Faux pass sanitaires: la sécurité des comptes des professionnels de santé bientôt renforcée

C'est un exemple qui résume à lui seule les limites du système. A la mi-décembre, un infirmier nantais portait plainte après le piratage de son compte de professionnel de santé, rattaché à l'Assurance maladie. L'opération avait donné lieu à la création de 54.000 faux pass sanitaires. Début janvier, le gouvernement décomptait 200.000 faux pass, donc une large partie créée après de tels piratages.

Pour comprendre la méthode employée par les vendeurs de faux pass sanitaires, il faut revenir sur le fonctionnement du système utilisé par les professionnels de santé pour renseigner un schéma vaccinal auprès de l'Assurance maladie, donc de générer le fameux QR Code.

Un identifiant public

Deux systèmes sont proposés: le premier, basé sur un terminal physique, qui doit accueillir la carte de professionnel de santé (CPS).

Le second, sans carte physique, qui permet d'accéder à l'interface à l'aide d'une simple application mobile, baptisé e-CPS.

Pour les soignants ayant activé ce second système, il suffit de renseigner son identifiant du répertoire partagé des professionnels de santé (RPPS), puis de valider la connexion depuis son smartphone, en inscrivant un code PIN défini à l'avance. Problème: l'identifiant RPPS de chaque professionnel de santé est public.

Auprès de BFMTV, plusieurs médecins et pharmaciens ont admis avoir reçu des notifications sur leur application e-CPS, les invitant à valider une connexion suspecte. C'est avec cette technique que des internautes peu scrupuleux ont réussi à accéder aux comptes des professionnels de santé pour générer de "vrais" faux pass sanitaires.

Interrogée par BFMTV, la direction générale de la Santé (DGS) annonce développer de nouveaux systèmes afin de mieux sécuriser le système e-CPS. Les tentatives répétées de connexion à un même compte sont désormais bloquées automatiquement.

"Plusieurs cas de professionnels ayant accepté des authentifications dont ils n’étaient pas à l’origine ont été répertoriés malgré le mécanisme décrit ci-dessus et les sensibilisations récentes aux professionnels pour attirer leur vigilance sur ce point" déplore la DGS auprès de BFMTV.

Bientôt un mot de passe?

Des cas qui peuvent par exemple concerner des médecins en centre de vaccination, habitués à régulièrement valider des demandes d'accès pouvant émaner d'autres professionnels de santé du centre pour valider une injection.

"Une évolution du mécanisme est à l’étude avec des experts sécurité pour le renforcer encore, par exemple avec l’intégration, en complément du code PIN, d’un facteur d’authentification dynamique liant les deux étapes, et/ou d’un autre mot de passe à saisir dès la première étape. Ce travail sera mené de concert avec les professionnels pour veiller à ne pas bloquer les usages" précise la DGS.

Pour les équipes du ministère de la Santé, la tâche est en effet ardue. Face à l'importance du nombre de vaccinations, la sécurisation doit se faire tout en conservant une fluidité d'usage et une simplicité pour les milliers de professionnels de santé mobilisés.

D'autres leviers existent pour lutter contre la fraude aux faux pass sanitaires, par exemple avec des algorithmes détectant des connexions inhabituelles, ou la création soudaine d'un grand nombre de pass en un court laps de temps.

Pour les autorités, chaque compte de professionnel de santé piraté ou utilisé frauduleusement par ce dernier permet de remonter l'ensemble des pass sanitaires qui ont été générés, afin de vérifier l'authenticité de la vaccination des individus concernés. Pour rappel, la détention d'un faux pass sanitaire est réprimée de 5 ans d’emprisonnement et 75.000 euros d’amende.