•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Passeport vaccinal : des failles permettent de créer de fausses identités

Une application électronique indique que «Monsieur Untel» a été vacciné.

Un informaticien a créé de faux passeports vaccinaux pour des personnes fictives.

Photo : Radio-Canada

Les applications électroniques pour enregistrer et lire le passeport vaccinal présentent des ratés importants. En seulement quelques heures, un informaticien a réussi à découvrir des failles qui lui ont permis de créer de fausses preuves de vaccination.

En point de presse, mardi, le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels avait pourtant déclaré que les deux applications étaient sûres.

Le code QR que nous fournissons ne peut pas être falsifié, ne peut pas être modifié et ne peut pas être copié, a alors souligné Éric Caire.

Louis, qui travaille depuis des années en informatique et dont nous avons accepté de protéger l’identité, a perçu cette déclaration du ministre comme un défi.

Il y a toujours une faille. Il s'agit juste d'être patient pour la trouver, dit-il.

Dans ce cas-ci, il n’a pas eu à attendre bien longtemps. Il affirme qu’en seulement six heures, il a réussi à découvrir des failles dans les applications VaxiCode, qui permet aux Québécois de télécharger le code QR de leur preuve vaccinale, et VaxiCode Vérif, qui permet aux commerçants de lire le code QR.

Honnêtement, je suis surpris d'avoir réussi aussi facilement à pénétrer leur système.

Une citation de :Louis

Grâce à un logiciel externe, l’informaticien a créé de fausses preuves vaccinales pour des personnes fictives qu’il a ensuite emmagasinées dans l’application VaxiCode. En téléchargeant VaxiCode Vérif, Radio-Canada a pu lire ces codes QR et constater que la personne fictive, dans ce cas-ci Monsieur Untel, était adéquatement vaccinée.

Si ces failles n’exposent pas les données personnelles d’utilisateurs, elles ouvrent toutefois la porte à des utilisateurs malveillants.

Radio-Canada a pu lire avec succès les faux codes QR créés par notre source grâce à l'application VaxiCode Vérif.

Radio-Canada a pu lire avec succès les faux codes QR créés par notre source grâce à l'application VaxiCode Vérif.

Photo : Radio-Canada

Sécurité défaillante

Louis précise qu’il n’est pas un pirate informatique. La facilité avec laquelle il affirme avoir réussi à déjouer les applications est à ses yeux déconcertante.

Vous rendez-vous compte de combien de personnes ont vérifié la solidité de l'application? dit-il, stupéfait.

En effet, le ministre Éric Caire précisait en point de presse mardi que « les tests, ils ont été nombreux, ils ont été sérieux, ils ont été faits sans compromis » et que le centre gouvernemental de cyberdéfense y a notamment participé. Le ministre n’était pas disponible jeudi pour répondre aux questions de Radio-Canada.

Éric Caire en conférence de presse.

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire

Photo : Radio-Canada / Jean-Claude Taliana

Le président du Hackfest, Patrick Mathieu, émet lui aussi de grandes réserves par rapport à la sécurité de l’application développée par l’entreprise lévisienne Akinox.

Ça inquiète depuis le point de départ parce que ça a mal été pensé, ça a mal été développé, et ça a mal été implanté, affirme-t-il.

Selon lui, les experts du gouvernement ne sont pas outillés pour identifier correctement les possibles brèches de sécurité de telles applications. À preuve, la communauté du Hackfest a contribué à trouver une dizaine de problèmes avant même que les applications soient disponibles pour téléchargement.

Ça démontre le manque de maturité en sécurité. [...] Ils n’ont pas d’experts à temps plein qui connaissent ce type de logiciel là, déplore Patrick Mathieu.

Comme un criminel

Depuis qu’il a découvert ces failles informatiques, Louis est nerveux. Le ministre de la Santé, Christian Dubé, a en effet averti les gens qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des sanctions en vertu du Code criminel.

Je n'ai aucune méthode présentement pour rapporter le problème au gouvernement. J'ai peur qu'on me traite comme un criminel, craint-il.

Un homme de dos s'adresse à la journaliste Camille Carpentier.

Louis ne souhaite pas être identifié, par peur de représailles.

Photo : Radio-Canada

Il a l’intention de collaborer avec les experts du gouvernement en échange de l’assurance qu’il ne fera pas l’objet de représailles. À ses yeux, cette histoire démontre l’importance de créer un système confidentiel et sécuritaire pour ceux qui trouvent des failles informatiques qui pourraient permettre de commettre des fraudes.

Selon Patrick Mathieu, le Hackfest est déjà en discussion avec Québec pour agir en tant que canal de communication entre les internautes et le gouvernement.

Le gouvernement pourrait mandater le Hackfest ou une autre organisation pour valider les éléments de vie privée, de sécurité, etc. On le fait déjà gratuitement. De le faire de manière officielle, via contrat, ce serait simple.

Avec la collaboration de Thomas Gerbet

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !