"La fuite des QR Codes de Castex et Macron ? Un non-événement", pour Guillaume Gamelin (Interview)

Les fuites récentes des QR Codes relatifs aux pass sanitaires d'Emmanuel Macron et de Jean Castex ont fait grand bruit dans la presse. Mais F-Secure, que Clubic a rencontré sur le salon IT Partners, nous explique qu'il ne s'agit en réalité que d'un feu de paille, et que les problèmes sont ailleurs. Interview.

Ces derniers temps, le président de la République et le Premier ministre ont été victimes d'une fuite de leur QR Code respectif. Jean Castex avait exposé le précieux sésame, souhaitant faire la promotion du pass sanitaire, tendant ainsi le bâton pour se faire battre. Emmanuel Macron, de son côté, a surtout été victime d'une faute déontologique qui a conduit au partage de son QR Code sur les réseaux sociaux, laissant au passage trainer certaines données personnelles... plus vraiment privées, surtout lorsqu'on évoque la personne du chef de l'État. Pour F-Secure, que Clubic a pu rencontrer sur le salon IT Partners à Disneyland Paris il y a quelques jours, ces fuites ne sont pas un souci, encore moins sur le plan de la cybersécurité. En revanche, d'autres faits récents inquiètent davantage l'entreprise spécialisée dans la sécurité informatique. C'est le cas notamment du récent piratage de l'AP-HP, dont les conséquences pour les patients seront plus fâcheuses que celles subies par le Président de la République et son Premier ministre. Nous en avons discuté avec Guillaume Gamelin, Vice-Président Régional de F-Secure France.

L'interview de Guillaume Gamelin, de F-Secure - Partie 1 : "La fuite des QR Codes"

Clubic : Récemment, les QR Codes d'Emmanuel Macron et Jean Castex ont été divulgués, pour des raisons différentes, mais avec certaines informations à la clé : nom, prénom, date de naissance et statut vaccinal. Il y a eu un emballement un peu fou alors, qu'à la base, ces données sont d'ordre public...

Guillaume Gamelin : Quand nous avons vu ça dans la presse, en tant qu'experts de cybersécurité, on a qualifié ça de non-événement. Car si on creuse ce qu'il y a derrière, il n'y a même pas eu de cyberattaque proprement dite. Il y a deux façons d'obtenir les QR Codes pour ces deux personnes. Pour Jean Castex, il s'agissait d'une copie d'une photo sur laquelle le Premier ministre montrait son QR Code. De l'autre côté, c'est une personne du corps médical qui a obtenu l'information d'Emmanuel Macron et qui l'a divulguée.

"Les fuites des QR Codes de Jean Castex et Emmanuel Macron ? À part faire rigoler, il n'y a pas eu de grandes conséquences derrière"

Donc il n'y a pas vraiment eu de cyberattaque. Derrière, les conséquences, rappelons qu'il n'y a que les quatre informations que vous avez citées qui sont contenues dans le QR Code. On est ici sur des données complètement publiques, puisque ces deux personnalités en ont fait état dans la presse le jour où elles se sont faites vacciner. Donc à part faire rigoler la personne qui va scanner votre QR Code à l'entrée d'un restaurant ou d'un cinéma, je n'ai pas vraiment l'impression que les conséquences soient dramatiques, à part pour faire le buzz effectivement dans la presse.

Par extension, on a vu que les médecins généralistes pouvaient, via certains logiciels qu'ils utilisent, obtenir ces données-là. Mais il y a récemment eu un fait d'actualité bien plus important, et bien moins rassurant Guillaume...

Oui, très récemment, il y a eu un autre événement, beaucoup plus grave et plus important effectivement, qui a moins fait parler de lui dans la presse mais qui reste majeur, puisqu'on touche au secret médical. Rappelons que 1,4 million de personnes testées au Covid-19 ont été victimes d'un vol de données sensibles, données volées à l'Assistance Publique - Hôpitaux de Paris (AP-HP). Là, on parle d'une vraie attaque informatique, de l'exploitation de vulnérabilités du logiciel de partage de fichiers Hitachi. Derrière, il y a vraiment des données sensibles et qualifiées. Nous avons un nom, un prénom, un numéro de téléphone, un numéro de sécurité sociale, une adresse email et le résultat d'un test Covid. Là, il y a des conséquences qui peuvent être graves.

Avec le QR Code d'un pass sanitaire, à part faire rigoler, il n'y a pas eu de grandes conséquences derrière. Mais il y a quand même des choses qui ont été faites de la part de la sécurité sociale et d'Ameli, puisque ça a entraîné un process de création d'un nouveau QR Code "à la demande." C'est la personne qui voit que son identité a été usurpée qui doit en faire la demande. Ensuite, Ameli génère un nouveau code et l'ancien, considéré comme suspect, est alors considéré comme falsifié.

"Pas une cyberattaque, mais une fuite déontologique, tout simplement"

Mais alors, qu'est-ce qui fait que cela a pris tant d'ampleur alors dans la presse ? Est-ce que c'est juste parce que ça a touché le président et son Premier ministre ?

Oui, je pense que c'était ça. On le sait très bien : il y a eu des dérives du pass sanitaire. On a dit au tout départ que les personnes qui contrôlent le pass devaient en plus contrôler les identités. Ensuite, l'État a rétorqué que les patrons de restaurants n'étaient pas habilités à contrôler l'identité. Puis il y a eu l'utilisation frauduleuse de différents QR Codes qui n'appartenaient pas aux personnes. Vous le dites très bien : ce qui a fait le buzz, c'est que ce soit le pass sanitaire de Jean Castex et d'Emmanuel Macron. C'est une fuite déontologique, tout simplement. Et en plus, il n'y a pas de données sensibles. Une date de vaccination, une date de naissance, un nom et un prénom... je pense que si vous tapez leur nom sur Wikipedia, vous aurez même plus d'informations que derrière un QR Code.

S'agissant du 2D-DOC, il y a aussi un risque, car il est facilement imitable après tout...

Oui, c'est facile. Aujourd'hui, que ce soit un QR Code, une carte grise, un permis de conduire ou une carte d'identité, on peut faire une photocopie classique et utiliser l'information. On n'est pas dans des techniques avancées de cyberattaque, mais juste dans de l'usurpation d'identité. Ce n'était en tout cas pas très malin de la part de Jean Castex de montrer son QR Code, car on va inexorablement tenter les "petits rigolos" qui ont falsifié le code.

L'interview de Guillaume Gamelin, de F-Secure - Partie 2 : "La cyberattaque de l'AP-HP et ses potentielles conséquences"

Vous parliez d'une fuite déontologique avant d'être informatique. Mais pour certaines données que des individus ont entre autres pu récupérer (en référence à l'attaque AP-HP), n'y a-t-il pas ensuite un risque que l'on assiste, si ces données tombent entre de mauvaises mains, à des tentatives de hameçonnage etc. ?

Effectivement, pour la partie QR Code et pass sanitaire, il n'y a pas de risque. En revanche, sur le deuxième exemple, celui de l'AP-HP, il y a eu directement une communication du directeur général de l'AP-HP, faite auprès de ses 1,4 million de personnes dont les données ont été hackées. Comme vous le dites, il y a de grandes probabilités que ces personnes reçoivent des emails de phishing ou subissent des tentatives de hameçonnage. Les informations sont ici très qualifiées, et en plus on a les résultats des tests. Donc étant dans le médical, le hacker peut surfer sur la brèche du "vous avez été testé positif au Covid, alors voilà."

"Il y a parfois des entreprises qui ne corrigent pas leurs vulnérabilités pendant des années !"

Sur l'attaque de l'AP-HP, à quoi doit-on véritablement l'attribuer ? À une maladresse humaine ou à une véritable faille informatique ?

Aujourd'hui, 80% des cyberattaques sont dues à une faille de vulnérabilité. Ici, il s'agit d'un logiciel qui n'a pas été patché en temps et en heure. Parfois, il y a des entreprises qui ne corrigent pas pendant des années, ce qui veut dire qu'elles ont une faille dans leur système d'information. L'AP-HP utilisait un logiciel de partage de fichiers qui pouvait être très sécurisé à la base, sauf qu'il y avait une vulnérabilité. La faille a permis aux hackers d'entrer dans le logiciel et de pirater les informations. D'où l'importance aujourd'hui d'utiliser des scanners de vulnérabilités, qui ne sont pas des outils de sécurité mais qui sont des outils de tests, qui vont permettre aux entreprises de dresser la surface d'attaque et de savoir où elles peuvent être vulnérables et où on doit mettre à jour en priorité.

En tant qu'acteur cyber, j'imagine que vous reconnaitrez facilement qu'il y a encore, malgré les efforts d'acteurs comme l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information), de grosses carences et manques en matière de protection cyber, sans parler du manque de cerveaux dans la cybersécurité aujourd'hui ?

Je pense que l'ANSSI a beaucoup œuvré sur l'éducation utilisateur. Chez F-Secure, nous avons noté qu'il y a eu une prise de conscience, depuis un an, de la cybermenace, de la part de toutes les sociétés. Aujourd'hui, la menace informatique n'est plus orientée que sur les grands comptes, mais elle touche tout le monde. On a bien vu pendant la période Covid qu'elle a touché des centres hospitaliers, de grandes mairies etc. Lorsqu'on parle cybersécurité, il y a deux ou trois ans, les clients avaient un peu de mal à appréhender et à s'équiper. Aujourd'hui, il y a des budgets et de l'investissement, nous l'avons vu dans les chiffres. F-Secure a doublé son chiffre d'affaires en trois ans, cela veut tout dire. Il y a un marché et un gros besoin.

Guillaume, pour terminer, quel est le dossier cyber prioritaire chez F-Secure ?

Aujourd'hui, on se rend compte sur le marché qu'il y a de plus en plus de menaces qui sont des menaces avancées qui demandent toujours plus d'expertise. Sur IT Partners, ce que nous sommes en train de mettre en avant pour nos partenaires, c'est une console d'administration qui va permettre à nos partenaires de délivrer un service de cybersécurité haut de gamme pour les clients finaux. Chez F-Secure, nous pensons que complexité et cybersécurité ne vont pas du tout ensemble et que la clé du succès sera l'expertise, celle des partenaires, ou la nôtre. Et cette expertise devra être délivrée aux clients finaux. Le gros sujet d'actualité, c'est Elements, notre suite de supervision des endpoints de nos clients.