COVID-19

Facile à décoder, le code QR des vaccinés inquiète des experts en cybersécurité

Eb7da8e8989c0d3a66c87d86afeed4df

Le vol des données sera extrêmement facile à opérer


La preuve de vaccination reçue par des millions de Québécois sous forme de code QR renferme des données personnelles que le gouvernement n'a pas cryptées, ce qui les rend faciles à décoder. Trop facile, selon des experts en cybersécurité, qui y voient un potentiel de fraude.




Même si le lecteur de code QR mis au point par le gouvernement n'est pas encore disponible, il n'a fallu que deux secondes pour décoder la preuve vaccinale de l'auteur de ces lignes. Il suffit de cliquer sur un lien web et d'activer la caméra d'un ordinateur ou d'un téléphone cellulaire.


Une fois scanné, le code QR révèle le nom, la date de naissance, le type de vaccin inoculé, le nombre de doses ainsi que les dates et lieux d'injection.


Québec a encodé ses preuves de vaccination à partir du protocole Smart Health Card, une interface connue pour laquelle des décodeurs se trouvent déjà sur le web.


« Si un commerçant véreux prend une application maison pour exploiter l'information, il y a un potentiel d'exploitation malveillante », dit Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke.



Le potentiel de fraude est élevé.


Une citation de :Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke


Le contrôle des informations entre les mains des commerçants


Une femme portant un masque consulte son téléphone intelligent à l'entrée d'un commerce.

La présentation d'une preuve vaccinale pourrait devenir obligatoire dès septembre pour obtenir des services non essentiels.


Photo : Radio-Canada / Jean-Luc Blanchet




À l'instar de la France, cet été, le gouvernement du Québec a prévenu qu'il pourrait, dès septembre, rendre certains services non essentiels accessibles uniquement aux personnes pleinement vaccinées, sur présentation du code QR.


Les commerçants, restaurateurs, organisateurs d'événements et autres recevront du ministère de la Santé une application à télécharger sur leurs propres téléphones afin de scanner les codes QR des clients et de vérifier s'ils sont adéquatement vaccinés.




 



LE CODE QR FACILE À DÉCODER




Ce ne sont pas des gens avec des formations ou des responsabilités spéciales, comme des douaniers, qui vont manipuler ces informations sensibles, s'inquiète Luc Lefebvre, cofondateur et président de Crypto Québec. On parle de n'importe qui dans un restaurant qui va lire notre nom, notre date de naissance.



C'est le téléphone cellulaire des gens, donc ils peuvent prendre une capture de tout ce qui va passer à travers leur cellulaire.


Une citation de :Luc Lefebvre, cofondateur et président de Crypto Québec


Avec ces informations, un commerçant pourrait retracer ces clients sur Internet, dit Luc Lefebvre. Est-ce si grave qu'un commerçant connaisse notre nom et notre date de naissance? « Oui », répond Steve Waterhouse.



C'est toujours le cumul de petites informations qui ont l'air anodines qui en fait un tout qui peut compromettre l'identité de la personne.


Une citation de :Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke


Facile à lire, mais infalsifiable, assure Québec


Le ministre de la Santé Christian Dubé.

Le ministre de la Santé Christian Dubé lors de l'annonce de la possible exigence d'un passeport vaccinal à compter du 1er septembre.


Photo : Radio-Canada




Le ministère de la Santé du Québec assume le fait de ne pas crypter l'information du code QR. Nous suivons la norme internationale, écrit la porte-parole Marie-Louise Harvey.


En permettant de lire aisément la preuve vaccinale des Québécois, cela pourra faciliter la présentation de l'information dans n'importe quel aéroport de la planète, par exemple.


Par contre, le code QR est signé par le ministère, le rendant infalsifiable, ajoute la porte-parole. Ainsi, une personne non vaccinée ne pourrait pas utiliser le code QR d'un vacciné et y inscrire son propre nom.



Les orientations du ministère sont de demander aux secteurs d’activité, qui devront vérifier le passeport vaccinal, de demander également une pièce d’identité avec photo.


Une citation de :Marie-Louise Harvey, porte-parole du ministère de la Santé du Québec


À savoir comment le gouvernement allait pouvoir empêcher des commerçants de collecter les informations personnelles des clients à travers la caméra de surveillance du magasin ou celle de leur cellulaire, Québec renvoie la balle aux vaccinés.


L’information appartient au citoyen. Il lui appartient de protéger ses informations, répond le ministère.


Questionné à la suite de la publication de cet article, le cabinet du ministre de la Santé Christian Dubé écrit que « jamais le gouvernement ne mettrait à risque les données des Québécois »


« Nous avons plusieurs semaines encore pour tester et retester tant les détails logistiques qu’informatiques de l’application du code QR. Toutes les validations sont là », dit l'attachée de presse du ministre Marjaurie Côté-Boileau.


« On regarde aussi ce qui se fait ailleurs, on se fie aux normes internationales», a ajouté la ministre de la Sécurité publique, Geneviève Guilbault, mardi.