Appel à la vigilance concernant de fausses applications sur Google Play

Dans les dernières semaines, de nombreuses failles ont été soulevées concernant l’application VaxiCode.
Photo: Associated Press Dans les dernières semaines, de nombreuses failles ont été soulevées concernant l’application VaxiCode.

Le ministère de la Santé et des Services sociaux du Québec (MSSS) appelle les citoyens à la vigilance après avoir été mis au fait de la création de fausses applications sur Google Play copiant le visuel de l’application VaxiCode, qui sert de passeport vaccinal dans la province.

« Selon les informations reçues, des personnes auraient copié le visuel développé pour l’application VaxiCode et auraient réussi à faire approuver ces fausses applications pour téléchargement sur Google Play », indique un communiqué émis tard vendredi soir par le MSSS, qui rappelle d’autre part que ses propres applications « sont sécuritaires » et assurent « la protection des renseignements personnels » des Québécois.

Le MSSS indique d’autre part avoir entrepris rapidement des démarches auprès de Google pour retirer ces applications frauduleuses. Celles-ci semblent d’ailleurs avoir déjà été supprimées, a constaté Le Devoir samedi.

« Ce type de copies d’applications populaires est une problématique de plus en plus fréquente. Ainsi, le citoyen doit assurer une vigilance pour s’assurer de télécharger l’application officielle légitime », ajoute le ministère. Pour ce faire, il recommande aux citoyens de s’assurer que l’application qu’ils téléchargent porte exactement le nom de celle élaborée par Québec, sans aucun autre mot avant ou après. L’application VaxiCode permet aux citoyens d’accéder à plusieurs commerces non essentiels et événements publics, tandis que l’application VaxiCode Vérif est utilisée par les commerçants qui doivent valider le code QR de leurs clients.

Le cofondateur du Hackfest, Patrick Mathieu, recommande d’autre part aux utilisateurs de ces applications de s’assurer que l’auteur de celles-ci est bel et bien le MSSS. Autrement, « il y a le risque que les gens téléchargent ça et que ce soit un virus », souligne l’expert en cybersécurité. Quant au vol de données personnelles tirées du code QR, qui comprend le nom, la date de naissance et la liste des vaccins reçus des personnes concernées, le risque est particulièrement important si un commerce ou le gestionnaire d’un événement télécharge par mégarde une fausse version de l’application VaxiCode Vérif, estime M. Mathieu.

« S’il y a des commerçants qui installent une application Vérif qui est malicieuse, ils pourraient transmettre l’information de tous les clients qu’ils scannent » à une personne malveillante, soulève-t-il. Le MSSS note d’ailleurs dans son communiqué que les commerçants qui utilisent de fausses applications pour numériser le code QR de leurs clients et conserver des renseignements personnels de ceux-ci « s’exposeront à des sanctions ».

Lutte contre la pandémie

L’expert en cybersécurité Steve Waterhouse craint pour sa part que ces fausses applications permettent à des personnes non vaccinées d’accéder à des événements publics ou à certains commerces, au moment où les hospitalisations repartent à la hausse dans la province.

« Des non-vaccinés pourraient se retrouver dans des événements avec des personnes vaccinées, ce qui pourrait nuire aux efforts de lutte contre la pandémie », craint-il. Ces fausses applications pourraient aussi contribuer à des vols d’identité de la part de personnes malveillantes qui pourront compléter leur collecte de données personnelles sur le web à cette fin, ajoute-t-il.

Dans les dernières semaines, de nombreuses failles ont été soulevées concernant l’application VaxiCode. Les codes QR de plusieurs élus de l’Assemblée nationale, incluant le premier ministre François Legault, avaient notamment été compromis, entraînant des menaces de poursuites de la part du gouvernement du Québec à l’égard des contrevenants. Un informaticien rencontré par Radio-Canada le mois dernier s’était aussi dit étonné de la facilité avec laquelle il a pu créer de fausses preuves vaccinales pour des personnes fictives.

« N’importe qui peut modifier l’application, n’importe qui peut télécharger les données sur le scan ; on peut faire de fausses applications pour voler de l’information […] C’est la méthode en place qui permet finalement de faire de la fraude », déplore Patrick Mathieu.

Ce dernier « blâme » ainsi le gouvernement pour « l’absence d’une carte d’identité numérique officielle et sécuritaire » accessible à tous les Québécois. En Estonie, une telle carte à puce avec numéro d’identification unique permet d’avoir accès à de nombreux services en ligne, sans compromettre les données personnelles de ses utilisateurs. Or, malgré le scandale de vol de données à Desjardins en 2019, le Québec continue de « tirer de la patte » en matière de protection des informations personnelles de ses résidents, estime M. Mathieu.

À voir en vidéo