-ils, les accès aux comptes e-CPS piratés à des tiers pour environ 3000 euros la semaine. Ils n’étaient toutefois pas les seuls à avoir identifié ce genre de faille. “A la fin, nous n’étions pas les seuls à acheter ce type de comptes” sur Genesis Market, relève Morad, les poussant à chercher de nouveaux accès compromis sur le forum Exploit.in.



“Il y a énormément de gens qui font des pass sanitaires, pas seulement nous”, observe également Dylan, à propos d’un appel enregistré par les enquêteurs. Il demande alors la révocation d’un passe sanitaire, manifestement le fruit du piratage d’une autre équipe. Dans un autre enregistrement téléphonique, les enquêteurs l’entendent échanger avec l’ordre des médecins, un appel manifestement destiné à comprendre les nouvelles procédures de sécurité du site.


Cette activité criminelle sera finalement stoppée par une série d’arrestations en janvier 2022, à la suite de deux enquêtes menées par les gendarmes de la section de recherches de Poitiers et la police judiciaire de Lyon. Le procès des deux hackeurs doit se terminer le 30 novembre.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.