"Les contrôleurs Corona n'ont aucune chance de détecter les faussaires de carnets de vaccination. Et pourtant, cela pourrait très facilement changer" !
Entretien avec le profileur Peter Hessel
Bayreuth - Les contrôles d'accès 3G, 2G ou 2G font partie de notre quotidien depuis un certain temps déjà. Ce qui est volontiers abrégé en Allemagne par les "G" pour "geimpft, genesen, getestet" (vacciné, guéri, testé) est considéré à l'étranger comme un "contrôle d'accès conforme à la norme Corona".
Non seulement le nom est un peu encombrant, mais l'exécution correcte du contrôle présente également des difficultés. En effet, seul celui qui sait réellement comment reconnaître les certificats de vaccination et les cartes d'identité falsifiés peut garantir un accès sûr. La carte d'identité ? Quel est le rapport entre la carte d'identité et le carnet de vaccination ? C'est très simple : il ne faut pas seulement vérifier le carnet de vaccination lui-même, mais aussi si les données personnelles du carnet de vaccination correspondent à celles de la carte d'identité. Cette étape est appelée "validation".
Nous examinons ces deux étapes en détail et nous en parlons avec Peter Hessel. Il est premier commissaire de police et diplômé en administration de la police de Hesse, basée à la préfecture de police de Francfort-sur-le-Main
En tant que chef des enquêtes centrales au sein de la direction des services spéciaux, il a été coresponsable de la conception de la police de Hesse en matière de lutte contre la criminalité documentaire. Il a suivi une formation de conseiller et de contrôleur de documents, il est responsable du service de contrôle des documents de la préfecture de police de Francfort-sur-le-Main, conférencier de longue date et expérimenté dans le domaine des séminaires - en bref, un profiler qui a des conseils très concrets pour le contrôle et la validation corrects des certificats de vaccination.
Monsieur Hessel, commençons par l'étape 1 : Supposons que je doive vérifier un certificat de vaccination numérique. Ce n'est qu'un code QR que la plupart des gens ont sur leur téléphone portable. Comment peut-on déterminer si le code QR est authentique ou falsifié ?
Peter Hessel :
À l'œil nu ? Pas du tout ! Cela ne peut se faire qu'avec des moyens techniques. Il faut pour cela un lecteur de codes-barres ou de codes QR homologué et le logiciel adéquat. Ou une application agréée. Un simple contrôle visuel ne suffit pas. Les contrôleurs doivent toujours être conscients de la manière dont les contrefacteurs procèdent : Ils falsifient ce qui fonctionne le plus facilement et ne coûte pas cher. Et une image avec un code QR et un nom est vite reproduite. Les codes QR 2D, comme ceux de notre certificat de vaccination numérique, sont effectivement susceptibles d'être falsifiés. Les codes QR 3D sont déjà plus difficiles. Et il est beaucoup plus difficile, et donc beaucoup plus sûr, d'intégrer les données dans la carte d'assurance maladie, par exemple. Les données peuvent être enregistrées sur la bande magnétique ou dans la puce. Cela est d'ailleurs également possible sur la carte d'identité : beaucoup de gens ne savent pas que des informations spécifiques peuvent être attribuées à des groupes de données sur ce document d'identité. C'est également un endroit sûr pour les données personnelles. Mais maintenant, nous devons gérer la situation où un code QR doit être vérifié. Et c'est pourquoi il faut prendre cela très au sérieux.
Que se passe-t-il si quelqu'un se présente avec le carnet de vaccination jaune ? Ces petits autocollants avec des déclarations sur le vaccin - peut-on le vérifier en tant que profane ?
Peter Hessel :
Non, aucune chance. Même les gens du métier, comme les pharmaciens, ont du mal à le faire. Je vais vous donner un exemple : actuellement, les carnets de vaccination jaunes et les petits autocollants avec le nom du vaccin font l'objet d'un commerce intense sur les plates-formes courantes sur Internet. Cinq carnets de vaccination vierges pour 12,99 euros, plus dix autocollants BioNTech au prix unitaire de 125 euros. Ce n'est pas du pipeau, c'est la réalité. Les autocollants sont livrés avec un filigrane et un numéro de lot imprimés. Impossible de les distinguer de l'original. Nous parlons ici de recherches pures via Google. Les offres du darknet n'en font même pas partie. Et celui qui ne veut pas se faire vacciner est prêt à emprunter cette voie et à payer cet argent. Pour moi, il s'agit clairement d'un cas de blanchiment de documents : en effet, c'est avec un certificat de vaccination ainsi falsifié que la personne se rend maintenant à la pharmacie et obtient un véritable certificat de vaccination européen numérique. Au moindre soupçon, le personnel de la pharmacie devrait donc absolument demander à l'émetteur, c'est-à-dire prendre contact avec le cabinet médical ou le centre de vaccination.
Pour vérifier le code QR, de nombreux contrôles d'accès utilisent par exemple une application. Passons maintenant à l'étape 2 : pour un contrôle complet et correct, il ne faut pas seulement regarder le certificat de vaccination, mais aussi une pièce d'identité. Or, cela n'est pas possible avec une telle application. Comment puis-je comparer rapidement les données avec un contrôle visuel ?
Peter Hessel :
Les contrôleurs doivent ici relever deux défis à la fois. Premièrement, ils doivent comparer les données du certificat avec celles de la pièce d'identité. Cela fonctionne peut-être encore avec la carte d'identité allemande, car on la connaît bien soi-même et on sait où se trouvent les données. Mais même avec le passeport allemand, cela devient plus difficile. On ne l'a pas souvent en main. Un personnel non formé ne peut pas déterminer en quelques secondes à quelle page se trouvent ces données sur la carte d'identité roumaine ou le passeport espagnol. Le contrôleur peut même être amené à prendre le passeport en main, à le feuilleter et à le chercher - et c'est peut-être le visiteur ou l'invité qui doit finalement montrer où se trouvent les informations. Ce sont des situations que nous n'aimons pas voir du point de vue de la police.
Deuxièmement, lors d'un contrôle visuel, le personnel doit connaître au moins quelques-unes des caractéristiques de sécurité standardisées afin de pouvoir reconnaître les documents falsifiés. Cela signifie que non seulement le nom et la date de naissance doivent correspondre, mais que la photo sur le document doit également correspondre à la personne qui se trouve devant moi. Mais la gestion du temps et du personnel pour un contrôle sûr est extrêmement coûteuse. C'est pourquoi il arrive que quelqu'un ferme les yeux. Ou que les contrôleurs se contentent de regarder si le client tient une pièce d'identité qui ressemble à s'y méprendre à un passeport
De votre point de vue d'expert, quels sont les indices de faux papiers ? Y a-t-il des endroits à regarder de plus près ?
Peter Hessel :
Oui, à mon avis, on peut s'en tenir à une petite liste de contrôle pour les passeports et les cartes d'identité
Premièrement : la photo et le visage de la personne sont-ils compatibles ?
Deuxièmement : la signature ressemble-t-elle vraiment à une écriture manuscrite ou les lettres sont-elles aussi régulières que dans une écriture informatique ?
Troisièmement : contrôle de plausibilité ! L'âge indiqué sur la carte d'identité et l'apparence de la personne sont-ils cohérents ?
Quatrièmement, jetez un coup d'œil à la zone lisible à la machine (ZLM). Elle possède plusieurs caractéristiques de sécurité qui sont standardisées au niveau international. Par exemple, l'écriture des chiffres 3 et 4. Dans la MLZ, l'arc supérieur du trois est une ligne droite et le quatre est ouvert. Si le trois a donc deux arcs arrondis et que le quatre est imprimé comme un chiffre fermé, c'est qu'il y a quelque chose qui ne va pas ! Là encore, le problème est le suivant : il faut un peu de temps et de pratique !
Vous et vos collègues utilisez des scanners spéciaux pour contrôler les documents. L'utilisation de la technologie existante est-elle également judicieuse dans le contrôle d'accès conforme à Corona ?
Peter Hessel :
Définitivement oui ! Il n'y a pas d'autre solution, et en termes de sécurité, cela n'a pas de sens non plus. Il existe en effet sur le marché des solutions très différentes qui ont toutes fait leurs preuves. Du scanner d'identification établi à la solution mobile. Cela implique bien sûr des investissements, mais ils sont gérables.
Le contrôle des entrées est actuellement un sujet très sensible, car les erreurs peuvent, dans le pire des cas, entraîner une infection par le COVID-19. D'une part, la sécurité joue donc un rôle important, mais d'autre part, il s'agit aussi d'être rapide. En effet, on veut absolument éviter la formation de files d'attente en raison des distances. Comment peut-on accélérer la procédure complète ?
Peter Hessel :
Je peux répondre à cette question du point de vue de la police : l'information et la communication en amont sont essentielles. Le meilleur exemple et le modèle à suivre sont les aéroports et les contrôles aux frontières. Les voyageurs y sont informés à l'avance de ce qui les attend et des documents qu'ils doivent avoir sous la main. Lettres d'information avant l'événement, affiches sur place, prospectus, etc.
A cela s'ajoute un très bon concept de contrôle d'accès. C'est finalement un exemple de calcul. Combien de personnes doivent avoir accès en un temps donné ? Combien de secondes dure le processus de contrôle par personne ? Cela permet déjà de tirer de nombreuses conclusions. Par exemple, que les temps d'accès doivent être prolongés vers l'avant s'il s'agit d'une salle ou d'un stade.
Des règles uniformes à l'échelle nationale seraient bien sûr utiles pour tous ceux qui doivent maintenant maîtriser cette tâche - tout comme des sanctions uniformes si quelqu'un ne respecte pas les contrôles prescrits.
Une dernière question pour conclure : Quel est le conseil que vous donnez aux services de sécurité et aux contrôleurs ?
Peter Hessel :
La confiance, c'est bien, le contrôle, c'est mieux ! La prévention et la sécurité ne sont malheureusement pas mesurables. C'est pourquoi beaucoup hésitent maintenant à investir dans du matériel et des formations pour le personnel. Mais ce n'est pas la bonne voie dans cette pandémie ! Seule la sécurité nous ramène à un comportement quotidien normal, comme avant Corona. Cela vaut tout particulièrement pour les contrôles d'accès 2G, 3G et autres.
Merci beaucoup, Peter Hessel, pour votre temps et vos informations utiles !
Remarque à titre personnel : Peter Hessel propose, en collaboration avec DESKO, des formations documentaires pour tous les groupes professionnels qui doivent effectuer des contrôles d'accès.