Les deux hackers poursuivis dans l’affaire de la méga-fraude aux passes sanitaires viennent d’être déclarés coupables à l’issue de leur procès, a constaté ZDNET.fr. Morad et Dylan, les deux principaux mis en cause de cette audience qui visait en tout treize personnes âgées de 21 à 34 ans, ont en effet été respectivement condamnés à 4,5 ans et 5 ans de prison, avec à chaque fois un sursis de trois ans, une peine conforme aux réquisitions du parquet.
Les magistrats de la 13e chambre correctionnelle du tribunal judiciaire de Paris ont également assorti ces peines d’amendes s’élevant à 50 000 euros et d’une interdiction de travailler dans l’informatique pendant cinq ans.
Les onze autres prévenus, la plupart également originaires de la région lyonnaise, ont écopé quant à eux de peines de prison allant de 9 mois de prison avec sursis à quatre ans, dont trois avec sursis.
Fraude massive
Ce dossier “a mis en lumière l’audace d’une bande de jeunes par appât du gain”, des “geeks qui ont profité de failles techniques” pour détourner des outils mis en place pour répondre à la crise sanitaire et “inonder le territoire de faux passes”, tance la présidente du tribunal. “Même si d’autres réseaux se sont saisis” de la faille exploitée, les prévenus “ont causé un trouble grave à l’ordre public”, poursuit-elle.
A l’été 2021, la bande avait réussi à mettre en place une fraude massive aux passes sanitaires avec une alternative bien plus efficace que la “MFA Fatigue”.
Plutôt que de noyer des personnels de santé sous les notifications pour obtenir un accès frauduleux, Morad et Dylan avaient fait main basse sur des comptes de professionnels de santé sur les sites de leurs ordres grâce à des identifiants achetés sur Genesis Market, une plateforme de revente d’accès compromis.
Des accès sûrs pouvant être revendus
Un sésame clé: e-CPS, l’application permettant aux professionnels de santé de s’authentifier et d’accéder aux services numériques de l’agence numérique de santé, se basait sur les coordonnées enregistrées sur ces comptes. Une méthode qui permettait “de générer un accès sûr qu’on peut revendre avec certitude”, remarquait le substitut du procureur Paul Simon dans ses réquisitions à la fin novembre, même s’il y a eu des “accès grillés”.
Avec au moins 69 professionnels de santé piratés, la bande a ainsi généré au moins 121 000 faux passes. “Ce décompte est imparfait, mais c’est un chiffre socle”, qui représente déjà “12%, au minimum”, des faux passes identifiés sur le territoire national, calculait Paul Simon. Autant de faux qui ont permis aux prévenus d’accumuler “un magot de plusieurs dizaines de millions d’euros”, sans doute dispersé entre plusieurs dizaines de personnes, concluait-il.
Solennellement, le ministère public avait appelé dans son réquisitoire le tribunal à “rendre justice” aux victimes indirectes de ce dossier. Soit tous “les malades mal soignés, touchés par des formes graves, infectés par des personnes qui n’étaient pas vaccinées”. “On ne les identifiera jamais, mais ils existent, c’est une certitude absolue”, rappelait Paul Simon.