Et si les données contenues dans le passeport vaccinal étaient à la merci des cybercriminels ?
Au Québec, des hackers ont réussi en moins de 15h à créer une application qui permettait de copier des données personnelles présentes dans le passeport vaccinal.
En plus de cela, ces derniers ont même réussi à suivre à la trace les individus concernés par cette collecte d’informations.
Ce qui est important dans cet exploit, c’est qu’ils ont essayé de démontrer que les informations personnelles contenu dans le passeport vaccinal pour être facilement accessible par toute personne ayant les compétences nécessaires. Passeport vaccinal qui est censé être imposé d’ici le 1er septembre pour accéder à plusieurs endroits tels que les salles de gym et les restaurants.
Cet article va aussi vous intéresser : Les cybercriminels ciblent le vaccin contre le covid-19
Nous parlons ici de hackers éthiques et non de pirates informatiques.
Comme on le sait, d’ici le 1er septembre, pour accéder à un restaurant ou à une salle de gymnastique ou des lieux de spectacle, il sera exigé un passeport vaccinal accompagné de QR code fourni par le gouvernement permettant d’identifier ce qu’ils ont reçu le vaccin. Pour ce faire l’application qui devrait servir à cette utilisation a été testé par des experts en la matière. Il a été découvert alors 2 failles de sécurités importantes pour la protection des données personnelles
« C’est super facile. On peut faire ce que l’on veut avec les informations ensuite », a signalé l’un des spécialistes ayant contribué à la conception de l’application. C’est d’ailleurs un expert qui fait partie de la communauté qui regroupe en son sein plusieurs experts de la sécurité informatique, le Hackfest.
Il faut noter que les doutes au niveau de cette fameuse passe vaccinale ont été émise depuis le 12 août dernier par plusieurs députés de l’opposition. Et cela quand bien même que le premier ministre François Legault affirmer de manière certaine que le passeport vaccinal était « totalement sécuritaire ». Et à 2 semaines de son entrée en vigueur, les spécialistes mettre en doute cette affirmation si bien mordicus.
« Je ne peux pas contrefaire [un code QR], c’est vrai. Mais, il n’y a rien qui m’empêche de lire et de sauvegarder vos informations », explique le hacker. « Le problème, c’est la technologie utilisée », ajoute ce dernier. Il estime que la preuve format papier sans QR code serait beaucoup mieux.
Selon Patrick Mathieu, le responsable et fondateur du Hackfest, l’organisme qui a été mandaté par les autorités gouvernementales pour gérer cette technologie devant appuyer le passeport vaccinal, connu sous la dénomination de Akinox, n’est pas suffisamment experte en matière de sécurité informatique. « À toutes les fois qu’on fait des vérifications, on trouve des problèmes », affirme le spécialiste. Il signifie que même si la sécurité des données informatiques et assez complexe, le gouvernement québécois doit mettre en œuvre tous les moyens nécessaires pour les protéger.
Malheureusement, il semblerait que le gouvernement québécois ne compte pas prendre ses responsabilités allant dans ce sens. Une situation qui est décriée par beaucoup de spécialistes.
« Les citoyens sont responsables de la protection de leurs informations personnelles de vaccination. Pour éviter toute fraude potentielle, il est recommandé aux citoyens de garder leur preuve de vaccination pour eux, tout comme le lien unique reçu par courriel ou par texto », a signifié Marie-Louise Harvey, la porte-parole du gouvernement.
Il faut noter par ailleurs que l’application qui a été créé très facilement d’ailleurs par les hackers permet d’avoir accès à certaines données tel que les photos, mais aussi de pouvoir les enregistrer
De son côté, le ministère de la Santé et des Services sociaux à recommander aux citoyens québécois de ne pas « partager une photo de la preuve vaccinale sur les réseaux sociaux ».
Pour ce qui concerne les failles de sécurité, il faut monter qu’un commerçant par exemple peu maîtriser vos habitudes de consommation s’il détient plusieurs franchises de sa société. En effet, il peut vous suivre à la trace et savoir les endroits que vous avez fréquenté les dernières semaines ainsi que les établissements que vous avez eu à fréquenter. Des informations utiles qui peuvent être exploitées à des fins de marketing. Et même pire encore un réseau de commerçants peut partager ces informations entre eux.
La deuxième vulnérabilité permet de copier les informations personnelles juste en scannant le QR code. De la sorte la personne en face peut avoir facilement accès à votre :
– Prénom ;
– Nom de famille ;
– Sexe
– Date de naissance ;
– Nom des vaccins reçus ;
– Date et lieu de vaccination.
Accédez maintenant à un nombre illimité de mot de passe :