Décryptage des failles du code QR vaccinal

Deux problèmes différents en lien avec les codes QR ont été rapportés séparément vendredi.
Photo: Adil Boukind Le Devoir Deux problèmes différents en lien avec les codes QR ont été rapportés séparément vendredi.

Plusieurs médias ont rapporté vendredi des failles dans le processus d’obtention et de validation de la preuve vaccinale. Afin de mieux comprendre le phénomène, d’en mesurer les conséquences et de songer à des solutions potentielles, Le Devoir a posé des questions à trois experts en sécurité informatique et au ministre responsable de la Protection des renseignements personnels, Éric Caire.

Qu’a-t-on découvert à propos des codes QR vaccinaux ?

Deux problèmes différents ont en fait été rapportés séparément vendredi. Dans les deux cas, ce n’est pas la technologie du code QR qui est remise en question, mais plutôt l’infrastructure informatique autour de celle-ci, précisent tous les intervenants.

Quel est le premier problème rapporté ?

La première faille concerne des politiciens et des personnalités publiques dont les preuves vaccinales ont été téléchargées, puis diffusées sur les réseaux sociaux. Sur celles-ci, on pouvait notamment voir le nom, la date de naissance, le numéro d’assurance maladie et des informations sur les vaccins anti-COVID-19 qu’avaient reçus ces personnalités.

Pourquoi ? Lorsqu’une personne est vaccinée, elle reçoit un lien par courriel pour accéder à un site où elle peut télécharger sa preuve vaccinale. Or, sur ce site, « on a besoin de peu d’informations pour pouvoir déduire les autres informations demandées », a expliqué Sam Harper, membre de l’organisme Crypto.Québec.

Pour le reste, plusieurs informations demandées — le nom, la date de naissance — se trouvent rapidement sur les réseaux sociaux. Le plus grand « défi » pour les pirates consistait en fait à déduire le numéro d’assurance maladie des personnes visées. Une personne mal intentionnée peut tout simplement faire plusieurs tentatives, jusqu’à le découvrir, a souligné M. Harper.

En entretien avec Le Devoir, le ministre Éric Caire assure ainsi « qu’il n’y a pas [eu] de faille informatique ». À son avis, cette faille n’en est pas une ; elle constitue plutôt de « l’esbroufe ». « J’ai moi-même diffusé publiquement, sur les réseaux sociaux, la date de ma vaccination et le vaccin que j’ai reçu », a-t-il illustré.

Et en quoi constitue la deuxième faille ?

Un informaticien rencontré et cité par Radio-Canada a démontré qu’il était possible de créer de faux codes QR qui sont considérés comme valides lors de la vérification du statut vaccinal. Il a généré un code QR associé à une fausse identité — « Monsieur Untel » — que l’application VaxiCode Vérif, destinée aux commerçants, a accepté.

« Générer un faux code accepté par [l’outil de] vérification rend caduc l’ensemble du système », n’a pas hésité à dire Steven Lachance, analyste en cybersécurité. Le code QR lui-même n’est pas falsifiable, assure-t-il toutefois. « Chaque code QR avec sa preuve vaccinale délivrée porte une mesure cryptographique. »

Si quelque chose cloche, c’est donc à l’étape de la vérification.

En temps normal, la mesure cryptographique — cette « signature », comme l’appelle Sam Harper — doit être reconnue comme valide par l’application de vérification du gouvernement. L’application a-t-elle vérifié cette signature adéquatement ? « Ça ne semble pas être le cas », selon M. Lachance, qui qualifie cette faille « d’erreur élémentaire », voire de « négligence de la part des développeurs et du gouvernement ».

Au moment où ces entrevues ont été menées, peu de détails avaient filtré sur la méthode employée par l’informaticien rencontré par Radio-Canada pour effectuer sa démonstration.

Éric Caire est venu nuancer les propos des experts, vendredi. « Ce qui s’est produit, c’est que la personne a trouvé un algorithme qui lui permet de tromper la vigilance de l’application », a-t-il avancé comme hypothèse. La manœuvre fait en sorte que « l’application ne vérifie pas l’existence de la signature numérique du gouvernement et se contente de valider le code QR ».

Peu importe cette mécanique, « l’application devrait avoir des vérifications plus sévères », a insisté Steve Waterhouse, lui aussi expert en cybersécurité et chargé de cours sur ces questions à l’Université de Sherbrooke.

Quelles sont les conséquences pour le commun des mortels ?

« Le code QR de monsieur ou madame Tout-le-Monde n’est pas compromis, l’information des citoyens n’est pas à risque en ce moment », a rassuré M. Waterhouse. Le passeport vaccinal reste valide.

Une personne non vaccinée qui se doterait d’un faux code QR pourrait toutefois avoir accès aux restaurants, gyms et autres endroits où le passeport vaccinal sera demandé. « Mais attention, si quelqu’un se présentait avec votre propre code QR, ou avec celui de François Legault, il faudrait encore qu’il présente une carte d’identité pour prouver qu’il est bien cette personne », a rappelé M. Lachance.

Somme toute, la conséquence la plus tangible est sans doute l’affaiblissement de la confiance des citoyens dans le processus de vérification de la preuve vaccinale, soulignent ces experts. « Si un citoyen a trouvé les façons de contourner la vérification en moins de 24 heures, on est obligés de se demander : quoi d’autre n’est pas fiable ? » souligne M. Waterhouse.

L’autre aspect à ne pas négliger est la capacité de « pirates » ou de « personnes mal intentionnées » — comme les décrit Sam Harper — à utiliser ces informations de base pour en dénicher d’autres plus précieuses. Une personne malfaisante pourrait par exemple tenter d’utiliser ces informations pour s’authentifier dans un service à la clientèle d’une banque et aller plus loin dans l’usurpation d’identité.

Qu’est-ce qui doit être fait pour résoudre ces deux problèmes ?

Au sujet de la première faille, des groupes comme Crypto.Québec ont suggéré de limiter le nombre de tentatives que peut faire une personne — ou une application automatisée — pour entrer des informations dans le système. Québec a confirmé étudier cette possibilité. M. Caire a aussi dit explorer la possibilité d’instaurer un système d’authentification CAPTCHA, ou encore de proposer des « questions secrètes ».

« L’autre chose est que le système envoie des messages d’erreur trop précis, qui permettent de cibler ce qui est incorrect » dans les renseignements d’identification, a ajouté Sam Harper, qui propose plutôt d’envoyer des messages d’erreur génériques.

Quant à la deuxième faille, le ministre a affirmé qu’elle a été corrigée par une mise à jour de l’application dès qu’elle a été exposée par Radio-Canada.

Qu’est-ce qui peut être changé, à plus long terme ?

Le ministre Caire a servi un avertissement vendredi : le seul fait de falsifier un document officiel constitue de la fraude. « La personne qui a fait ça, elle se mérite une enquête de la Sûreté du Québec, une plainte au Procureur général du Québec, à la Commission d’accès à l’information et à la Régie de l’assurance maladie », a-t-il énuméré.

Le problème est qu’il n’y a pas de mécanisme officiel pour rapporter des vulnérabilités en ce moment.

 

Les trois experts en sécurité informatique consultés par Le Devoir se sont désolés de cette réaction. « Le ministère de la Santé a été avisé de ces vulnérabilités [techniques], mais on ne s’en est pas préoccupé. Maintenant qu’ils brandissent le bâton de la poursuite, ça va seulement décourager de futures divulgations », a affirmé M. Waterhouse.

« Le problème est qu’il n’y a pas de mécanisme officiel pour rapporter des vulnérabilités en ce moment. Si on pouvait rapporter par téléphone ou par courriel et être pris au sérieux, ce serait déjà un bon pas… » a renchéri M. Harper.

De son côté, le ministre Caire a dit étudier la possibilité d’embaucher des pirates éthiques afin qu’ils détectent en amont les failles de ces systèmes. Il a reconnu que ce genre de procédure, très courante dans le milieu des jeux vidéo par exemple, n’existait pas au gouvernement.

Quel est le bon compromis entre la sécurité informatique et la facilité d’utilisation ?

Québec jongle avec des défis d’accessibilité. « On est conscients, au gouvernement du Québec, qu’on impose un passeport vaccinal. Même si on le fait de façon très légitime […], ça demeure une contrainte qui n’est pas plaisante pour les citoyens », a reconnu le ministre Caire. « Si, en plus, il faut que ce soit un parcours du combattant pour utiliser le code QR, on risque de décourager plus d’une personne. » À son avis, le succès obtenu avec les téléchargements et le code QR « est justement dû au fait que ça a été très simple ».

Steven Lachance rejette cet argument : « Je pense que c’est possible de combiner les deux. Le systèmeaurait pu être encore plus facile d’utilisation. » Il suggère que le gouvernement envoie tout simplement le code QR par courriel ou même par la poste, plutôt que d’avoir à remplir un formulaire.

À voir en vidéo