La preuve de vaccination reçue par des millions de Québécois sous forme de code QR renferme des données personnelles que le gouvernement n'a pas cryptées, ce qui les rend faciles à décoder. Trop facile, selon des experts en cybersécurité, qui y voient un potentiel de fraude.
Même si le lecteur de code QR mis au point par le gouvernement n'est pas encore disponible, il n'a fallu que deux secondes pour décoder la preuve vaccinale de l'auteur de ces lignes. Il suffit de cliquer sur un lien web et d'activer la caméra d'un ordinateur ou d'un téléphone cellulaire.
Une fois scanné, le code QR révèle le nom, la date de naissance, le type de vaccin inoculé, le nombre de doses ainsi que les dates et lieux d'injection.
Québec a encodé ses preuves de vaccination à partir du protocole Smart Health Card, une interface connue pour laquelle des décodeurs se trouvent déjà sur le web.
« Si un commerçant véreux prend une application maison pour exploiter l'information, il y a un potentiel d'exploitation malveillante », dit Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke.
Le potentiel de fraude est élevé.
Le contrôle des informations entre les mains des commerçants
À l'instar de la France, cet été, le gouvernement du Québec a prévenu qu'il pourrait, dès septembre, rendre certains services non essentiels accessibles uniquement aux personnes pleinement vaccinées, sur présentation du code QR.
Les commerçants, restaurateurs, organisateurs d'événements et autres recevront du ministère de la Santé une application à télécharger sur leurs propres téléphones afin de scanner les codes QR des clients et de vérifier s'ils sont adéquatement vaccinés.
Ce ne sont pas des gens avec des formations ou des responsabilités spéciales, comme des douaniers, qui vont manipuler ces informations sensibles
, s'inquiète Luc Lefebvre, cofondateur et président de Crypto Québec. On parle de n'importe qui dans un restaurant qui va lire notre nom, notre date de naissance.
C'est le téléphone cellulaire des gens, donc ils peuvent prendre une capture de tout ce qui va passer à travers leur cellulaire.
Avec ces informations, un commerçant pourrait retracer ces clients sur Internet
, dit Luc Lefebvre. Est-ce si grave qu'un commerçant connaisse notre nom et notre date de naissance? « Oui », répond Steve Waterhouse.
C'est toujours le cumul de petites informations qui ont l'air anodines qui en fait un tout qui peut compromettre l'identité de la personne.
Facile à lire, mais infalsifiable, assure Québec
Le ministère de la Santé du Québec assume le fait de ne pas crypter l'information du code QR. Nous suivons la norme internationale
, écrit la porte-parole Marie-Louise Harvey.
En permettant de lire aisément la preuve vaccinale des Québécois, cela pourra faciliter la présentation de l'information dans n'importe quel aéroport de la planète, par exemple.
Par contre, le code QR est signé par le ministère, le rendant infalsifiable
, ajoute la porte-parole. Ainsi, une personne non vaccinée ne pourrait pas utiliser le code QR d'un vacciné et y inscrire son propre nom.
Les orientations du ministère sont de demander aux secteurs d’activité, qui devront vérifier le passeport vaccinal, de demander également une pièce d’identité avec photo.
À savoir comment le gouvernement allait pouvoir empêcher des commerçants de collecter les informations personnelles des clients à travers la caméra de surveillance du magasin ou celle de leur cellulaire, Québec renvoie la balle aux vaccinés.
L’information appartient au citoyen. Il lui appartient de protéger ses informations
, répond le ministère.
Questionné à la suite de la publication de cet article, le cabinet du ministre de la Santé Christian Dubé écrit que « jamais le gouvernement ne mettrait à risque les données des Québécois »
« Nous avons plusieurs semaines encore pour tester et retester tant les détails logistiques qu’informatiques de l’application du code QR. Toutes les validations sont là », dit l'attachée de presse du ministre Marjaurie Côté-Boileau.
« On regarde aussi ce qui se fait ailleurs, on se fie aux normes internationales», a ajouté la ministre de la Sécurité publique, Geneviève Guilbault, mardi.