•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Cybersécurité : Québec tend la main aux « hackers éthiques »

Un pirate informatique utilise un ordinateur.

Québec met à la disposition des pirates informatiques bien intentionnés une plateforme de signalement de vulnérabilité (archives).

Photo : Getty Images / Getty Images / xijian

Le gouvernement Legault semble déterminé à mettre derrière lui la controverse entourant la protection des cyberpirates bien intentionnés qui ont mis au jour les failles de sécurité dans l'application de passeport sanitaire VaxiCode. Il leur promet l’immunité et met à leur disposition une nouvelle plateforme pour signaler les vulnérabilités de ses services numériques.

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, l’admet d’entrée de jeu : pour affronter l’augmentation exponentielle des cybermenaces, véritable fléau planétaire, il a besoin de la collaboration de ceux qu’il appelle les hackers éthiques.

Je pense que le besoin était déjà là, mais ce besoin-là a été exacerbé par les événements récents qu'on connaît tous autour du passeport vaccinal où un hacker éthique a eu de la difficulté à entrer en contact avec le gouvernement, où la communication a été assez difficile avec le gouvernement, reconnaît le ministre.

Éric Caire en conférence de presse.

Éric Caire garantit l'immunité aux cyberpirates qui s'engagent à agir « de façon éthique » (archives).

Photo : Radio-Canada / Jean-Claude Taliana

Pour faciliter la tâche aux pirates informatiques bienveillants qui souhaitent l’aider à renforcer la sécurité des actifs informationnels gouvernementaux, Éric Caire leur propose une plateforme de signalement de vulnérabilité.

Le ministre présente l’interface comme un canal de communication privilégié et officiel avec les équipes du Centre gouvernemental de cyberdéfense (CGCD).

Invitation à pirater

Il invite les hackers éthiques à tester la sécurité de services numériques de l’État québécois afin d’en détecter les failles. En d’autres mots, le ministre les encourage à pirater les sites gouvernementaux, mais uniquement s’ils le font pour les bonnes raisons. De plus, ceux qui le désirent pourront demeurer anonymes.

Au moment de remplir le formulaire de divulgation sur Internet, les cyberpirates bienveillants devront prendre différents engagements, dont ceux de ne pas exploiter les failles découvertes à des fins personnelles et de ne pas publiciser la brèche. En contrepartie, Éric Caire leur garantit l’immunité.

Un homme anonyme s'adresse à la journaliste Camille Carpentier.

Le gouvernement Legault avait essuyé des critiques pour ne pas avoir offert l'immunité à Louis (nom d'emprunt), l'un des cyberpirates ayant mis au jour des failles dans l'application VaxiCode (archives).

Photo : Radio-Canada

C'est une garantie formelle que le gouvernement ne prendra aucune action en justice, n'intentera pas de poursuites, ne déclenchera pas d'enquête à leur endroit. C'est un peu la base du litige, là, des événements que vous connaissez, affirme le ministre en référence à la saga de l’application VaxiCode.

« On s'engage aussi à établir une communication ouverte. On veut discuter avec eux. On veut échanger avec eux. On veut trouver des solutions avec eux. »

— Une citation de  Éric Caire, ministre délégué à la Transformation numérique gouvernementale

Évaluation du risque

Le signalement de chaque vulnérabilité effectué sur la plateforme de divulgation va générer un fichier crypté qui sera envoyé au CGCD pour lui permettre de procéder à sa propre évaluation de la faille.

Une femme travaille sur un ordinateur portable. Une tasse de café et des lunettes se trouvent en avant-plan.

Selon Éric Caire, l'augmentation de l'utilisation du numérique, notamment en raison du télétravail, accroît les risques associés aux cybermenaces (archives).

Photo : iStock / Maryna Andriichenko

Pour visiter la plateforme de signalement de vulnérabilité mise en ligne par le gouvernement du Québec, cliquez sur ce lien (Nouvelle fenêtre).


Le type d’action à poser et le délai d’intervention seront déterminés par le niveau de criticité de la brèche.

Il y a des vulnérabilités qui [...] ne [mettent] pas en péril le système. Par contre [...] si ça menace des renseignements personnels, c'est effectivement quelque chose qui va être critique et pour lequel il doit y avoir une réaction immédiate, explique Éric Caire.

Selon le ministre, le Québec est la première province au Canada à se doter d’une interface officielle destinée aux pirates éthiques. Il ajoute que ces derniers ont été invités à collaborer à la mise sur pied de la plateforme de divulgation.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !