Encore une affaire de piratage de CPS pour générer des pass sanitaires frauduleux. Après celle d'un chirurgien marseillais (178 pass générés) puis d'un médecin responsable d’un centre de vaccination à Arcachon (une cinquantaine de pass édités), c'est dans la région brestoise qu'une centaine de personnes a usurpé l’identité numérique d’un médecin pour obtenir le fameux QR code, rapporte « Le Télégramme ».
Ce retraité d’Indre-et-Loire, qui effectuait des vacations au sein d’un centre de vaccination de son département d’origine, avait reçu quelques jours plus tôt sur son smartphone une demande d’authentification pour son e-CPS, l'outil d’identification dématérialisé. « En ouvrant son application, ou en acceptant simplement la notification, il aurait involontairement donné l’accès au sésame des médecins », selon le quotidien qui précise que le Parquet de Brest a ouvert une enquête pour « usurpation d’un titre attaché à une profession réglementée par l’autorité publique ou d’un diplôme officiel ». Ce délit est passible d’une peine d'un an de prison et de 15 000 euros d’amende.
Faille
Selon les premiers éléments de l’enquête, les bénéficiaires de la fraude, localisés à Paris, « apparaissent clairement dans la base de données modifiée », indique « Le Télégramme ». Mais l'auteur n'est toujours pas identifié. Reste à savoir dans quelles circonstances les fraudeurs ont pu acquérir ces attestations de vaccination. Mais aussi si l’auteur fait partie de l’entourage du médecin au sein du centre de vaccination d’Indre-et-Loire ou s'il s'agit d'un cybercriminel ayant pointé une faille dans le système d’identification des médecins.
Contactée par « Le Quotidien », la CNAM rappelle qu'elle est « tout particulièrement concernée » pour identifier et stopper ces « vraies » attestations réalisées à partir du système d’information Vaccin Covid, alors que la personne n’est pas vaccinée.
Au-delà de l'enjeu sanitaire, elle rappelle la gravité de cette pratique car ces délits peuvent donner lieu à des sanctions lourdes : jusqu’à trois ans de prison pour les utilisateurs de ces fausses attestations, jusqu'à cinq ans de prison pour les faussaires et à des amendes élevées, notamment pour les faussaires (jusqu’à 150 000 euros).
L’Assurance maladie se mobilise au niveau national pour « identifier des anomalies via ses techniques d’analyses statistiques performantes (datamining et intelligence artificielle) dans la base de données qui centralise toutes les données de suivi de vaccination, Vaccin Covid, que l’Assurance-Maladie gère depuis le 4 janvier 2021 ». Mais aussi dans chaque CPAM, les équipes de lutte contre la fraude collaborent activement avec les services de police et de justice à l’identification de telles pratiques.
L'Assurance-maladie rappelle qu'elle a adressé le 11 août un mail à l’ensemble des professionnels de santé libéraux habilités à vacciner et à accéder à Vaccin Covid en France les incitant à la vigilance et à mettre en place les bonnes pratiques de sécurité.
Méfiance requise
Thibault Granié, directeur produit chez CompuGroup Medical, un des leaders mondiaux en e-santé, met en garde les médecins. « Ils doivent avoir conscience qu’il y a des risques de cybercriminalité pour pouvoir s’en prémunir. Car si l’on pense qu’il n’y a pas de risques, si l’on fait confiance à l’entité qui vous contacte, on aura tendance à faire les actions demandées. » Selon ce spécialiste, il suffit d’adopter des gestes simples pour éviter ce genre de déconvenues : « à partir du moment où on vous demande des informations (mot de passe, identifiant, numéro de CB…), il ne faut jamais faire confiance. Il faut ensuite se demander pour quelles raisons on nous fait cette demande. Et, si on ne trouve pas de raisons, on s’arrête immédiatement. »
Par ailleurs, il ne faut jamais cliquer sur un lien contenu dans un mail ou un sms car « un site officiel ne mettra jamais de lien dans un email. Si cela se produit, cela voudra donc dire que ce mail est frauduleux ». Dernière astuce, si l’on vous contacte pour vous demander des informations liées, par exemple, à votre identification e-CPS, « il faut aller tout de suite à la source, c’est-à-dire vérifier directement l’identité du site, en passant par un moteur de recherche, qui élimine en général tous les liens frauduleux. C’est en effet difficile pour un hacker d’enregistrer un lien dans les premiers résultats. »
[article mis à jour mercredi 1er septembre, 19H]
Jusqu’à quatre fois plus d’antibiotiques prescrits quand le patient est demandeur
Face au casse-tête des déplacements, les médecins franciliens s’adaptent
« Des endroits où on n’intervient plus » : l’alerte de SOS Médecins à la veille de la mobilisation contre les violences
Renoncement aux soins : une femme sur deux sacrifie son suivi gynécologique