MONTRÉAL — Steven Lachance, un analyste et entrepreneur en sécurité numérique basé à Montréal, se dit inquiet lorsque le gouvernement du Québec a annoncé qu’il imposerait un système de passeport vaccinal à travers la province pour réduire la transmission de la COVID-19.
Mais après avoir jeté un coup d’œil aux applications pour téléphones intelligents qui sont devenues disponibles en téléchargement mercredi, il a déclaré que le système québécois devrait être le modèle pour les autres provinces. Lachance et un autre expert en technologie interrogé par La Presse canadienne affirment que les applications font ce qu’elles prétendent faire et ne sont pas capables de collecter secrètement des données sur les utilisateurs.
“J’étais très sceptique lorsque j’ai entendu parler pour la première fois des intentions du gouvernement concernant ce type de technologie – cela aurait pu mal tourner à bien des égards”, a déclaré Lachance.
Au lieu de cela, Lachance dit qu’il a été agréablement surpris de voir le gouvernement adopter une norme internationale qu’il a décrite comme “incontestablement bien meilleure que tout ce que (le gouvernement) aurait pu proposer en interne”.
Cette norme, connue sous le nom de SMART Health Card, est également utilisée pour les passeports vaccinaux dans l’État de New York, la Louisiane et la Californie. La technologie est basée sur un code de réponse rapide contenant le nom d’une personne, sa date de naissance et des informations sur les vaccins qu’elle a reçus.
À compter du 1er septembre, les résidents du Québec devront présenter une preuve de vaccination pour visiter les entreprises que le gouvernement provincial juge non essentielles, comme les bars, les clubs et les restaurants. Cette preuve se présente sous la forme d’un code de réponse rapide – ou code QR – distribué aux résidents vaccinés par le ministère de la Santé.
Mercredi, Québec a publié les applications qui seront utilisées pour alimenter son système de passeport vaccinal sur les appareils Apple : VaxiCode Verif pour les entreprises et VaxiCode pour les clients. Les versions Android devraient être publiées plus tard dans la semaine. Les résidents du Québec sont encouragés à télécharger VaxiCode et à y télécharger leur code QR.
VaxiCode Verif est une application de lecture qui scanne les données contenues dans le code QR, y compris une signature cryptographique pour vérifier l’authenticité du code. Ce lecteur pourrait scanner un code QR téléchargé sur l’application VaxiCode ou sur une version papier du code, ou sur une photo ou un PDF du code.
“C’est très, très facile de générer de faux codes QR, mais il est impossible de générer de faux codes QR avec la vraie signature”, a déclaré Lachance. “Je peux générer un million de faux codes QR en une minute – aucun d’entre eux ne fonctionnera jamais. “C’est comme saisir un morceau de plastique et découper une carte de débit. Mettez-le dans la machine, pensez-vous que cela va fonctionner ? »
La signature cryptographique de chaque code QR est validée dans l’application VaxiCode Verif, sans qu’il soit nécessaire de se connecter à un serveur externe ou à une base de données centralisée. Cela protège la confidentialité, a déclaré Lachance, car aucune donnée n’est envoyée au gouvernement ou au fabricant d’applications Akinox pendant le processus de numérisation.
Felix Lapalme, un développeur iOS de l’entreprise technologique montréalaise Transit, dit qu’il a téléchargé l’application et regardé les fichiers à l’intérieur.
“L’application ne fait rien de vraiment suspect”, a-t-il déclaré.
Il ajoute que même si les utilisateurs autorisent la mise à jour automatique de l’application, il ne semble pas y avoir de fichiers sur le logiciel qui permettraient à l’application de commencer à accéder aux données de localisation.
Lapalme dit que sa plus grande préoccupation est que les clés cryptographiques utilisées pour valider les codes QR ne se trouvent que sur l’application et non en ligne, ce qui est une fonctionnalité qui fait partie de la norme SMART.
“Cela pourrait compliquer les choses si les Québécois veulent que leurs codes QR soient validés dans d’autres pays (qui) n’ont pas l’application spécifique au Québec”, a-t-il déclaré.
Lapalme dit qu’une chose qu’il aime à propos de l’application VaxiCode est qu’elle montre aux utilisateurs toutes les informations stockées dans leurs codes QR, ce qui, selon lui, pourrait apaiser les problèmes de confidentialité.
Lachance dit que la seule faiblesse du système est que même si VaxiCode Verif n’enregistre pas de données, il ne serait pas difficile pour quelqu’un – comme un videur de club ou un propriétaire d’entreprise sans scrupules – de créer une autre application qui le fait et de l’utiliser pour numériser QR codes des clients.
Mais il serait difficile pour une application comme celle-ci d’être largement distribuée, a-t-il déclaré.
Cependant, la possibilité que quelqu’un puisse créer une autre application de lecture et l’utiliser pour voler les données des gens concerne Steve Waterhouse, chargé de cours en sécurité de l’information à l’Université de Sherbrooke et ancien agent de sécurité des systèmes d’information au ministère de la Défense nationale.
“La même chose qu’une arnaque à la carte de crédit dans une station-service – vous avez quelqu’un qui va glisser la carte deux fois, une fois pour avoir volé les informations, l’autre fois pour que les bonnes transactions soient effectuées”, a-t-il déclaré. “La même chose peut arriver avec quelqu’un qui se contente de documenter des codes QR encore et encore.”
Waterhouse dit qu’il s’inquiète également du fait que si une nouvelle version de l’application qui suit les données de localisation est publiée, les utilisateurs pourraient ne pas remarquer les demandes d’informations supplémentaires ou les modifications des conditions d’utilisation et les télécharger quand même.
Il dit qu’il préférerait que le gouvernement utilise un système uniquement papier qui n’implique pas d’applications pour smartphone.
— Ce rapport de La Presse Canadienne a été publié pour la première fois le 26 août 2021.
— Cet article a été produit avec l’aide financière de Facebook et de la Canadian Press News Fellowship.
.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/55NQTQA4RVHB5MBGD3YTDCEHJM.jpg)