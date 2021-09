En juillet, le gouvernement avait lancé un projet visant l’élaboration d’un protocole de collaboration avec les chapeaux blancs (pirates informatiques éthiques). L’objectif de ce protocole était d’éviter le genre d’imbroglio qui a découlé des récentes révélations de Louis (nom fictif), ce pirate éthique qui a mis au jour la possibilité de contrefaire des codes QR de l’application VaxiCode.

C’est le genre de choses qui se fait par différentes grandes entreprises, voire d’autres gouvernements. Le gouvernement du Québec s’inspirait de ça pour voir un peu comment ça se faisait. L’objectif premier n’était pas nécessairement d’offrir une protection, parce que dans nos façons de faire, ces gens-là n’ont jamais été menacés , a indiqué Éric Caire, en entrevue avec Claude Bernatchez.

L’objectif, c’était justement de leur donner peut-être un meilleur accès aux différentes applications pour qu’ils puissent augmenter la participation, la collaboration et la latitude qu’ils ont à nous aider à découvrir des failles et des vulnérabilités. Une citation de :Éric Caire, ministre responsable de la Transformation numérique

Plusieurs éléments sont à tenir en compte dans l’élaboration d’un tel protocole, dont les implications légales de sa mise sur pied, a indiqué le ministre.

On ne voudrait pas donner une protection à des gens qui pourraient se servir de ça pour aller chercher une immunité qu’ils ne méritent pas. Ce faisant, il y aura effectivement des protections légales pour ceux qui font les choses dans les règles de l’art.

Éric Caire, ministre responsable de la Transformation numérique Photo : Radio-Canada / Guillaume Croteau-Langevin

Éric Caire réfléchit également à un système de récompense pour les pirates éthiques qui auront rendu service au gouvernement.

C’est de valider s’il peut y avoir une certaine forme de gratification qui peut venir avec ça et, si oui, lesquelles et comment ça se passe. Il y a quand même un certain nombre de choses auxquelles il faut réfléchir du point de vue légal, technique et financier, mais on est en marche pour aller dans cette direction-là , a poursuivi Éric Caire.

Service rendu à la société

Dans l’esprit du ministre, il n’a jamais été question de lancer de procédures judiciaires contre Louis, parce qu’il juge que, par son geste, il a rendu service à la société. Il ne pouvait toutefois pas accéder à sa demande d’une lettre d’immunité.

Il faut comprendre qu’une immunité et la lettre d’immunité, ça peut sembler la même chose, mais ça implique des situations très différentes. Une lettre d’immunité va être émise par le ministère de la Justice dans le cas de quelqu’un pour qui il y a des gestes illégaux qui ont été posés, qui sont avérés, qui collabore avec le gouvernement et qui, en échange, demande au gouvernement, donc aux autorités de ne pas le poursuivre [...]. Ça, c’est une lettre d’immunité, ce que Louis nous demandait et qui ne s’applique pas du tout à son cas.

Louis en entrevue avec la journaliste Camille Carpentier Photo : Radio-Canada

Le ministre se veut toutefois moins clément envers le premier groupe de pirates qui a déduit des informations personnelles d’élus pour télécharger illicitement le code QR de plusieurs d’entre eux, dont le premier ministre François Legault.

Là, on a des individus qui, de façon nuisible, ont posé des gestes qui ont vraiment apporté une confusion incroyable et qui ont, de ce fait, effectivement, apeuré et nui aux opérations. Alors là, on n’est pas du tout dans les hackers éthiques. Et ces individus-là font l’objet de plaintes, effectivement. Ce qui n’est absolument pas le cas de Louis. Une citation de :Éric Caire, ministre responsable de la Transformation numérique

Le mauvais choix de publiciser un exploit

Le fait que ce groupe ait préféré publiciser son exploit sur les réseaux sociaux plutôt que d’en faire part au gouvernement est un facteur aggravant aux yeux du ministre.

Non seulement ils ne nous ont pas avisés de ça, mais ils ont fait étalage de leur réussite dans l’espace public, alors que Louis a tenté de nous contacter. Son premier réflexe a été de dire au gouvernement : "Écoutez, j’ai découvert quelque chose". Ce n’est pas le cas du deuxième groupe. Ce sont deux choses très différentes , juge Éric Caire.

Le gouvernement a fait le choix d'avoir des codes QR facilement accessibles pour son application VaxiCode, affirme le ministre Éric Caire. Photo : Radio-Canada / Olivia Laperrière-Roy

Aucun préjudice

Dans ce dernier cas, le ministre affirme que l’accessibilité du code QR est un choix qui a été fait par le gouvernement, et non pas une brèche.

Les gens de sécurité vont toujours regarder ça par leur lorgnette, en disant : "Mon Dieu! Il faudrait tout protéger!" comme si tout avait une valeur exponentielle. Or, il faut bien admettre que le code QR, sans une pièce d’identité avec photo, ça ne sert à rien. Donc aujourd’hui, oui, il y a quelqu’un qui a mon code QR en sa possession, mais il ne peut rien faire avec ça. Ça ne lui révèle rien qu’il ne sait déjà. Il n’y a pas de préjudice pour ma vie privée, il n’y a pas de préjudice non plus au niveau de l’utilisation , a-t-il noté.

Ce choix de niveau de protection, le ministre dit ne pas le regretter. Il le juge approprié dans les circonstances.