Piratage et fraude géante. L’identité d’un infirmier sarthois a été usurpée, permettant l’édition de dizaines de milliers de pass sanitaires. Ce professionnel de santé a porté plainte et une enquête a été ouverte, confirme le Parquet du Mans, contacté par France Bleu Maine. « Les codes et le compte de cette personne ont été piratés plus de 50.000 fois », précise la Procureure de la République. L’enquête est confiée au Service Régional de Police Judiciaire (SRPJ) d’Angers. Les investigations devront permettre de comprendre comment une fraude de telle ampleur a pu être commise. Et si des dysfonctionnements se sont produits dans la chaîne d’alerte aux faux pass sanitaires.

Certainement un vol des mots de passe

Premier point à éclaircir : les conditions de l’usurpation de l’identité. Habituellement, lorsqu’il veut rentrer des données informatiques, un infirmier doit, au préalable, s’identifier sur son site professionnel dédié avec un mot de passe. La procédure est la même que pour tout un chacun, lorsqu’il se connecte à un site Internet, à la nuance près que, dans le cas des données de santé, la sécurité est censée être maximale. Cet identifiant et ce mot de passe font office de « E-CPS », c’est-à-dire de Carte de Professionnel de Santé Electronique. L’enquête du SRPJ d’Angers devra déterminer comment ces données confidentielles et ultra-sensibles ont été récupérées par les pirates informatiques.



L'hypothèse d'un piratage de la base de vaccination peu probable

« L’hypothèse la plus probable est celle d’une usurpation d’identité après vol de codes informatiques », avance le Sarthois Vincent Trély, spécialiste des questions de sécurité informatique. « Ces codes peuvent se trouver sur un ordinateur ou sur un smartphone. Ils peuvent aussi circuler sur une boîte mail non sécurisée. Ensuite, se faisant passer pour un professionnel de santé, il est possible de générer de faux certificats de vaccination », explique le président de l'Association pour la Sécurité des Systèmes d'Information de Santé. « Je pense qu'on est dans ce cas de figure plutôt que dans celui d'un piratage du système central qui, à ma connaissance, n'a jamais eu lieu et qui serait beaucoup plus complexe à mettre en œuvre », ajoute Vincent Trély. Suivant cette hypothèse, la robustesse du système informatique dédié à la vaccination anti-Covid en France ne serait pas en cause.



Une activité très anormale sur le compte professionnel de l'infirmier

D’après les informations recueillies par France Bleu Maine, l’infirmier sarthois a signalé à son ordre professionnel avoir constaté une activité anormale sur son compte. L’ordre des infirmiers, que nous avons joint, précise qu’il a procédé aux seules vérifications qui lui étaient possibles. Il a ainsi pu constater qu’effectivement, les connexions sur le compte de ce professionnel de santé étaient nombreuses et que l’adresse mail avait été changée. Mais son pouvoir d’investigation s’arrêtant là, l’ordre des infirmiers assure avoir alerté la Caisse Nationale d’Assurance Maladie (CNAM), seule à même de traiter l’affaire dans sa globalité. L’ordre national des infirmiers précise que « la délivrance des pass sanitaires et leur suivi ne relèvent pas de ses compétences ».



Des questions sur le système d'alerte à la fraude aux pass sanitaires

Contactée, la Caisse Nationale d’Assurance Maladie (CNAM), n’a pas répondu à la demande de précision de France Bleu Maine. Localement, la Caisse Primaire d’Assurance Maladie (CPAM) de la Sarthe indique avoir été mise au courant de ce dossier délicat par la Caisse Nationale après croisement des données en sa possession, notamment celles concernant la vaccination anti-Covid. « Dans la mesure où aucune demande de remboursement de produits pour vacciner ou d’acte médical n’a été généré, nous n’avons pas été directement alertés », explique la CPAM de la Sarthe. « Bien sûr, si nous avions vu passer 50.000 demandes de remboursement, il en aurait été autrement !».

D’une façon générale, les clignotants d’alerte de la Caisse Primaire d’Assurance Maladie s’allument « lorsque 20 cas atypiques » sont signalés, par exemple une vaccination qui serait répertoriés au même moment dans deux lieux très éloignés.