Un pirate informatique non identifié proche de la communauté du Hackfest a réussi jeudi à obtenir de façon illicite les codes QR contenant les informations vaccinales de plusieurs élus de l’Assemblée nationale, dont celles du ministre responsable de la Protection des renseignements personnels, Éric Caire.

Tristan Péloquin
Tristan Péloquin La Presse

Selon un billet publié jeudi sur la page Facebook de Crypto.Québec, mais qui a été supprimé en soirée, les données vaccinales du premier ministre François Legault ont également été compromises. Celles du ministre de la Santé et des Services Sociaux, Christian Dubé, de la mairesse de Montréal, Valérie Plante, du co-porte-parole de Québec solidaire Gabriel Nadeau-Dubois et de la cheffe du Parti libéral, Dominique Anglade, l’auraient aussi été.

Le Hackfest, regroupement de professionnels de la sécurité informatique, a immédiatement informé le gouvernement de l’existence du problème, a indiqué son cofondateur Patrick Mathieu.

La faille de sécurité exploitée par le pirate lui a permis de déjouer le portail libre-service du gouvernement en glanant des informations très faciles à trouver sur les réseaux sociaux au sujet de ses cibles.

Questionné par La Presse au sujet de cette faille, le cabinet du ministre Éric Caire a dit prendre la chose très au sérieux et mener des vérifications. « Toute falsification ou tout vol de code QR est un acte passible d’amende, voire [un acte] criminel », rappelle sa porte-parole Nathalie Saint-Pierre.

Les codes QR fournis par le ministère de la Santé et des Services sociaux (MSSS) serviront de passeport vaccinal à partir du 1er septembre. Pour les obtenir, les Québécois vaccinés n’ont qu’à inscrire sur un portail en ligne du gouvernement leur nom, leur date de naissance, la date de leur première vaccination contre la COVID-19, la marque du vaccin reçu, ainsi que leur numéro d’assurance maladie.

Puisque les élus victimes du piratage avaient tous médiatisé leur vaccination en publiant des photos d’eux sur les réseaux sociaux, le pirate a facilement pu confirmer la date de leur premier vaccin. Ensuite, il n’a eu qu’à trouver leur date de naissance sur l’internet et à deviner les deux derniers chiffres de leur numéro d’assurance maladie.

Un système « mal conçu »

Lors d’une présentation technique plus tôt cette semaine, le sous-ministre associé à la Direction générale des technologies de l’information du gouvernement avait assuré que les renseignements personnels contenus dans le code QR avaient été limités au « strict nécessaire ». La seule information supplémentaire que les pirates pourraient y trouver est la date d’inoculation du deuxième vaccin, les sites où ces vaccins ont été administrés, ainsi que les numéros de lots des doses. Ils pourraient aussi, dans certains cas, savoir si la victime du piratage a déjà eu un résultat positif à la COVID-19 ou des contre-indications cliniques à la vaccination.

Aucune information particulièrement délicate, comme le numéro d’assurance sociale, l’adresse domiciliaire des vaccinés ou leur numéro de téléphone, ne s’y trouve.

Selon le cofondateur du Hackfest Patrick Mathieu, la faille démontre néanmoins que le système mis sur pied par le gouvernement est « mal conçu, de A à Z ».

Le gouvernement a basé la sécurité du système sur des informations qui peuvent facilement être connues de l’entourage de n’importe qui. Tout le monde peut compromettre tout le monde.

Patrick Mathieu, cofondateur du Hackfest

Selon lui, la technologie qui permet au gouvernement de produire ces codes QR n’a pas été conçue pour en faire un outil de vérification à grande échelle comme le passeport vaccinal. « Nous l’avons dit à plusieurs reprises au gouvernement que c’était un mauvais choix de technologie », affirme-t-il.

La députée libérale Marwah Rizqy, dont le code QR a également circulé hier sur l’internet à la suite du piratage, se demande pourquoi le gouvernement n’a pas mis un pare-feu supplémentaire sur son portail pour éviter le piratage. Elle craint aussi que les commerçants qui seront appelés à vérifier les codes QR n’aient que rarement le temps de confirmer l’identité de leurs clients en leur demandant de présenter un permis de conduire ou une carte d’assurance maladie, comme le prévoit le protocole présenté par Québec. « Heureusement, il n’y a qu’une seule Marwah Rizqy au pays, ça m’étonnerait que quelqu’un essaie de se faire passer pour moi. Mais si j’avais un nom plus commun, comme Réjean Tremblay, ça serait peut-être plus facile d’utiliser un faux code QR, et c’est ça qui est préoccupant », croit-elle.

« Ça fait depuis le mois de mai que le gouvernement nous parle du passeport vaccinal. Ils avaient le temps de s’assurer que la sécurité soit au point, mais ils ont minimisé tous les problèmes qui ont été soulevés par les gens qui s’y connaissent en sécurité. C’est triste », ajoute la députée.

Avec Alice Girard-Bossé, La Presse