Graves lacunes de sécurité dans le certificat de vaccination numérique. Les experts en sécurité de G DATA se penchent sur le carnet de vaccination Covid-19 pour smartphone.
Une enquête menée par les experts en sécurité de G DATA sur le certificat de vaccination numérique a montré qu'il existe de graves lacunes dans la mise en œuvre de la sécurité. Si vous le souhaitez, vous pouvez créer des certificats de vaccination sans avoir reçu de vaccination.
La liste des problèmes de sécurité est longue
Un examen attentif des éléments clés du dossier de vaccination récemment disponible montre qu'il présente des faiblesses flagrantes. La liste des problèmes de sécurité est longue : la Corona-Warn-App ne vérifie pas les signatures des certificats de vaccination numériques, de sorte que n'importe qui peut créer un certificat qui semble réel à première vue. Cependant, il existe encore des problèmes conceptuels beaucoup plus importants : les données pertinentes du certificat de vaccination jaune ou du passeport, par exemple le numéro de lot du vaccin, ne sont ni vérifiées lors de sa création ni incluses dans les certificats de vaccination numériques. Cela rend une vérification ultérieure impossible. L'accès des pharmacies pour créer des certificats de vaccination est également précaire et les certificats de vaccination délivrés ne peuvent pas être révoqués en cas d'abus. Ce ne sont pas les bases techniques qui manquent, mais la mise en œuvre.
« L'impression est que l'introduction du certificat de vaccination numérique était avant tout une décision hâtive. Pouvoir présenter une solution rapide avant le début des fêtes était évidemment plus important qu'une solution sécurisée dès le départ », explique Thomas Siebert, responsable des technologies de protection chez G DATA CyberDefense.
Coup rapide avant les fêtes de fin d'année
Les pharmacies, les cabinets médicaux et les centres de vaccination créent les certificats de vaccination à l'aide d'un site Web. L'accès à ce portail est uniquement sécurisé avec un nom d'utilisateur et un mot de passe, il n'y a pas d'authentification multi-facteurs. Les programmes malveillants spécialisés dans le vol de données d'accès font partie du répertoire standard des cybercriminels depuis des années. Les fraudeurs qui s'approprient illégalement les données d'enregistrement d'une pharmacie, par exemple, peuvent théoriquement utiliser le portail pour créer un certificat de vaccination après l'autre.
Les certificats de vaccination peuvent également être intégrés dans la Corona-Warn-App (CWA) de l'Institut Robert Koch afin de pouvoir les montrer sur un smartphone. Cependant, l'application ne vérifie pas si la signature électronique du justificatif scanné est valide. Avec quelques lignes de code de programme, il est possible de créer un code QR avec un certificat de vaccination fantastique qui est facilement accepté par Corona-Warn-App et résiste facilement à une inspection visuelle. Une vérification réelle du certificat de vaccination n'est possible qu'avec l'application CovCheck.
Plus sur GData.de
À propos des données G Avec des services complets de cyberdéfense, l'inventeur de l'AntiVirus permet aux entreprises de se défendre contre la cybercriminalité. Plus de 500 collaborateurs assurent la sécurité numérique des entreprises et des utilisateurs. Fabriqué en Allemagne : Avec plus de 30 ans d'expertise dans l'analyse des logiciels malveillants, G DATA mène des recherches et développe des logiciels exclusivement en Allemagne. Les exigences les plus élevées en matière de protection des données sont la priorité absolue. En 2011, G DATA a émis une garantie "pas de porte dérobée" avec le sceau de confiance "IT Security Made in Germany" de TeleTrust eV. G DATA propose un portefeuille d'antivirus et de protection des terminaux, de tests de pénétration et de réponse aux incidents, d'analyses médico-légales, de vérifications de l'état de la sécurité et de formation à la cybersensibilisation pour défendre efficacement les entreprises. Les nouvelles technologies telles que DeepRay protègent contre les logiciels malveillants grâce à l'intelligence artificielle. Le service et l'assistance font partie du campus G DATA à Bochum. Les solutions G DATA sont disponibles dans 90 pays et ont reçu de nombreuses récompenses.