Alors que le ministre de la santé a indiqué que 300 000 faux Pass vaccinaux vont être supprimés, certains chiffres tirés des données ouvertes ou des applications TousAntiCovid et TousAntiCovid vérif posent questions. Des incohérences apparaissent entre les annonces et ce qu’on peut mesurer. Pire, certains documents jettent le trouble sur le bienfondé des actions du gouvernement.

Suite à l’annonce tonitruante d’Olivier Véran de la suppression future de 300 000 Pass vaccinaux frauduleux début février 2022, j’attendais et guettais le moindre mouvement dans les données qu’on disposait. La première source de données qu’on dispose provient des applications TousAntiCovid et TousAntiCovid vérif. En effet, depuis l’été et surtout depuis ma découverte du Pass sanitaire du premier ministre Jean Castex dans la presse, une liste noire de Pass sanitaires frauduleux se remplie petit à petit.

Il est plutôt simple de récupérer cette liste noire. Cependant, il faut préciser qu'il n'y a techniquement pas qu'une seule liste noire. Déjà, il existe une liste noire pour les Pass sanitaire au format QR code européen et au format 2D-Doc français. En plus de cela, chaque dispositif enregistre sa liste noir par ses propres moyens. Ainsi, nous trouvons une liste noire dans l'application TousAntiCovid vérif qui est la plus importante car c'est grâce à celle-ci que les autorités peuvent empêcher les gens d'utiliser des pass frauduleux en empêchant leur validation lors de leur contrôle. Nous trouvons également une liste noire dans l'application grand public TousAntiCovid qui permet d'afficher un message d'avertissement lorsqu'on a enregistré dans le Carnet un pass frauduleux. Il y a également une liste noire sur le service de conversion des 2D-Doc en QR code, une fonctionnalité qui n'a plus trop d'intérêt aujourd'hui car tout le monde est passé au QR code à cause de la dose de rappel obligatoire, mais qui avait posé problème pour le pass de Jean Castex comme je l'expliquais dans un précédent article. Pour finir, il y a une quatrième liste noire pour la fonctionnalité Pass+ qui permet de combiner plusieurs documents (vaccin + test, vaccin + rétablissement selon les cas) via l'application TousAntiCovid. Pour simplifier, la visualisation n'utilise qu'une seule source de données : TousAntiCovid vérif qui est la source la plus actualisée (on le verra dans la suite de l'article).

Des premiers signes dans les données ouvertes

Ce n'est pas dans les listes noire mais dans les données ouvertes que d'importantes actions contre la fraude ont été observées en premier. En effet, le jeu de données relatives aux personnes vaccinées contre la Covid-19 (VAC-SI) publié par Santé Publique France a affiché un message d'avertissement le 11 février dernier : "Du fait d’actions de suppression de dossiers dans la base Vaccin COVID menées par la Caisse nationale d’assurance maladie, des diminutions des couvertures vaccinales au niveau national, régional et départemental sont observées entre le 10/02/2022 et le 11/02/2022". Le tableau de bord du gouvernement affichait également un message d’avertissement similaire.

Capture d'écran du tableau de bord du gouvernement : "Informations Covid-19 : Suite à la suppression de dossiers dans la base Vaccin menée par la Caisse nationale d'assurance maladie, des diminutions de la couverture vaccinale sont observées entre le 10 et le 11 février 2022."
Message d'alerte sur le site du gouvernement observé le 11 février

En supprimant des dossiers de vaccinations, cela a des répercussions sur les données ouvertes car celle-ci sont crées directement grâce à celles-ci. Mieux, le fichier VACSI précédemment cité n'affiche pas un compteur qui s'incrémente chaque jour mais met à jour l'ensemble du comptage quotidien à chaque mise à jour du fichier. Ainsi, avec le fichier du 10 février et le fichier du 11 février, nous pouvons les comparer et percevoir où les suppressions ont été faites. A noter que dans les prochaines visualisations, "n_dose1" correspond aux premières doses, "n_complet" au schéma complet (seconde dose) et "n_rappel" aux doses de rappel.

Sur ce graphique, nous pouvons voir des suppressions de premières doses, de schéma complet (secondes doses) et de doses de rappel principalement vers octobre et en décembre. Au total, c'est environ 30 000 dossiers de vaccination qui ont été supprimés. Dans le détail, il y avait environ 30 000 premières doses, 30 000 deuxièmes doses, mais 15 000 doses de rappel supprimées.

Nouveau coup de filet le 18 février. Cette fois-ci je détecte la suppression de 20 000 premières doses et schéma complet dans les données ouvertes à peu près aux mêmes dates. Premier problème, aucune communication n'a été faite par le gouvernement ou par Santé Publique France. Après avoir publié un tweet samedi 19 au matin, je découvre l'ajout d'une information vers 16h sur le jeu de données. Visiblement, on travaille même le samedi chez Santé Publique France, et on lit mes tweets ? Deuxième problème, et de taille, il y aussi la suppression de 200 000 doses de rappel dans les données ouvertes. Oui, je n'ai pas rajouté de 0 en trop, c'est bien 200 000 doses de rappel qui ont été supprimées. Lorsque j'ai vu ça, j'ai d’abord cru a une erreur, pourtant Santé Publique France publie l'information comme quoi les suppressions dans le fichier du 18 sont bien dues à de la lutte contre la fraude.

Si on fait un pas de côté et qu'on tente de comprendre les données qu'on analyse, il faut se poser la question de la production de ces données. D'où viennent les données ? Comment sont-elles crées ? Lorsqu'on se fait vacciner, le professionnel de santé dans le centre de vaccination renseigne pour chaque doses notre statut vaccinal dans le service Vaccin covid mis en place par l'Assurance Maladie et le Ministère de la santé.

Dans l'analyse des données ouvertes, on peut voir des pic à certaines dates comme au premier octobre et une première vague de premières doses puis le schéma complet dans une autre vague. J'ai émis des hypothèses sur ces observations. Lorsqu’un pirate usurpe l'accès au portail Vaccin covid celui-ci souhaite obtenir un pass sanitaire/vaccinal valide. Pour ce faire, il doit renseigner une première dose et une seconde dose mais je suspecte que le portail l'oblige à respecter un délai minimal d'un mois entre les deux doses. Ainsi, le pirate renseignerais la première dose à une date antérieure de plus d'un mois et la seconde dose le jour même. A cause de cela, on voit un écart entre les premières doses et les secondes dans l'analyse des données ouvertes. On peut également supposer que le pic du 1er octobre (qui retrouve également les autres mois) provient de la sélection de la date dans l'interface : le premier du mois est sûrement plus rapide à sélectionner. De même pour le 4 octobre qui est le premier lundi du mois. En faisant ces suppositions, on peut modéliser la façon dont les suppressions devraient être faites. C'est l'objet du prochain graphique.

Dans cette visualisation, j'ai créé des données factices pour montrer une version hypothétique d'une suppression de dossiers de vaccination. On y retrouve notre première vague de premières doses avec un pic le 1er du mois, puis une deuxième vague plus d'un mois après et enfin une dernière vague de doses de rappel qui est moins importante car toutes les personnes fraudeuses n'ont pas forcément rajouté de doses de rappel. Cependant, vous l'avez peut-être remarqué, ma représentation hypothétique ne correspond par aux analyses des données ouvertes. Les vagues de doses de rappels sont anormalement hautes ou placées en même temps que la seconde dose. On peut alors légitimement se demander d'où viennent les doses de rappels supprimées ? Est-ce que le gouvernement supprime des doses de rappel sans supprimer les premières et deuxièmes doses ? Est-ce que les pirates peuvent enregistrer des doses de rappel sans avoir de premières et deuxièmes dans le dossier ?

Des ajouts dans les listes noires

Alors que des suppressions étaient visible dans les données ouvertes de Santé Publique France, on ne voyait pas de mouvement dans les listes noires. Pour moi, c'était logique car les pass vaccinaux sont des attestions qui peuvent être générées à partir d'un dossier de vaccination mais rien n'interdit de continuer de les utiliser lorsque le dossier est désactivé. Pour le comprendre, il faut d’abord comprendre comment sont constitué les listes noires. Pour ajouter un pass dans une liste noire, il faut récupérer un identifiant (techniquement nommé UVCI) et le passer dans la moulinette d'un algorithme de hashage (le sha256) pour pseudonymiser les données. Il est important de noter que lorsqu'on utilise le service en ligne Attestation Vaccin pour récupérer un pass vaccinal, à chaque téléchargement d'une attestation un nouveau QR code est créé et un nouvel identifiant est créé. Cet identifiant n'est pas censé être enregistré par le service de création d’attestation. Les conditions générales d'utilisation indiquent "Les informations nécessaires à la génération de l’attestation ne sont pas conservées dans ledit téléservice.". Ainsi, il me paraissait peu probable de voir gonfler les listes noires à la suite de suppressions de dossiers de vaccination car ceux-ci n'étaient pas censé les avoir en mémoire. Pourtant, voici ce que l'on a vu :

Le 16 février nous avons vu un bond stratosphérique des pass blacklistés. D'abord environ 30 000 pass, puis environ 20 000 de plus, puis pile 10 000 et encore 10 000 chaque jours suivants. Ces chiffres peuvent poser question. En mettant de côté la non conservation des identifiants, nous pouvons tenter de comparer les chiffres des listes noires et des analyses des données ouvertes. La suppressions du 11 février comportait environ 30000 schémas complets et 15 000 doses de rappel. Ainsi, on aurait pu attendre un ajout de 45000 pass dans la liste noire, mais nous ne retrouvons pas ces chiffres. Avec la suppressions concomitante de dossiers le 18 février, il est difficile de conclure sur ce point. Cependant, au vu du rythme de l'ajout de pile 10 000 pass chaque jour, il faudrait 20 jours pour absorber la suppression de 200 000 rappels du 18 février ? Cette stratégie pose question car pendant ces 20 jours une partie de ces pass seraient toujours valides. Le gouvernement a intensifier les ajouts pour arriver à environ 229 500 pass blacklistés en 15 jours.

Sur l'enregistrement des identifiants des pass vaccinaux, j'ai demandé à l'assurance maladie de me communiquer une copie des données personnelles qu'elle avait enregistré pour la génération d'attestation de vaccination pour pouvoir constater sur pièce de cette potentielle conservation de données. Ne figurant nulle part, ni dans les conditions générales d'utilisation (CGU), ni dans les analyses d'impact relative à la protection des données personnelles (AIPD), cela pose de nouveau question.

Selon des témoignages rapportés, les pass ajoutés seraient bien de vrai pass (et non des identifiant aléatoire pour remplir artificiellement la liste noire, ce qui aurait été possible et simple à mettre en œuvre). Maintenant, une autre problématique de taille est l'aspect juridique. Est-ce que le gouvernement a le droit de mettre tous ces pass sur liste noire ? Et bien non ! Le gouvernement ne respecte pas sa propre réglementation, lisez plutôt :

En cas d'utilisation frauduleuse de codes associés aux justificatifs mentionnés au I, les autorités habilitées à les générer peuvent les révoquer. De nouveaux codes sont générés sans délai à la demande de la personne titulaire de ces justificatifs.

V de l'article 2-3 du décret n° 2021-699 du 1er juin 2021 prescrivant les mesures générales nécessaires à la gestion de la sortie de crise sanitaire

Ici, les pass mis sur liste noire proviendraient des dossiers de vaccination supprimés. Cela induit le fait que les personnes n'ont plus droit au pass vaccinal et donc ne peuvent pas générer de nouveaux pass comme le prévoit le décret qui été à l'origine prévu surtout pour les pass sanitaires publiés sur les réseaux sociaux, dans la presse ou partagés entre plusieurs personnes.

Pour finir, comme je l'ai indiqué en introduction de cet article, cette analyse n'a utilisé que les données de TousAntiCovid vérif. La raison est simple : les autres listes noires n'ont tout simplement pas été mises à jour à l'heure où j'écris ces lignes. Pour l'instant on compte toujours moins de 5 000 pass bannis dans les listes noires de TousAntiCovid et du serveur de Pass+.

Combien de faux pass au total ?

Avec les deux suppressions de dossiers du 11 février et du 18 février, il est possible d'observer par deux fois une vague de premières doses un mois avant les secondes qui semblent être du fait d'un ajout à posteriori. Partant de ce constat, il est tout à fait possible de tenter de détecter tous les ajouts à posteriori de premières doses et ainsi d'évaluer la fraude. Lorsqu’on visualise les ajouts à posteriori par le nombre de jour avant la date d'ajout et selon les premières doses, le schéma complet et les rappels, la fraude est flagrante pour les premières doses entre J20 et J45 sur le graphique suivant.

En prenant des précautions, par exemple en ne comptant pas les ajouts récents (qui sont très importants et qui peuvent être du fait d'ajouts manuels des professionnels de santé quelques jours après l'injection) et en ne comptant qu'à partir de l'été, on peut obtenir une estimation de 500 000 faux dossiers de vaccination. Olivier Véran comptait 300 000, on est un peu au dessus mais pas tant que cela. Cependant, on ne comptait que les premières doses pour estimer les dossiers frauduleux. Il se pose toujours la question de la suppressions très importantes de 200 000 doses de rappel le 18 février.

Conclusion

Alors que les gouvernants annoncent une fin probable du pass sanitaire et vaccinal dans les prochaines semaines, la lutte anti-fraude semble constituer le dernier baroud d'honneur du n'importe quoi d'un système technocratique, mal-conçut d'origine voir kafkaïen sur certains points. Je ne le répéterais pas assez mais un QR code est un document non sécurisé car facilement lisible et duplicable à l'infini. Les tentatives de signature ou d'identifiant unique ajoute de la complexité sans pour autant résoudre les problèmes du système du Pass sanitaire.

Cet article ne s'est préoccupé d'analyser uniquement la méthode de création des faux dossiers induisant l'usurpation d'identité d'un professionnel de santé sur le portail Vaccin Covid par un pirate et n'a pas exploré les autres méthodes (comme le passage factice en centre de vaccination par exemple). L'utilisation d'un pass par plusieurs personnes voir l'utilisation d'un pass publié sur les réseaux sociaux ou dans la presse sont également des méthode qu'il sera très difficile voir impossible à détecter et quantifier et pour lesquels je n'ai aucun chiffre. L'estimation de 500 000 faux dossiers de vaccination est donc probablement qu'une petite partie de l'ensemble de la fraude. Ces différentes méthodes de fraude montrent la faiblesse d'un système avant tout technologique.

Si c'est le ministère des solidarités et de la santé qui a mis en place le pass sanitaire/vaccinal, il a oublié la solidarité en créant un pass qui exclue et emmerde, il a oublié la santé en créant un pass qui ne protège pas mais s'est enfoncé dans le technopouvoir et la surveillance avec un pass faillible qui accroit la dépendance à la technologie.

Le problème de mélanger le sanitaire avec une politique de répression permanente qu'est le pass sanitaire est qu'on arrive à un point où aujourd'hui des dossiers de vaccination sont supprimés et les données ouvertes perdent en crédit par une fraude qui semble être assez massive. Les données sur lesquelles tout le monde (gouvernants comme citoyens en passant par la presse et la recherche) se basait pour mesure et évaluer la politique de vaccination étaient faussées. Certes mes travaux sont très préliminaires et il encore difficile d'évaluer l'impact de la fraude, mais de plus amples investigations méritent d'être faites. Malheureusement, la Mission d'Information du Sénat qui souhaitait enquêter sur le pass vaccinal n'a pas pris la peine de se pencher sur ce sujet…

Méthodologie

Retrouvez le code source de mes algorithmes ici : pour les différences dans les données ouvertes de VACSI & pour les listes noires des pass.