En même temps qu’il déposait une « plainte formelle » à la police contre le pirate qui a usurpé les codes QR de plusieurs élus, le ministère de la Santé et des Services sociaux (MSSS) a dû colmater d’urgence, vendredi, une deuxième faille de sécurité, plus grave, qui aurait permis à des pirates de créer des preuves vaccinales de toutes pièces.

Selon une source gouvernementale bien au fait du problème, l’informaticien anonyme, qui a réussi à exploiter cette brèche, a découvert, dans le protocole utilisé par le gouvernement pour créer les codes QR des personnes vaccinées, une vulnérabilité qui permettait de « contourner » les mécanismes de vérification de l’authenticité de la preuve vaccinale. Il a révélé sa découverte dans un reportage diffusé par Radio-Canada, vendredi matin.

« La correction a été apportée, mais c’est vrai que ça m’a préoccupé », a reconnu en entrevue avec La Presse le ministre responsable de la Protection des renseignements personnels, Éric Caire. « Effectivement, quelqu’un a trouvé une recette pour [contrefaire] un code QR, et qui passe à travers les mailles du filet en rendant inopérant le processus de vérification. »

Le gouvernement a immédiatement apporté un correctif logiciel à VaxiCode Verif, l’application pour téléphone intelligent qui sera utilisée à partir du 1er septembre par les commerçants pour confirmer la double vaccination des clients. Le logiciel été téléchargé par plus de 230 000 personnes depuis mercredi, selon des données publiées par le MSSS, mais une mise à jour automatique devrait se faire d’ici l’entrée en vigueur du passeport vaccinal, a assuré M. Caire.

Quatre plaintes

Vendredi, La Presse et Le Journal de Montréal ont révélé une autre faille découverte par un informaticien qui a réussi, jeudi, à télécharger illicitement les codes QR du premier ministre François Legault, des chefs de l’opposition et de plusieurs députés et personnalités publiques. Les cibles de ce pirate s’étaient toutes affichées publiquement sur les réseaux sociaux lorsqu’elles avaient reçu leur première dose. En confirmant leurs dates de vaccination et leurs dates de naissance sur l’internet, le pirate est arrivé à déjouer la sécurité du portail libre-service du gouvernement, et a facilement pu télécharger leurs codes QR.

Son coup d’éclat a immédiatement été révélé au gouvernement par le HackFest, un regroupement de professionnels de la sécurité informatique. Québec n’a cependant pas apprécié la façon de faire : « Ce monsieur s’est mérité quatre plaintes différentes : une à la Sûreté du Québec, une au contentieux du Procureur général, une à la Commission d’accès à l’information et une autre à la Régie de l’assurance-maladie du Québec », a tonné le ministre Éric Caire.

Selon lui, l’individu n’a pas « hacké le système », mais a tout simplement utilisé des informations facilement accessibles sur l’internet pour faire des « demandes illégitimes » de codes QR. « On a toujours dit aux gens que s’ils voulaient jouer dans ce film-là, il y aurait des conséquences », a-t-il rappelé. Le MSSS a affirmé jeudi soir que l’individu s’exposait à des accusations criminelles.

M. Caire estime par ailleurs que la manœuvre utilisée par le pirate ne nécessite pas de correctif, puisque les informations contenues dans le code QR ne sont pas particulièrement « préjudiciables ».

PHOTO GRAHAM HUGHES, LA PRESSE CANADIENNE

Éric Caire, ministre responsable de la Protection des renseignements personnels

Oui, c’est facile [de déjouer la sécurité], le système permet d’avoir de façon très simple un code QR. Mais c’était voulu ainsi. Si on rend la procédure plus complexe, on risque d’hypothéquer la capacité des gens d’aller au restaurant, par exemple.

Éric Caire, ministre responsable de la Protection des renseignements personnels

« Le gouvernement comprend parfaitement bien la portée du geste qu’il fait en imposant un passeport vaccinal. Est-ce qu’on va, en plus, imposer aux citoyens un parcours du combattant pour aller chercher leur code QR, alors qu’il n’y a aucun renseignement de nature confidentielle ou privée d’impliqué, et qu’en plus, ça prend une pièce d’identité avec photo qui atteste de votre identité lorsque vous le présentez à un commerçant ? », a demandé M. Caire.

À Québec, les révélations entourant la fuite de codes QR d’élus ont fait réagir le porte-parole de Québec solidaire, Gabriel Nadeau-Dubois, qui a lui-même été pris pour cible par le pirate. « Je suis terriblement déçu de voir que le système soit toujours aussi facile à déjouer, même après que des experts ont souligné au gouvernement, en mai, qu’ils avaient constaté des failles béantes », a-t-il déploré.

Éric Caire ne s’est pas fait prier pour lui répondre : « M. Nadeau-Dubois, à ce que je sache, a été dans les premiers à se prendre en photo quand il a été vacciné, et à dire à la Terre entière à quelle date [il l’avait été] et quelle sorte de vaccin il avait reçu. Aujourd’hui, il nous demande de protéger ses informations, alors qu’il les a lui-même mises sur les réseaux sociaux.

« Quand politiquement c’est bon pour lui de diffuser des informations, il se gâte, et quand politiquement c’est bon pour lui de faire du millage sur une esbroufe, il se gâte encore. Un chef de parti doit avoir un minimum de cohérence. M. Nadeau-Dubois, dans ce dossier-là, n’a pas de cohérence », a affirmé le ministre.