VaxiCode est sécuritaire, jugent des experts en cybersécurité

Publié le 26/08/2021 à 08:14

VaxiCode est sécuritaire, jugent des experts en cybersécurité

Publié le 26/08/2021 à 08:14

Par La Presse Canadienne

L'application ne compte aucun fichier suspect selon un développeur iOS. (Photo: La Presse Canadienne)

Steven Lachance, un analyste et entrepreneur en sécurité numérique basé à Montréal, s’est inquiété lorsque le gouvernement du Québec a annoncé qu’il imposerait un système de passeport vaccinal à travers la province pour réduire la transmission de la COVID-19.

Mais après avoir jeté un coup d’œil aux applications pour téléphones intelligents téléchargeables depuis mercredi, il estime que le système québécois devrait être un modèle pour les autres provinces. M. Lachance et un autre expert en technologie interrogé par La Presse Canadienne affirment que les applications font bien ce qu’elles disent faire et ne peuvent pas collecter secrètement des données sur les utilisateurs.

«J’étais très sceptique lorsque j’ai entendu parler pour la première fois des intentions du gouvernement concernant ce type de technologie — cela aurait pu mal tourner à bien des égards», a confié M. Lachance en entrevue.

Mais il a plutôt été agréablement surpris de voir le gouvernement adopter un protocole international qu’il a décrit comme «incontestablement bien meilleur que tout ce que (le gouvernement) aurait pu proposer à l’interne».

Ce protocole, connu sous le nom de SMART Health Card, est également utilisé pour les passeports vaccinaux dans l’État de New York, la Louisiane et la Californie. La technologie est basée sur un code de réponse rapide contenant le nom d’une personne, sa date de naissance et des informations sur les vaccins qu’elle a reçus.

À compter du 1er septembre, les résidants du Québec devront présenter une preuve de vaccination pour visiter les entreprises que le gouvernement provincial juge non essentielles, comme les bars, les gyms et les restaurants. Cette preuve se présentera sous la forme d’un code de réponse rapide — ou code QR — distribué aux résidants vaccinés par le ministère de la Santé.

 

Signature cryptographique

Mercredi, Québec a publié les applications qui seront utilisées pour alimenter son système de passeport vaccinal sur les appareils Apple: VaxiCode Verif pour les entreprises et VaxiCode pour les clients. Les versions Android devraient sortir plus tard dans la semaine. Les résidants du Québec sont encouragés à télécharger VaxiCode et à y ajouter leur code QR.

VaxiCode Verif est une application de lecture qui lit les données contenues dans le code QR, y compris une signature cryptographique pour vérifier l’authenticité du code. Ce lecteur pourrait lire un code QR téléchargé sur l’application VaxiCode, une version papier du code, ou une photo ou un PDF du code.

«C’est très, très facile de générer de faux codes QR, mais il est impossible de générer de faux codes QR avec la vraie signature», a indiqué M. Lachance. «Je peux générer un million de faux codes QR en une minute, mais aucun d’entre eux ne fonctionnera jamais.»

«C’est comme saisir un morceau de plastique et découper une carte de débit. Mettez-la dans la machine, pensez-vous que cela va fonctionner?»

La signature cryptographique de chaque code QR est validée dans l’application VaxiCode Verif, sans qu’il soit nécessaire de se connecter à un serveur externe ou à une base de données centralisée. Cela protège la confidentialité, a expliqué M. Lachance, car aucune donnée n’est envoyée au gouvernement ou au fabricant d’applications Akinox pendant le processus de numérisation.

Felix Lapalme, un développeur iOS de l’entreprise technologique montréalaise Transit, a déclaré qu’il avait téléchargé l’application et examiné les fichiers à l’intérieur.

«L’application ne fait rien de vraiment suspect», a-t-il dit mercredi en entrevue.

Il a déclaré que même si les utilisateurs permettent à l’application de se mettre à jour automatiquement, il ne semble pas y avoir de fichiers sur le logiciel qui permettraient à l’application de commencer à accéder aux données de localisation.

M. Lapalme a ajouté que sa plus grande préoccupation est que les clés cryptographiques utilisées pour valider les codes QR ne se trouvent que sur l’application et non en ligne, ce qui est une fonctionnalité qui fait partie de la norme SMART.

«Cela pourrait compliquer les choses si les Québécois veulent que leurs codes QR soient validés dans d’autres pays (qui) n’ont pas l’application spécifique au Québec», a-t-il noté.

Ce que M. Lapalme aime à propos de l’application VaxiCode est qu’elle montre aux utilisateurs toutes les informations stockées dans leur code QR, ce qui, selon lui, pourrait apaiser les problèmes de confidentialité.

M. Lachance a indiqué que la seule faiblesse du système est que même si VaxiCode Verif n’enregistre pas de données, il ne serait pas difficile pour quelqu’un de créer une autre application qui le fait et de l’utiliser pour lire les codes des clients. Mais il serait difficile pour une application comme celle-ci d’être largement distribuée, a-t-il déclaré.

Cependant, la possibilité que quelqu’un puisse créer une autre application de lecture et l’utiliser pour voler les données des gens inquiète Steve Waterhouse, chargé de cours en sécurité de l’information à l’Université de Sherbrooke et ancien agent de sécurité des systèmes d’information au ministère de la Défense nationale.

«C’est comme une arnaque de carte de crédit dans une station-service — vous avez quelqu’un qui glisse la carte deux fois, une fois pour voler les informations, l’autre fois pour que les bonnes transactions soient effectuées», a-t-il illustré dans une entrevue mercredi. «La même chose peut arriver avec quelqu’un qui se contente de documenter des codes QR encore et encore.»

M. Waterhouse craint également que si une nouvelle version de l’application permettant de suivre les données de localisation est publiée, les utilisateurs pourraient ne pas remarquer les demandes d’informations supplémentaires ou les modifications des conditions d’utilisation et la télécharger de toute façon.

Il a dit qu’il préférerait que le gouvernement utilise un système uniquement papier qui n’implique pas d’applications pour téléphone.

Sur le même sujet

Microsoft va abandonner LinkedIn en Chine, soumis à de strictes régulations

14/10/2021 | AFP

Microsoft était le dernier de la tech américain à être présent de manière légale et soutenue sur l'Internet chinois.

TikTok expose les jeunes à la désinformation sur les vaccins, selon une étude

Un enfant de 9 ans a aussi été en mesure de se créer un compte sans problème, bien que l'âge minimal soit de 13 ans.

À la une

Bourse: Wall Street termine la semaine en forme, meilleure semaine depuis juin

Mis à jour à 17:05 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de Toronto clôture en hausse avec le cours du pétrole brut.

À surveiller: Nuvei, Target et Air Canada

Voici quelques recommandations d’analystes susceptibles de faire bouger les cours prochainement.

Le bitcoin s'envole, le régulateur américain envisage d'ouvrir un peu plus le marché

12:09 | AFP

Le gendarme boursier américain envisage d'autoriser des fonds indiciels (ETF) liés à la cryptomonnaie.