/news/techno

Preuve vaccinale: des enjeux de sécurité soulevés autour du code QR

Passeport vaccinal

Capture d'écran

Les informations contenues dans les codes QR envoyés en guise de preuve vaccinale au Québec sont relativement aisées à lire puisqu’elles ne sont pas chiffrées, soulevant des enjeux de sécurité.

• À lire aussi: Passeport vaccinal: des balises nécessaires pour guider le déploiement

• À lire aussi: Le passeport vaccinal doit respecter la vie privée, estiment les commissaires

• À lire aussi: 84 000 Québécois ont téléchargé leur preuve vaccinale numérique

Depuis le 13 mai, les personnes vaccinées contre la COVID-19 reçoivent un courriel leur permettant de télécharger une preuve vaccinale sous forme de code QR. Ce dernier contient des informations telles que le nom, la date de naissance et le sexe de la personne ainsi que la date, l’heure et le lieu où elle a obtenu son vaccin.

Ces informations ne sont pas chiffrées, mais simplement encodées, a expliqué à l’Agence QMI un ancien officier de sécurité à la défense nationale, Steve Waterhouse. Cela veut dire qu’elles sont «converties sans utiliser un algorithme mathématique complexe» et, donc, qu’il n’y a nul besoin d’une clé secrète pour accéder aux informations que les codes QR contiennent.

Ainsi, si quelqu’un partage une photo de son code QR sur les réseaux sociaux, par exemple, il est possible d’en extraire les informations qui s’y trouvent.

Pour M. Waterhouse, ceci entraîne un risque pour la protection de la vie privée. «Quiconque va scanner le code QR va avoir accès à ces informations», a-t-il souligné.

«Le fichier se décode très facilement, a renchéri Guillaume Labbé-Morissette, coanimateur du balado sur la cybersécurité "La French Connection". Ça serait considéré comme une épreuve pour débutant dans une compétition de sécurité informatique».

«La confusion doit provenir d’un détail technique entre encryption et signature», a répondu une porte-parole du ministère de la Santé et des Services sociaux, Marjorie Larouche. «[L]'information que contient le code QR n’est pas encryptée, mais elle possède une signature cryptographique pour permettre d’en valider l’authenticité [...] grâce à une “clé” du MSSS.»

Cette clé secrète est utilisée pour signer le document et prouver qu’il est valide. Sans connaître cette clé, il est impossible de créer soi-même une preuve de vaccination ou de falsifier le document.

Mme Larouche ajoute que ce format numérique ne contient «pas plus d’information [...] que ce qui est requis. Le principe est de laisser le citoyen détenteur de sa propre information, libre de choisir à qui il le divulgue, avec qui il accepte de le partager.»

La porte-parole rapporte qu’en date du 31 mai, 3 156 743 preuves avaient été téléchargées. «Aucun cas de fraude en lien avec l’utilisation de la preuve vaccinale n’a été porté à notre attention», a-t-elle assuré.