L’application de traçage attirerait les criminels, selon un expert

(Québec) Le gouvernement Legault persiste à croire que les « bénéfices » d’une application de notification de la COVID-19 au Québec pourraient être « très importants », alors que l’écrasante majorité des experts venus témoigner en commission parlementaire lui ont dit le contraire.

« Nous avons entendu diverses opinions, je dirais, a déclaré vendredi la députée caquiste Joëlle Boutin au sortir de la commission. L’objectif d’une technologie comme ça, […] c’est d’ultimement sauver des vies. »

« La seule conclusion possible pour quiconque a écouté les experts […], c’est que c’est une fausse solution, […] inutile et dangereuse », a rétorqué le co-porte-parole de Québec solidaire, Gabriel Nadeau-Dubois.

« C’est plus qu’unanime, a renchéri la libérale Marwah Rizqy avec un rire d’incrédulité. Ils nous recommandent de ne pas aller de l’avant ». Le péquiste Martin Ouellet a également dit « non », vendredi, à une telle application.

Risque de piratage « réel et significatif »

C’est que pour une troisième journée d’affilée, les experts se sont succédé à l’Assemblée nationale pour exprimer d’importantes réserves sur les applications de notification de la COVID-19.

Le spécialiste en cybersécurité, Claude A. Sarazin, a lancé le bal en signalant toutes les « vulnérabilités » de la technologie Bluetooth qui serait utilisée dans une éventuelle application québécoise.

Le gouvernement Legault envisage de déployer dès septembre une application qui permettrait à l’utilisateur l’ayant téléchargée d’être informé d’une exposition éventuelle avec une personne contaminée à la COVID-19.

Elle serait gratuite, optionnelle et fonctionnerait sans stockage des données ni géolocalisation. On inviterait la personne infectée à entrer un code unique dans son appareil mobile afin d’alerter les autres abonnés qui ont pu être en contact avec elle.

En juillet, le gouvernement fédéral de Justin Trudeau lançait « Alerte-COVID » qui reprend ces grands principes et qui est pour l’instant seulement utilisée en Ontario.

Selon M. Sarazin, la concentration d’une grande quantité de données – aussi insignifiantes puissent-elles paraître – est sûre d’attirer les cybercriminels.

L’usage de la technologie Bluetooth à longueur de journée constitue une « porte d’entrée pour des attaques sur les systèmes informatiques des gens » et des entreprises pour lesquelles ils travaillent, a-t-il déclaré.

Il y a toujours un risque d’identification de la personne, a-t-il renchéri, en rappelant que le vol de données est « excessivement payant » pour les criminels et très nocif « à long terme » pour les victimes.

« Est-ce que vous diriez que le risque d’attaque ou de piratage d’applications qui fonctionnent par Bluetooth est réel […] et significatif ? » lui a demandé M. Nadeau-Dubois.

« Absolument », a répondu M. Sarazin.

En somme, l’expert recommande au gouvernement Legault de ne pas déployer une application de notification de la COVID-19 et d’investir plutôt en santé publique, tel que l’a fait la Colombie-Britannique.

Le premier ministre de la Colombie-Britannique, John Horgan, a récemment annoncé le recrutement de 500 professionnels de la santé pour retrouver les personnes qui ont été exposées au coronavirus dans la province.

Le gouvernement Legault demande un « chèque en blanc »

Au moment où l’efficacité d’une telle application reste à démontrer, le gouvernement Legault demande à la population un « acte de foi », estime Stéphane Roche, professeur en sciences géomatiques à l’Université Laval.

Il a expliqué être « très sceptique » quant à la qualité de la notification qui serait envoyée à l’utilisateur. Selon lui, personne ne peut garantir qu’elle sera pertinente.

« Peut-être que c’est une notification qui va vous effrayer pour rien. […] Est-ce qu’on est prêt à vivre ça pour le peu que ça apporte, l’énergie que ça prend, les moyens que ça demande ? »

« Peut-être que dans certains cas, ça va fonctionner, mais c’est un peu demander à la population de signer un chèque en blanc, c’est un acte de foi qu’on lui demande. L’efficience n’a jamais été prouvée », a-t-il insisté.

M. Roche croit par ailleurs que le gouvernement fédéral a « sorti ça de son chapeau ». « Imaginez la personne qui est derrière la caisse chez IGA. Elle va être notifiée combien de fois cette personne-là ? » a-t-il illustré.

À l’instar de la Commission des droits de la personne et de la Commission d’accès à l’information, il craint qu’employeurs, propriétaires d’immeubles et commerçants ne commencent à l’exiger pour transiger avec eux.

« Ma crainte c’est, “si vous n’avez pas l’appli, pas de services pour vous” », a-t-il résumé.

À la députée Joëlle Boutin qui a suggéré de retirer l’application si elle s’avérait inutile, Céline Castets-Renard, de l’Université d’Ottawa, a répondu que ce n’était pas si simple.

« Je ne suis pas d’accord, a-t-elle dit. Ça peut entraîner une banalisation […] : “Bon, c’est pas grave, on abandonne un peu sa vie privée” et cet écueil me paraît dangereux. »