L’application de traçage attirerait les cybercriminels, dit un expert

Selon M. Sarazin, la concentration d’une grande quantité de données — aussi insignifiantes puissent-elles paraître — est sûre d’attirer les cybercriminels.
Photo: Ryan Remiorz La Presse canadienne Selon M. Sarazin, la concentration d’une grande quantité de données — aussi insignifiantes puissent-elles paraître — est sûre d’attirer les cybercriminels.

Pour une troisième journée d’affilée, les experts se sont succédé en commission parlementaire vendredi pour exprimer d’importantes réserves sur les applications de notification de la COVID-19.

Le spécialiste en cybersécurité, Claude A. Sarazin, a lancé le bal en avertissant les députés des « vulnérabilités » de la technologie Bluetooth qui serait utilisée dans une éventuelle application québécoise.

Le gouvernement Legault envisage de déployer dès septembre une application qui permettrait à l’utilisateur l’ayant téléchargée d’être informé d’une exposition éventuelle avec une personne contaminée à la COVID-19.

Elle serait gratuite et téléchargeable sur une base volontaire, et fonctionnerait sans stockage des données ni géolocalisation, a-t-on assuré.

En juillet, le gouvernement fédéral de Justin Trudeau lançait « Alerte-COVID » qui reprend ces grands principes et qui est pour l’instant seulement utilisée en Ontario.

Selon M. Sarazin, la concentration d’une grande quantité de données — aussi insignifiantes puissent-elles paraître — est sûre d’attirer les cybercriminels.

L’usage de la technologie Bluetooth à longueur de journée constitue une « porte d’entrée pour des attaques sur les systèmes informatiques des gens » et des entreprises pour lesquelles ils travaillent, a-t-il déclaré.

Il y a toujours un risque d’identification de la personne, a-t-il renchéri, en rappelant que le vol de données est « excessivement payant » pour les criminels et très nocif « à long terme » pour les victimes.

« Est-ce que vous diriez que le risque d’attaque ou de piratage d’applications qui fonctionnent par Bluetooth est réel […] et significatif ? » lui a demandé le co-porte-parole de Québec solidaire, Gabriel Nadeau-Dubois.

« Absolument », a répondu M. Sarazin.

En somme, l’expert recommande au gouvernement Legault de ne pas déployer une application de notification de la COVID-19 et d’investir plutôt en santé publique, tel que l’a fait la Colombie-Britannique.

Le premier ministre de la Colombie-Britannique, John Horgan, a récemment annoncé le recrutement de 500 professionnels de la santé pour retrouver les personnes qui ont été exposées au coronavirus dans la province.

Le gouvernement Legault demande un « chèque en blanc »

Au moment où l’efficacité d’une telle application reste à démontrer, le gouvernement Legault demande à la population un « acte de foi », estime Stéphane Roche, professeur en sciences géomatiques à l’Université Laval.

Il a expliqué être « très sceptique » quant à la qualité de la notification qui serait envoyée à l’utilisateur. Selon lui, personne ne peut garantir qu’elle sera pertinente.

« Peut-être que c’est une notification qui va vous effrayer pour rien. […] Est-ce qu’on est prêt à vivre ça pour le peu que ça apporte, l’énergie que ça prend, les moyens que ça demande ? »

« Peut-être que dans certains cas, ça va fonctionner, mais c’est un peu demander à la population de signer un chèque en blanc, c’est un acte de foi qu’on lui demande. L’efficience n’a jamais été prouvée », a-t-il insisté.

M. Roche croit par ailleurs que le gouvernement fédéral a « sorti ça de son chapeau ». « Imaginez la personne qui est derrière la caisse chez IGA. Elle va être notifiée combien de fois cette personne-là ? » a-t-il illustré.

À l’instar de la Commission des droits de la personne et de la Commission d’accès à l’information, il craint qu’employeurs, propriétaires d’immeubles et commerçants ne commencent à l’exiger pour transiger avec eux.

« Ma crainte c’est, “si vous n’avez pas l’appli, pas de services pour vous” », a-t-il résumé.

À la députée de la Coalition avenir Québec (CAQ) Joëlle Boutin, qui suggère de retirer l’application si elle s’avère inutile, Céline Castets-Renard, de l’Université d’Ottawa, répond que ce n’est pas si simple.

« Je ne suis pas d’accord, a-t-elle dit. Ça peut entraîner une banalisation […] : “Bon, c’est pas grave, on abandonne un peu sa vie privée” et cet écueil me paraît dangereux. »

À voir en vidéo