Un code QR facile à déchiffrer
La preuve vaccinale pourrait être une mine d’or pour des gens malintentionnés
Le code QR de preuve vaccinale que le gouvernement du Québec souhaiterait voir adopté par les commerces de la province pour éviter un nouveau confinement en cas de nouvelle vague de COVID-19 n’est pas crypté. Il peut donc être facilement décodé, y compris par des gens malveillants.
C’est ce qu’illustre une vidéo qui a été mise en ligne mardi soir par des membres de la communauté Hackfest, un regroupement québécois d’informaticiens professionnels et amateurs.
Des experts en cybersécurité tentent d’avertir depuis quelques semaines le gouvernement québécois des failles possibles de sa preuve de vaccination numérique. Les programmeurs du Hackfest veulent donc renforcer ce message avec leur initiative de mardi soir.
Patrick Mathieu, cofondateur de la communauté et expert en sécurité informatique, croit que l’idée du gouvernement d’adopter le code QR pour assurer l’ouverture des commerces lors d’une nouvelle flambée pandémique est partie d’une bonne intention, mais que la preuve vaccinale a peutêtre été développée un peu trop rapidement. « L’information rendue accessible à partir de ce code est encodée, mais elle n’est pas cryptée. Elle n’est pas protégée par une clé secrète ou un mot de passe », dit-il.
La bonne nouvelle est qu’on ne peut pas falsifier les codes QR produits par le gouvernement, ajoute l’expert québécois, « mais n’importe qui peut accéder aux données derrière ce code ».
Si le gouvernement rend l’utilisation de ce code obligatoire, un commerçant ou un employé mal intentionné pourrait donc noter les heures exactes et la fréquence des passages d’une personne dans un ou plusieurs commerces appartenant à une même enseigne. « C’est là où ça menace la vie privée des gens », conclut M. Mathieu.
Contacté à ce sujet, le ministère de la Santé du Québec n’avait toujours pas répondu aux questions du Devoir au moment d’écrire ces lignes. Le ministère avait toutefois assuré par le passé qu’il prenait la question de la protection des données privées très au sérieux et qu’il restait encore du temps pour s’assurer que sa preuve vaccinale numérique respecte les normes internationales.