Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte – Radio-Canada

Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte – Radio-Canada

  • Post category:Technologie
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Vu ici en compagnie de la journaliste Camille Carpentier, Louis ne souhaite pas être identifié par peur de représailles.
PHOTO : RADIO-CANADA
 
L’informaticien qui a trouvé la brèche de sécurité dans l’application de passeport sanitaire avait offert son aide au ministre Éric Caire dès le 25 août.
 

Contrairement à ce qu’a déclaré le ministre de la Transformation numérique, Éric Caire, le gouvernement du Québec n’a jamais offert d’immunité à l’informaticien qui a découvert la faille de sécurité dans l’application de passeport sanitaire VaxiCode. Des échanges de courriels obtenus par Radio-Canada révèlent les dessous de cette affaire et démontrent que le lanceur d’alerte avait offert son aide dès le premier jour, mais pas sans protection.

Celui que nous avons baptisé Louis, parce qu’il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l’application de validation qu’utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non-vaccinés.

25 août : Louis informe le ministre

Dès le mercredi 25 août, jour de sortie de l’application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m’y prendre.

26 août : le Centre gouvernemental de cyberdéfense contacte Louis

Le jeudi matin 26 août, n’ayant pas reçu de réponse du ministre, le lanceur d’alerte montre à Radio-Canada ce qu’il a découvert.

Le reportage n’est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l’application après ce témoignage.

Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.

Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d’alerte : « Je suis très intéressé d’en apprendre plus sur la manière dont tu as mis en place ta preuve de concept ».

Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa collaboration serait grandement appréciée, même de façon anonyme.

Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu’ils s’exposent à des poursuites criminelles.

27 août : Louis demande l’immunité

À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l’existence d’une faille de sécurité dans l’application, Louis écrit aux directeurs du CGCD ainsi qu’aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.

Avec une lettre garantissant l’immunité […], je vous donne l’info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin.

Une citation de :Extrait du courriel de Louis, l’informaticien lanceur d’alerte, envoyé au gouvernement, le matin du 27 août

Il ajoute même qu’il existe une deuxième faille dont il n’a pas parlé publiquement et il aimerait les aider à la corriger.

Louis explique dans son courriel au gouvernement qu’il souhaiterait que le Québec imite la France et mette en place un programme de bounty qui a récompensé les gens qui trouvent des failles dans l’application StopCOVID(Nouvelle fenêtre), plutôt que de les menacer.

Éric Caire en entrevue à l'extérieur.

Éric Caire est aussi ministre responsable de la Protection des renseignements personnels.

PHOTO : RADIO-CANADA / GUILLAUME CROTEAU-LANGEVIN

À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit bravo à Louis pour sa découverte. Il affirme qu’il a tendu des perches à l’informaticien, par des intermédiaires de confiance, pour qu’il puisse parler en toute immunité, mais que Louis aurait refusé cette offre.

Cette information est vivement démentie par le lanceur d’alerte. Même l’attachée de presse du ministre, Nathalie St-Pierre, affirme aujourd’hui qu’Éric Caire n’a jamais dit qu’il offrait l’immunité.

D’ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe a récemment réfléchi à la mise en place d’un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n’a pas été définie.

L’informaticien anonyme répond au courriel : Donnez-moi cette protection […] et je vous informerai si vos corrections fonctionnent ou pas.

Je suis seulement une bonne personne qui voulait vous aider.

Une citation de :Extrait d’un courriel de Louis, l’informaticien lanceur d’alerte, envoyé au gouvernement, le soir du 27 août

En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n’a pas encore détaillé à quiconque du gouvernement sa démarche.

28 août : pas d’immunité, mais le gouvernement a besoin de lui

En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu’il le croit de bonne foi : À notre connaissance, tu n’as pas utilisé ta découverte à des fins autres que des tests. Il ne peut toutefois lui offrir de protection.

Je comprends bien ton dilemme, mais sache que nous n’avons aucune autorité sur des enquêtes potentielles ou immunités.

Une citation de :Extrait d’un courriel de Steve Gauthier, directeur au Centre gouvernemental de cyberdéfense, adressé à Louis

Steve Gauthier ajoute qu’une mise à jour de l’application va être faite pour pallier le problème, mais il serait apprécié qu’on puisse vérifier qu’elle corrige ce qui a été trouvé de ta part.

Le dossier dans les mains de la SQ

La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.

Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l’informaticien sa démarche qui l’a rapidement amené à parler aux médias. S’il n’était pas sorti publiquement, on aurait pu éventuellement collaborer.

Il a commis une fraude, dit l’attachée de presse du ministre Caire.

C’est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler.

Une citation de :Nathalie St-Pierre, attachée de presse du ministre Éric Caire

Le dossier de Louis est entre les mains de la Sûreté du Québec, nous a appris le cabinet du ministre.

SOURCE: RADIO-CANADA