Charente-Maritime : prison ferme pour les revendeurs de faux pass sanitaires

Ils avaient profité de la pandémie de covid-19 pour se faire de l’argent : le tribunal de Paris a prononcé ce mardi des peines de six  mois à deux ans d'emprisonnement ferme à l'encontre, selon ses termes, d'une "bande de jeunes" qui avait "inondé le territoire" français de faux certificats de vaccination.

C'est "l'affaire d'une bande" de "geeks" qui ont monnayé ce qui "ne devait pas l'être", en pleine pandémie mondiale, et qui "ont profité des failles techniques du système", par "appât du gain", pour réaliser des "profits crapuleux", a résumé la présidente du tribunal.

Si des affaires similaires existent, celle-ci "s'est distinguée par le nombre de professionnels de santé impactés", plus d'une trentaine, "par le nombre de faux pass générés", plus de 121.000, ainsi que par "les profits estimés" à 22 millions d'euros, a ajouté la présidente.

Treize prévenus de 21 à 34 ans ont comparu en novembre, poursuivis notamment pour blanchiment en bande organisée pour la production et la revente de faux pass entre juillet 2021 et janvier 2022, essentiellement en régions parisienne et lyonnaise.

Mardi, jusqu'à deux ans d'emprisonnement ferme ont été prononcés, des peines assorties d'aménagement pour la plupart, ainsi que des amendes allant de 8.000 euros à 50.000 euros.

35 comptes piratés

L'affaire avait été mise au jour après la plainte, en septembre 2021, d'un médecin généraliste de Charente-Maritime qui dénonçait l'usage frauduleux de son compte E-CPS, l'application qui permet aux professionnels de santé de s'authentifier et d'accéder aux services numériques de l'agence numérique de santé.

Le médecin avait été contacté par une infirmière, elle-même alertée par les informations figurant sur le pass d'un pompier, lequel devait reconnaître s'être procuré un faux en échange de 400 euros.

La vaccination était alors obligatoire en France pour les soignants et les employés d'Ehpad et le pass pour les personnes qui voulaient accéder aux restaurants, trains interrégionaux, grands magasins ou autres lieux ouverts au public.

L'ordre des médecins avait également porté plainte pour le piratage de 35 comptes de praticiens.

A l'origine, le trafic a débuté à petite échelle avec l'achat d'un botnet sur la plate-forme Genesium Market - connue pour la revente d'informations et de cookies d'identification - et la modification d'une dizaine de comptes et l'émission de pass vendus à des Russes pour 200 à 250 euros.

Une fois les comptes modifiés, il était possible d'activer la E-CPS, le moyen d'identification électronique, sur le téléphone d'un client afin que ce dernier génère de faux passes. La location de l'accès était facturée de 2.000 à 3.000 euros la semaine.

En décembre 2021, une autre plainte était déposée, par un infirmer. Plus de 54.000 pass avaient été émis sous son identifiant, alors même qu'il n'avait vacciné personne. Par échantillonnage, il avait été établi pendant l'enquête que dans un laps de temps de quatre heures, soit la durée maximale d'une connexion sur une session sans autorisation, 300 pass en moyenne pouvaient être générés.

Dans ce vaste réseau, les pass s'achetaient et se revendaient sur les réseaux sociaux, dont Snapchat ou Telegram.