Per alcuni giorni ho affrontato la diffusione di tessere di vaccinazione sanitaria false, alcune con nomi Adolf Hitler O SpongeBob SquarePants, i paesi europei hanno finito per raschiare chiavi di crittografia scarsamente protette, mentre le autorità francesi e polacche hanno avviato un’indagine.
“Siamo ben consapevoli della presunta manipolazione fraudolenta del codice QR del certificato europeo Covid”, ha detto venerdì all’AFP un portavoce della Commissione europea.
Da mercoledì, alcuni netizen hanno affermato su forum e social network di possedere le chiavi di crittografia segrete utilizzate per generare un codice QR valido per European Health Pass.
Questo codice contiene l’identità del portatore e le informazioni sullo stato della vaccinazione o dell’immunità.
A riprova di ciò, questi utenti hanno creato codici validi con nomi fittizi, come Adolf Hitler o SpongeBob.
Le chiavi di cifratura private non sono però state compromesse, come ha confermato l’AFP alla Commissione Europea, che esclude la via del guasto tecnico e condanna invece “l’attività illegale”.
In alcuni casi, “i certificati sono stati creati da persone con credenziali valide per accedere ai sistemi informatici nazionali”, afferma la fondazione.
Ma secondo gli esperti, i portali Internet, compreso quello della Macedonia del Nord (paese fuori dall’Unione Europea ma integrato da agosto nel sistema sanitario europeo) mancavano delle più semplici misure di protezione e permettevano di generare molti codici fraudolenti.
“Ogni paese ha una o più firme e in ogni dichiarazione troviamo la chiave che è stata firmata”, ha detto all’AFP Gaetan Laurent, ricercatore crittografico presso l’Istituto nazionale per la ricerca in scienza e tecnologia.
Affinché il sistema funzioni, tutti i server utilizzati per la firma devono essere adeguatamente protetti. Ha aggiunto: “Se il servizio rimane aperto e firmi qualcosa, sarà in qualche modo simile in termini pratici” come se la chiave fosse stata rubata.
Per correggere questa falla, gli Stati membri dell’E-Health Network – Public Health a livello dell’Unione Europea – hanno concordato di “vietare i due certificati falsi fino a quando non saranno ritenuti non validi dalle richieste di verifica”. Anche il portale macedone è stato disattivato.
In Francia, giovedì mattina l’app TousAntiCovid Verif è stata aggiornata.
La rete E-Health “migliorerà anche i sistemi di cancellazione e cancellazione, per poter rispondere più rapidamente a tali casi”.
Il caso non è stato completamente chiuso poiché l’origine di alcuni dei permessi sanitari fraudolenti rimane un mistero. Il certificato di vaccinazione intestato a Topolino sembra essere stato firmato dalle autorità francesi, e in parte dai servizi polacchi, forse grazie alla complicità degli operatori sanitari.
La Commissione europea ha affermato che i due paesi hanno avviato un’indagine. La Direzione Generale della Sanità è stata contattata e non è stata in grado di confermarlo immediatamente.
A settembre sono stati pubblicati sui social i codici QR per le vere tessere sanitarie di Emmanuel Macron e Edouard Philippe, il primo dai caregiver che hanno consultato la cartella delle vaccinazioni del presidente secondo l’assicurazione sanitaria, e il secondo dagli internauti che lo hanno gestito. Scansionalo da una foto per la stampa.