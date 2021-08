Le gouvernement du Québec a défendu vendredi son système de passeport vaccinal alors que les informations sur la vaccination d’éminents politiciens auraient été piratées.

Le ministère de la Santé a déclaré dans un communiqué qu’il était au courant des informations selon lesquelles des personnes auraient réussi à voler les codes QR de membres de l’Assemblée législative du Québec et que des plaintes avaient été déposées auprès de la police.

Cette déclaration est intervenue après que des médias aient rapporté que des pirates informatiques avaient pu obtenir les codes de politiciens, dont le premier ministre François Legault et le ministre de la Santé Christian Dubé.

Les codes de réponse rapide contiennent le nom d’une personne, sa date de naissance et des informations sur les vaccins qu’elle a reçus. Ils sont l’élément central du système de passeport vaccinal du gouvernement, qui sera requis à compter du 1er septembre pour visiter les entreprises que le gouvernement provincial juge non essentielles, comme les bars, les gyms et les restaurants.

Dans une déclaration, le bureau de M. Legault a réitéré que les codes ne contiennent aucune information personnelle sensible.

«Le Code QR envoyé par le ministère de la Santé ne contient que le nom de la personne, sa date de naissance et la liste des vaccins reçus», indique la déclaration.

«En fait, il y a moins d’informations sur le Code QR du ministère que sur un permis de conduire ou sur une carte d’assurance maladie!»

L’attaché de presse de M. Legault n’a pas confirmé que le premier ministre faisait partie des personnes touchées par la violation, mais il a noté que le piratage présumé concernait des personnalités publiques dont les informations de base et le statut vaccinal étaient déjà largement disponibles sur Internet.

Le porte−parole de Québec solidaire, Gabriel Nadeau−Dubois, a accusé le gouvernement d’avoir échoué à protéger les informations médicales confidentielles des Québécois.

«Le système informatique générant les preuves vaccinales des Québécois et Québécoises a de toute évidence été compromis, a−t−il écrit dans une lettre adressée au premier ministre François Legault et publiée sur Twitter. Des individus sont manifestement en mesure d’obtenir le code QR d’autres citoyens et citoyennes sans leur consentement.»

Gabriel Nadeau−Dubois confirme que son propre statut vaccinal a été publié sur Internet et il presse le gouvernement de présenter «un plan pour colmater cette brèche de sécurité inquiétante» ou de «suspendre la mise en place du passeport vaccinal jusqu’à ce qu’une solution durable soit trouvée».

De l’avis de l’analyste en sécurité numérique et entrepreneur Steven Lachance, cet incident démontre qu’il y a un assez gros problème dans la manière dont le système a été déployé. Il ne croit toutefois pas que les Québécois aient à s’inquiéter pour la sécurité de leurs données médicales.

Selon lui, les responsables ont probablement réussi à télécharger les codes QR contenant les informations vaccinales en utilisant un simple logiciel ou en devinant les derniers chiffres des cartes d’assurance maladie des politiciens.

«Ce n’est pas comme s’ils étaient entrés dans le système ou qu’il y avait eu une faille de sécurité dans la technologie ou dans le code QR lui−même», a−t−il expliqué en entrevue vendredi.

D’après M. Lachance la situation aurait pu être évitée si le gouvernement avait envoyé à chaque citoyen un code par courriel ou par la poste plutôt qu’en leur demandant de le télécharger en inscrivant quelques simples renseignements de base.

L’analyste dit s’inquiéter davantage d’une information révélée par Radio−Canada selon laquelle un pirate aurait réussi à créer de toute pièce un faux code QR qui a été accepté par l’application de validation utilisée par les commerçants. Steven Lachance s’attend cependant à ce que cette faille soit corrigée rapidement.

L’expert défend le système de passeport vaccinal créé par le gouvernement et il demeure impressionné par la technologie utilisée. Pour lui, les problèmes concernent la manière dont le passeport a été déployé et non la technologie elle−même.

Le gouvernement a déclaré que personne n’était autorisé à utiliser le code QR d’une autre personne et que quiconque enfreindrait cette règle pourrait faire face à de lourdes sanctions. Les entreprises qui ont besoin du passeport vaccinal seront également invitées à vérifier la pièce d’identité avec photo de leurs clients pour s’assurer que les noms correspondent, et elles sont censées signaler à la police toute personne qui essaie d’utiliser le code QR de quelqu’un d’autre.

Le ministère de la Santé a également noté que le passeport vaccinal était toujours en cours de test avant le lancement plus large la semaine prochaine.

«C’était justement l’objectif de rendre l’application disponible avant l’entrée en vigueur du passeport vaccinal le 1er septembre pour faire les ajustements nécessaires», indique le communiqué du ministère.

«Si des améliorations doivent être faites, elles le seront.»