Le gouvernement canadien abandonné par les hackers éthiques
La communauté des hackers éthiques reproche au gouvernement canadien de ne pas accorder l’immunité d’un informaticien qui a réussi à trouver une faille de sécurité dans l’application sans se permettre de vérifier les QR codes du passeport vaccinal.
Face à cette situation, le Hackfest a décidé de cesser toute collaboration avec le gouvernement québécois. Une situation il faut le signifier n’a pas débuté récemment.
Les raisons pour se braquer contre le gouvernement de Legault se justifie par le fait qu’il refuse toujours d’accorder l’immunité au pirate informatique qui a proposé d’apporter son aide à la vérification de l’application Vaxicode en recherche de failles de sécurité exploitable.
La communauté de hackers éthiques n’arrive pas à accepter que le gouvernement veuille poursuivre en justice une personne qui s’est engagée à aider comme le signifié le cofondateur du Hackfest. Et dans un message publié aujourd’hui sur sa plate-forme, l’organisation a officiellement déclaré de plus apporter son aide au gouvernement, tant qu’il n’a pas été établi de manière officielle et légale un processus de divulgation de faille de sécurité.
« La majorité des gens dans notre communauté travaillent en sécurité, sont des professionnels, ont des familles… On ne peut pas les mettre à risque parce qu’ils ont voulu aider le gouvernement. » note Patrick Mathieu, expert en sécurité informatique.
À titre de rappel, Radio-Canada avait publier que les formats Tissier qui avait trouvé la faille de sécurité sur l’application Vaxicode avait à plusieurs reprises contacter le gouvernement et proposer son aide. Ce dernier avait même demandé une garantie pour ne pas être considéré comme un criminel. Malheureusement sa demande n’avait pas été accepté par le gouvernement québécois, malgré les déclarations qui semble contradictoire du ministre chargé de la transformation numérique du gouvernement, Éric Caire.
À l’inverse, notre informaticien a été accusé de fraude, et son dossier a été retransmis auprès de la Sûreté du Québec. Selon l’attaché de presse du ministre Nathalie St-Pierre, si le hacker éthique n’avait pas fait une sortie publique, il aurait pu obtenir la collaboration qu’il demandait.
« Aucune plainte n’a été déposée contre « Louis » à la suite de son alerte. Des enquêtes sont en cours concernant l’usurpation de codes QR, mais soyons clairs : nous souhaitons travailler et collaborer avec les citoyens responsables et les experts en cybersécurité. », a déclaré le ministre Éric Caire, sur Twitter ce mardi.
On rappelle que les informaticiens s’étaient tourné vers à Radio-Canada pour exposer la découverte des failles de sécurité. Se qualifiant le même de hacker white hat. Qualificatif qui est généralement donné aux pirates informatiques qui œuvre pour la découverte des failles de sécurité sans les exploiter négativement.
« Ça risque de décourager de futures divulgations [pour] améliorer les systèmes d’information du gouvernement du Québec, » avait réagi Steve Waterhouse, ex officier de sécurité informatique au ministère de la Défense et professeur de cours en cybersécurité à l’Université de Sherbrooke.
Selon le leader parlementaire du parti québécois Martin Ouellet, le ministre Legault aurait dû garantir l’immunité aux pirates informatiques éthique. « Qu’il donne l’immunité aux gens qui veulent l’aider », ajoute le député de Québec solidaire, Vincent Marissal, par ailleurs, porte-parole en matière d’éthique et de santé. « Le gouvernement a tout faux. […] Eric Caire a échoué à son examen et maintenant il s’en prend au correcteur. », ajoute le parlementaire.
Dans les échanges de courriels qui a pu avoir avec le centre gouvernemental de cyberdéfense, l’hacker éthique avait d’ailleurs proposé au gouvernement et même encouragé la mise en place d’un programme de prime de bug pour récompenser, à l’instar de la France, les personnes qui pourraient trouver des menaces et de failles de sécurité dans ses outils informatiques. Et cela avait plus d’avantages que de les menacer.
Selon les informations qui sont en circulation, le gouvernement de François Legault travaillerait sur la mise en place d’un programme de bug Bounty en mettant en avant la possibilité de divulguer les failles de sécurité sans crainte d’être poursuivi. Une annonce qui serait faites dans les jours à venir.
À titre de rappel, il faut préciser que l’application de vérification des QR code du Pass vaccinal sera mis en vigueur à partir de demain le 1er septembre.
Accédez maintenant à un nombre illimité de mot de passe :