Passeport vaccinal au Québec: des failles de sécurité détectées dans l'application Vaxicode

Au Québec, le gouvernement a lancé l’application Vaxicode, qui permet aux personnes doublement vaccinées de présenter leur code QR.
Au Québec, le gouvernement a lancé l’application Vaxicode, qui permet aux personnes doublement vaccinées de présenter leur code QR. © Ministère de la Santé et des Services sociaux du Québec

Depuis le 1er septembre, les Québécois doivent présenter un passeport vaccinal pour pouvoir entrer au musée, fréquenter un théâtre, manger au restaurant. Le gouvernement a lancé l’application Vaxicode, qui permet aux personnes doublement vaccinées de présenter leur code QR qui contient des informations sur la date de leur vaccination. Mais des failles ont été détectées.

Publicité

Les informations vaccinales de plusieurs élus, dont le ministre de la Santé, ont surgi ces derniers jours sur les réseaux sociaux. Par ce geste, qu’un ministre a qualifié d’esbroufe, les pirates informatiques voulaient souligner que le gouvernement avait choisi une façon peu sûre de coder des informations personnelles relatives à la vaccination.

Un certain « Louis » – il s’agit, bien sûr, d’un pseudonyme – a réussi à fabriquer de faux codes QR. En quelques heures seulement, il s’est bâti une identité fictive et a produit un faux code vaccinal afin de pouvoir se présenter à un commerce ou ailleurs. « Louis » n’a pas d’intentions malveillantes. Il voulait seulement alerter les autorités publiques sur les failles de sécurité découvertes pour qu’elles soient corrigées. 

Dialogue de sourds avec les autorités

Les premiers jours de discussion entre le hacker bien intentionné et le ministre responsable de la Transformation numérique ont plutôt tourné au dialogue de sourds. « Louis » réclamait une lettre d’immunité avant de dévoiler son identité au gouvernement et expliquer la faille de sécurité découverte. Une lettre que le ministre lui a refusée, car aucun crime n’a été commis. Finalement, le pirate informatique a plutôt choisi de se confier aux médias et le gouvernement a colmaté la brèche de sécurité pour qu’on ne puisse plus créer de faux codes QR. En promettant que « Louis » ne serait pas inquiété.

Plusieurs enquêtes ont lieu actuellement pour retrouver les personnes qui ont divulgué les informations vaccinales des élus. Ces dernières pourraient avoir affaire à la justice. Les pouvoirs publics affirment, en effet, que toute cette affaire a inquiété les Québécois pour rien, alors même que le gouvernement avait volontairement décidé de mettre en place un code QR simple. Son argument : une grande partie de la population n’a pas les compétences informatiques pour se créer une identité vaccinale complexe. Et sa portée est limitée, car elle contient peu d’informations. Mais, selon une association de hackers, le risque existe quand même.

Les pirates lâchent le gouvernement du Québec

Les éventuelles poursuites contre ceux ou celles qui ont attiré l’attention sur ces failles possibles indisposent aussi les hackers. Un groupe, Hackfest, a même décidé de suspendre sa collaboration avec les pouvoirs publics jusqu’à nouvel ordre. Comme l’explique un des porte-parole, Patrick  Mathieu, ils attendent de prendre connaissance d’un éventuel programme de divulgation responsable dont le gouvernement parle depuis deux ans. S’il avait été en place avant, l’entrée en vigueur du passeport vaccinal aurait peut-être eu lieu plus tranquillement selon un expert en sécurité de l’information Steve Waterhouse.

NewsletterRecevez toute l'actualité internationale directement dans votre boite mail

Suivez toute l'actualité internationale en téléchargeant l'application RFI