•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les pirates informatiques bien intentionnés lâchent le gouvernement du Québec

Ils lui reprochent d’avoir refusé l'immunité à l'informaticien qui a trouvé une faille dans l’application VaxiCode et d'avoir déposé une plainte à la police contre d'autres.

Un homme avec un stylo à la main.

Patrick Mathieu, cofondateur de Hackfest et expert en sécurité informatique.

Photo : Patrick Mathieu

La communauté de pirates éthiques du Hackfest va cesser sa collaboration avec le gouvernement, entamée il y a plusieurs années, en réaction aux révélations de Radio-Canada. Ils n'aiment pas que le gouvernement Legault ait refusé d’accorder l’immunité à l’informaticien qui proposait son aide et que la découverte d'autres « hackers » se soit retrouvée sous enquête à la Sûreté du Québec.

On trouve inacceptable que le gouvernement essaie de poursuivre quelqu’un qui est là pour les aider, réagit Patrick Mathieu, expert en sécurité informatique et cofondateur du Hackfest, une communauté qui regroupe des milliers d'experts prêts à aider le gouvernement ou des organisations à déceler des failles de cybersécurité.

Dans un message à sa communauté publié mardi, le Hackfest annonce qu'il n'aidera plus le gouvernement du Québec [...] tant qu'un processus de divulgation responsable des vulnérabilités clair, officiel et public ne sera pas en place.

La majorité des gens dans notre communauté travaillent en sécurité, sont des professionnels, ont des familles… On ne peut pas les mettre à risque parce qu’ils ont voulu aider le gouvernement.

Une citation de :Patrick Mathieu, expert en sécurité informatique et cofondateur du Hackfest

Radio-Canada révélait mardi que l'informaticien qui a lancé l'alerte après avoir découvert une faille dans l'application VaxiCode permettant de créer de faux codes QR valides avait proposé son aide à plusieurs reprises au gouvernement. Il demandait toutefois en échange la garantie de ne pas être poursuivi au criminel.

Mais Québec n'avait pas accepté sa demande, malgré les propos contraires du ministre délégué à la Transformation numérique gouvernementale, Éric Caire.

Le cabinet du ministre Éric Caire a plutôt accusé l’informaticien de fraude et le dossier a été envoyé à la Sûreté du Québec, selon l'attachée de presse du ministre Nathalie St-Pierre. S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer, a-t-elle déclaré.

Mardi, le ministre Caire a tenu à faire une mise au point sur Twitter.

Aucune plainte n’a été déposée contre « Louis » à la suite de son alerte. Des enquêtes sont en cours concernant l’usurpation de codes QR, mais soyons clairs : nous souhaitons travailler et collaborer avec les citoyens responsables et les experts en cybersécurité.

Une citation de :Le ministre Éric Caire, sur Twitter, mardi

L'informaticien s'était tourné vers Radio-Canada pour exposer sa découverte. Cet informaticien se définit comme un white hat (chapeau blanc), un qualificatif pour les pirates informatiques bien intentionnés.

Si lui n'est pas inquiété par la police, ce n'est pas le cas d'autres hackers qui ont téléchargés les codes QR de personnalités dont le premier ministre François Legault. Une plainte contre eux a bel et bien été déposée à la police, confirme une source gouvernementale.

« On a demandé à la Sécurité publique de continuer ces enquêtes », a expliqué le ministre de la Santé Christian Dubé, en point de presse, mardi.

Éric Caire sous le feu des critiques

Gros plan d'Éric Caire.

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire.

Photo : Radio-Canada / Ivanoh Demers

Ça risque de décourager de futures divulgations [pour] améliorer les systèmes d'information du gouvernement du Québec, a réagi Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke.

Le ministre aurait pu lui garantir une immunité, regrette le député Martin Ouellet, leader parlementaire du Parti québécois. Qu’il donne l’immunité aux gens qui veulent l’aider, renchérit le député de Québec solidaire Vincent Marissal, porte-parole en matière d'éthique et de santé.

Le gouvernement a tout faux. [...] Éric Caire a échoué à son examen et maintenant il s’en prend au correcteur.

Une citation de :Vincent Marissal, porte-parole de Québec solidaire en matière d'éthique et de santé

Dans un des courriels qu'il a échangés avec le Centre gouvernemental de cyberdéfense, le lanceur d'alerte a exhorté le gouvernement à imiter la France et à mettre en place un programme de bug bounty pour récompenser les gens qui trouvent des failles de cybersécurité, plutôt que de les menacer.

Selon nos informations, le gouvernement travaille sur un programme qui permettra de divulguer sans crainte de poursuite ce genre de failles. Une annonce détaillée pourrait être faite mercredi.

Éric Caire est prêt à collaborer avec des hackers bienfaisants, a déclaré le ministre de la Santé, Christian Dubé. On est très ouverts à ça.

Avec la collaboration de Sébastien Bovet et Camille Carpentier.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !