Pitié pour les pirates

Les pirates informatiques jouant le rôle de lanceurs d’alerte ont mis au jour avec une rapidité déconcertante deux failles dans l’obtention de la preuve vaccinale et du code QR qui la confirme auprès du ministère de la Santé et des Services sociaux.

La première, qui n’en est pas vraiment une pour Éric Caire, le ministre délégué à la Transformation numérique et responsable de la Protection des renseignements personnels, consiste dans le téléchargement des preuves vaccinales de personnalités publiques dont on connaissait la date de naissance et les dates de vaccination — des informations souvent diffusées par les principaux intéressés, trop heureux qu’ils étaient de se dire vaccinés pour inciter des gens qui ne l’étaient pas déjà à recevoir leurs doses. Avec le nom et la date de naissance, les pirates n’ont eu qu’à générer deux chiffres manquants pour obtenir le numéro d’assurance maladie dans sa totalité et, de là, recevoir le code QR.

C’était gênant, ça fait amateur, mais ça ne porte guère à conséquence puisqu’un autre document avec photo — une carte d’assurance maladie ou un permis de conduire — doit être fourni en plus du code QR pour entrer dans les lieux où le passeport vaccinal est exigé. Évidemment, présenter un tel document forgé est un acte criminel qui, en l’occurrence, n’a pas été commis et dont on ne voit d’ailleurs pas quel intérêt aurait quiconque à le perpétrer. Au gouvernement, on explique qu’on voulait que les démarches des citoyens pour obtenir ce code QR soient d’une grande simplicité. C’est en effet simple, trop simple, simplet même. La simplicité n’excuse pas une sécurité chancelante.

L’autre faille est sérieuse. Un pirate, qui craint les représailles et à qui Radio-Canada a donné le nom de « Louis » pour préserver son anonymat, a découvert qu’il était possible de créer un faux code QR et de l’associer à une identité. L’application VaxiCode Vérif, dont sont munis les commerçants, n’y voyait que du feu et acceptait ces codes inventés.

Non seulement cela laisse entendre que le pirate a pu s’introduire dans le système gouvernemental, mais on peut concevoir que certaines personnes non vaccinées tireraient avantage à se servir de faux codes pour déjouer les autorités. Une fois lu par le logiciel de vérification, ce code QR est le sésame qui permet de prendre part à certaines activités.

Le gouvernement caquiste refuse d’accorder d’emblée l’immunité à ce pirate, à qui, pourtant, il doit une fière chandelle. Déculotté, le ministère de la Santé et des Services sociaux a dit avoir porté plainte à la Sûreté du Québec, tandis que, vendredi, le ministre Caire brandissait des menaces de poursuites criminelles et civiles.

Il va de soi que ces menaces ont été mal reçues par un regroupement de professionnels de la sécurité informatique, le Hackfest, qui avait informé le gouvernement d’une des failles dès qu’elle lui était apparue. Le regroupement a donc décidé de cesser de collaborer avec les autorités.

Mardi, Éric Caire se montrait plus conciliant. Aucune plainte n’a été déposée contre le pirate « Louis », a assuré le ministre. Des enquêtes sont en cours, cela se comprend. Le gouvernement souhaite cependant « travailler et collaborer avec les citoyens et les experts en cybersécurité », a-t-il poursuivi, ajoutant que le Québec doit s’inspirer des meilleures pratiques et que « les nouvelles technologies sont une nouvelle réalité avec laquelle nous devons composer ».

Or ces pirates dits éthiques ou bienveillants font partie de cette réalité. Le gouvernement américain et les grandes entreprises technologiques acceptent le concours de ces hackers indépendants qui, contre rémunération ou non, débusquent les failles de leurs systèmes informatiques, ce qui permet à ces organisations de les colmater promptement.

Si le gouvernement caquiste s’est doté d’un ministre voué à la transformation numérique de l’État, c’est qu’il a de grandes ambitions visant l’informatisation des services à la population. L’utilisation croisée des données que détiennent les ministères et organismes publics figure au menu, tout comme l’identité numérique des citoyens.

À cette ambition correspondent plusieurs exigences, notamment le renforcement de la protection des renseignements personnels et des systèmes informatiques. Le logiciel VaxiCode et son code QR ne sont qu’un début, un balbutiement en quelque sorte ; il y a place à l’amélioration. Au lieu de menacer de poursuites ces pirates bienveillants qui cherchent à collaborer avec lui, le gouvernement Legault a tout intérêt à formaliser ses relations avec eux, comme cela se fait ailleurs dans le monde.

À voir en vidéo