La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec
Depuis le mercredi dernier, les applications permettant de vérifier la validité du passeport vaccinal ont été lancées par le Ministère de la Santé et des Services sociaux.
Ces applications sont dénommées respectivement VaxiCode et VaxiCode Verif.
Cet article va aussi vous intéresser : La vie privée à l’épreuve des QR codes
Un hacker proche de la communauté des spécialistes du hacking canadien dénommé Hackfest, a réussi de manière illicite, à accéder à des codes QR, de plusieurs membres du parlement québécois et en prime, celui du ministre responsable de la protection des renseignements personnels, Éric Caire. Une situation très dérangeante.
Dans un billet de blog publié ce jeudi sur la page Facebook de Crypto Québec, par la suite supprimé en soirée, il a été dit que des données vaccinales présentes dans le QR code du passeport appartenant au premier ministre François Legault avaient aussi été compromises. Il en serait de même pour Christian Dubé, le ministre de la Santé et des Services sociaux, du co porte-parole de Québec solidaire, monsieur Gabriel Nadeau Dubois ainsi que de Dominique Anglade, le chef du parti libéral.
Étant au fait de cette situation, le regroupement des professionnels de la sécurité informatique le Hackfest a immédiatement porté à la connaissance de gouvernement le problème qui existait, comme l’a signifié son cofondateur, Patrick Mathieu.
Le pirate informatique, a réussi à déjouer le portail libre-service du gouvernement pour être en mesure de glaner suffisamment d’informations. Des informations qui sont en théorie très facilement collectable sur les réseaux sociaux. Cependant l’initiative était de prouver qu’il est facile d’avoir des informations personnelles par ce moyen.
Interrogé sur la question, le ministre monsieur Éric Caire a exprimé que son cabinet prenait très au sérieux cette situation et qu’ils avaient commencé à établir des vérifications nécessaires à ce niveau. « Toute falsification ou tout vol de code QR est un acte passible d’amende, voire [un acte] criminel », souligne la porte-parole, Nathalie Saint-Pierre.
À titre de rappel, dès le 1er septembre, les QR codes fournis par le ministère de la Santé et des Services sociaux de servir de passeport vaccinal. Pour obtenir ses QR code tous les Québécois qui se sont vaccinés doivent s’inscrire sur un portail en ligne du gouvernement. Bien évidemment lors de l’inscription ils doivent y ajouter certaines informations telles que :
– leurs noms et prénoms ;
– leur date de naissance ;
– la date de leur première vaccination contre le covid-19 :
– le type de vaccin reçu ;
– le numéro de l’assurance maladie.
Ce qui a d’ailleurs faciliter la tâche au pirate informatique c’est parce que les personnes qu’il a réussi à cibler avec eux même déjà médiatisé la date de leur vaccination. Tout ce qu’il avait à faire c’est de faire des confirmations.
Selon Monsieur Patrick Mathieu le cofondateur de Hackfest, le système pointé du doigt a été très mal conçu et cela d’A à Z. Le souci majeur c’est que la sécurité des systèmes est fondée sur des informations facilement collectable de sorte à ce que tout le monde peut être sources de compromission pour tout le monde. En fait, la technologie utilisée n’est pas conçue pour être utilisée à grande échelle. « Nous l’avons dit à plusieurs reprises au gouvernement que c’était un mauvais choix de technologie », affirme-t-il.
Selon la députée libérale Marwah Rizqy, la question est de savoir pour quelle raison le gouvernement n’a pas essayé de mettre en place une autre couche de sécurité pour protéger les données disponibles sur le portail. Elle met en évidence le risque d’usurpation d’identité dans une situation ou plusieurs personnes peuvent avoir les mêmes noms. « Heureusement, il n’y a qu’une seule Marwah Rizqy au pays, ça m’étonnerait que quelqu’un essaie de se faire passer pour moi. Mais si j’avais un nom plus commun, comme Réjean Tremblay, ça serait peut-être plus facile d’utiliser un faux code QR, et c’est ça qui est préoccupant », explique cette dernière. « Ça fait depuis le mois de mai que le gouvernement nous parle du passeport vaccinal. Ils avaient le temps de s’assurer que la sécurité soit au point, mais ils ont minimisé tous les problèmes qui ont été soulevés par les gens qui s’y connaissent en sécurité. C’est triste », souligne la députée.
Accédez maintenant à un nombre illimité de mot de passe :