Le passeport vaccinal : quels sont réellement les risques de sécurité?

La solution choisie par le gouvernement du Québec n’est pas entièrement faite maison : elle se base sur les travaux du Vaccine Credentials Initiative(Nouvelle fenêtre), une coalition d’organismes technologiques et de santé dont l’objectif est d’établir une norme universelle de vérification de renseignements cliniques. Le code QR qui contient les informations identifiantes et vaccinales du citoyen se fonde sur le protocole Smart Health Card (SHC), qui sert à créer des versions numériques ou papier de renseignements cliniques.

Ce n’est pas non plus le gouvernement du Québec qui a mis au point le système de passeport vaccinal : l’application que pourront télécharger bientôt les Québécois ainsi que celle dont se serviront les commerçants pour numériser les codes QR ont été développées par l’entreprise lévisienne Akinox Solutions. C’est également Akinox qui fournit les preuves vaccinales à la population, qui gère la plateforme du concours « Gagner à être vacciné » et qui a créé la plateforme de gestion de cas COVID du gouvernement, laquelle sert notamment au traçage de contacts.

Le protocole Smart Health Card : la bonne solution?

Lorsqu’un commerçant numérise le code QR à l’aide d’une application mobile, il peut voir le nom, le prénom, le sexe, la date de naissance et les informations vaccinales (doses, dates et types de vaccin) du client. Avec cette version québécoise du code QR SHC, il pourra également savoir si et quand le client a reçu un diagnostic positif de COVID-19, puisque les personnes ayant contracté la maladie n’ont besoin que d’une dose de vaccin pour être considérées comme adéquatement vaccinées, confirme Akinox. L’identité du client doit ensuite être validée à l’aide d’une autre pièce d’identité.

Ces informations sont encodées dans le code QR, qui a une signature cryptographique du gouvernement du Québec. Cela fait en sorte qu’il est infalsifiable et que l’application qu’utiliseront les commerçants rejettera d’emblée tout code QR qui ne contient pas cette signature cryptographique. Le système fonctionne sans connexion Internet : les informations ne doivent donc pas passer par un serveur pour être validées. Elles ne sont pas non plus gardées en mémoire dans l’application du commerçant, et aucune information de géolocalisation n’est enregistrée.

Le code QR fonctionne sans connexion Internet.

PHOTO : CAPTURE D’ÉCRAN SMARTHEALTH.CARDS

Cependant, d’après le conseiller en sécurité informatique et cofondateur du Hackfest, Patrick Mathieu, le fait que les commerçants puissent voir les renseignements personnels en numérisant le code QR pose problème en ce qui concerne la vie privée. Selon la Commission d’accès à l’information du Québec, toute information qui permet d’identifier une personne physique est un renseignement personnel et doit être considérée comme confidentielle. Selon M. Mathieu, cela fait du protocole SHC une solution très imparfaite.

Ils auraient pu choisir un système où on ne voit pas ces informations-là, estime-t-il. Tout le monde a un numéro de RAMQ au Québec, et toutes les cartes RAMQ ont un code-barres dessus. Ils auraient pu mettre le numéro de RAMQ dans le code QR. Tu scannes le code-barres, tu scannes le code QR, et si ça concorde, c’est la bonne personne. Ce n’est pas parfait, mais c’est une solution possible parmi des dizaines.

L’analyste en cybersécurité Steven Lachance croit au contraire que le protocole SHC est extraordinaire.

C’est quand même très minime comme information, surtout que les données ne sont pas enregistrées, transférées ou quoi que ce soit. N’importe quelle pièce d’identité contient non seulement ces informations-là, mais beaucoup plus de choses aussi, relativise-t-il.

L’une des forces du protocole SHC est le fait qu’il est un standard ouvert et international, dit Steven Lachance.

Il n’y a aucune raison de croire qu’il serait possible de briser le système, et on dirait que ça deviendra le gros standard en Amérique du Nord. Le Québec, la Californie, New York et la Louisiane l’utilisent, Walmart l’utilise déjà dans ses pharmacies américaines depuis longtemps, et Apple vient d’annoncer un soutien officiel pour le protocole pour l’Apple Wallet, ajoute-t-il.

Le passeport vaccinal new-yorkais est aussi basé sur le protocole Smart Health Card.

PHOTO : AFP VIA GETTY IMAGES / CHRIS DELMAS

Des informations personnelles à la portée des commerçants

Il n’en demeure pas moins qu’il existe des moyens d’enregistrer les données des clients si l’on se sert d’une application malveillante, comme l’ont rapporté plusieurs médias.

Toute personne malicieuse, que ce soit un commerçant ou l’employé qui fait le scan, peut utiliser sa propre application de scanning au lieu de celle du gouvernement pour enregistrer les données de toute personne qui entre chez eux. Ils peuvent les garder dans le temps et faire ce qu’ils veulent avec elles, déplore-t-il, rappelant que le Hackfest a mis au point une preuve de concept d’un tel outil.

Que pourraient faire les commerçants avec ces données? Patrick Mathieu cite en exemple une entreprise ayant plusieurs succursales, qui décide de croiser les données d’un client pour savoir quels magasins il visite, ou simplement noter combien de fois par semaine il entre dans un commerce, même si on s’entend que le risque est très faible.

La communauté du Hackfest a créé un outil qui permet d’emmagasiner les données d’un code QR québécois.

PHOTO : CAPTURE D’ÉCRAN HACKFEST.CA

D’après Steven Lachance, il ne faut pas craindre ce type de dérapage.

C’est vraiment essayer de s’imaginer le pire scénario, résume-t-il. Je ne vois pas pourquoi les commerçants feraient ça, parce que le jeu n’en vaut pas la chandelle. Le risque est gigantesque par rapport à ce que ça peut rapporter, surtout que ce serait probablement un acte criminel. Le gouvernement impose aux commerçants de scanner le code QR, et sûrement que l’une des clauses de cette entente est qu’il faut que ce soit avec l’application officielle.

Un autre scénario catastrophe qui a déjà été évoqué est celui de suivre les déplacements d’une personne à la trace. Cela nécessiterait un réseau clandestin de commerçants et d’employés qui scannent secrètement le code QR avec une autre application sans qu’il y ait jamais personne qui s’en rende compte, illustre Steven Lachance. C’est extrêmement tiré par les cheveux et je ne comprends pas pourquoi ça arriverait.

Un exemple plus envisageable, selon Patrick Mathieu, en est un de cyberharcèlement. Par exemple, un employé peut se dire : « Ah, cette femme-là est belle, je vais prendre son nom en note et aller la trouver sur Facebook”. Des niaiseries du genre, ça arrive tous les jours. Google a congédié du monde il y a quelques semaines parce qu’ils fouillaient dans des données personnelles, dit-il.

Les deux experts s’entendent toutefois pour dire que le risque de vente de données par un commerçant mal intentionné est minime, entre autres parce que les noms et les dates de naissance n’ont pas grande valeur et sont trouvables à d’autres endroits.

Débat philosophique

Au bout du compte, le débat entourant le passeport vaccinal est davantage philosophique que technologique, selon les deux experts consultés.

Le point qu’on entend souvent, c’est que ce n’est pas grave, qu’on donne déjà ces données-là à Facebook, à plein de commerçants et tout ça, dit Patrick Mathieu. L’enjeu n’est pas à ce niveau-là : c’est surtout que le gouvernement te force à divulguer ces informations pour accéder à des endroits où tu ne devrais pas avoir à le faire. Il y a un impact sur les droits et libertés, et on fournit ces informations à des gens en qui on n’a pas confiance. Ce n’est pas la même chose que donner des informations confidentielles à un médecin. On les donne à Ginette qui travaille au coin de la rue.

La preuve vaccinale de COVID-19 du gouvernement du Québec, sous forme de code QR.

PHOTO : RADIO-CANADA / OLIVIA LAPERRIÈRE-ROY

C’est vrai qu’un bottin avec des dates de naissance, ce n’est pas si grave. Mais si aujourd’hui on accepte ça, demain on pourrait accepter autre chose, ajoute Patrick Mathieu.

Steven Lachance est d’accord sur le fait que l’instauration du passeport vaccinal peut créer un précédent vers de nouveaux dérapages en matière de vie privée, mais maintient que le protocole SHC est la meilleure solution technologique qui existe pour un passeport vaccinal.

Si l’on s’en tient à la technologie, les risques ne sont pas au niveau de la sécurité informatique ou des données personnelles. Est-ce qu’après ça on aura plus de systèmes de contrôle? Ça, c’est une autre question.

La Ligue des droits et libertés a notamment critiqué la décision du gouvernement provincial d’instaurer un passeport vaccinal sans débat public, et les modalités entourant la fin de l’utilisation du passeport vaccinal n’ont pas encore été communiquées alors qu’il entrera en vigueur le 1er septembre.

La sécurité des données chez Akinox

Les deux experts s’entendent également pour dire que confier la gestion de données de santé sensibles à une entreprise privée représente un risque de sécurité. Mais cet enjeu excède le passeport vaccinal, parce qu’Akinox s’est vu confier plusieurs mandats en lien avec la COVID-19 par le gouvernement du Québec.

C’est de l’expertise qu’on devrait avoir à l’interne. Faire affaire avec une entreprise privée fait probablement juste augmenter les coûts et multiplier les risques. Nos données sont beaucoup plus en sécurité avec le gouvernement et c’est beaucoup plus facile de contrôler et auditer les pratiques autour des données au gouvernement que dans une entreprise privée, fait savoir Steven Lachance.

Patrick Mathieu estime pour sa part qu’Akinox a des lacunes sur le plan de la cybersécurité. [La communauté Hackfest] a trouvé des problématiques techniques et des bogues dans le scanneur de codes QR. Ce n’est pas très bien fait, dit-il.

Akinox, c’est une petite PME qui n’a personne en vie privée, personne en sécurité… Ce n’est pas leur domaine, et qu’ils gèrent des données sensibles, c’est inacceptable. Ce n’est pas de la faute à Akinox, mais c’est inacceptable que le gouvernement fasse affaire avec une entreprise où personne ne peut parler sécurité, critique-t-il.

L’entreprise lévisienne Akinox Solutions a mis au point le système de passeport vaccinal québécois.

PHOTO : LINKEDIN AKINOX

Le fondateur et PDG d’Akinox, Alexander Dahl, rejette ces accusations du revers de la main.

On est 60 personnes dans l’entreprise, dont des personnes qui viennent de compagnies avec des sites à haut volume comme Ticketmaster. On a un responsable de sécurité et un agent de conformité, explique le PDG.

Ça fait des années qu’on œuvre dans le domaine de la santé, et ça fait 11 ans qu’on est en opération avec des données très sensibles. On travaille de manière exhaustive pour s’assurer de la sécurité, et on a de nombreux audits par des firmes externes et par l’équipe de cybersécurité du ministère, ajoute M. Dahl.

Akinox a également été critiquée parce que la politique de confidentialité de son site web indique que des renseignements recueillis sur son site web et ses solutions (produits) peuvent être utilisés à des fins de marketing ou de publicité ou partagés avec des tiers. Mais Alexander Dahl et le MSSS assurent que cette politique s’applique uniquement aux données recueillies sur le site web d’Akinox, notamment au moyen du formulaire de contact. D’ailleurs, aucune information de la sorte n’apparaît dans la politique de confidentialité de la preuve vaccinale d’Akinox.

Le porte-parole du MSSS Robert Maranda assure que la preuve vaccinale et l’inscription à la loterie vaccinale sont encadrées par une politique de confidentialité qui respecte les exigences gouvernementales en matière de protection des renseignements personnels et de vie privée.

M. Maranda affirme que cette politique de confidentialité sera prochainement mise à jour afin de clarifier certaines informations pour les citoyens, notamment en ce qui a trait au passeport vaccinal et à l’application de lecture de codes QR.