La pastille Crit’Air est-elle vraiment sécurisée et infalsifiable? Pour le savoir, certains petits malins ont tenté de la pirater. Y sont-ils parvenus? Verdict!
Présenté comme un document « sécurisé qui permet de limiter tous types de fraude », le fameux certificat qualité de l’air est – ça ne vous a pas manqué – doté d’un flashcode. Sa vocation ? Tout simplement permettre aux forces de l’ordre de valider l’authenticité du document.
Or, aussi étonnant que ça puisse paraître, ce « tag » peut-être lu par n’importe quel smartphone équipé d’une application (gratuite) permettant de le scanner ! Nous avons tenté l’expérience avec 100 % de réussite : à tous les coups, est apparue une suite de caractères cabalistiques que nous avons pu (en partie) décoder.
Un flashcode carrément indiscret
Concrètement, n’importe qui peut consulter, en quelques secondes, l’immatriculation, la marque, le modèle, le numéro de châssis, le carburant et la catégorie de vignette de n’importe quel véhicule ! Anodin ? Oui pour certaines infos. En revanche, le numéro de châssis, lui, peut être considéré comme une donnée sensible. Pas pour les marques françaises, qui l’inscrivent systématiquement en bas des parebrises, mais pour Audi, BMW, Fiat ou encore Mercedes, qui l’ont retiré depuis longtemps, probablement par peur des usurpations !
Alors, oui, ce numéro est également présent sur le macaron du contrôle technique. Mais pour qui voudrait le dissimuler aux yeux de tous (rappelons que l’affichage du macaron « CT » n’est pas obligatoire), c’est raté : en quelque secondes, la vignette Crit’Air révèle l’information.
Falsifiable l’écopastille ?
Plus problématique, des petits malins se vantent d’avoir trouvé la faille pour se fabriquer une pastille « maison » plus avantageuse que celle à laquelle ils ont droit. Sans révéler leur « truc », disons qu’ils ont réussi à générer un flashcode bidon, qui leur permet de choisir la classe Crit’Air qui les arrange. Cela étant fait, il leur reste juste à fabriquer une fausse vignette, à y coller ce code bidouillé, et hop, emballé c’est pesé : en cas de contrôle, les forces de l’ordre n’y verront, a priori, que du feu.
Raté ! Le document est bel et bien sécurisé
Gare à vous, hackers du dimanche ! Contrairement aux apparences, le tag en question n’est pas un flashcode comme les autres : il s’agit en fait d’un code-barres « 2D-Doc » doté d’un cryptage asymétrique complexe. En clair, une protection (également présente sur les courriers de retrait de points) qui rend toute falsification impossible. Mais au fait, comment les forces de l’ordre pourront-elles authentifier ce 2D-Doc ?
Tout simplement grâce à l’appli 2D-DocReader (photo), qui décode les informations inscrites dans le cryptogramme et repère illico les faux. Essayez-la, elle est gratuite sur Android et iOs
François Tarrain / auto plus