Vulnérabilités et passeport vaccinal

• Sam Harper / @acetum

Il devait faire chaud dans les bureaux du Ministère de la Santé et des Services sociaux (MSSS) vendredi matin.

Après avoir martelé que l’utilisation du code QR comme preuve vaccinale était sécuritaire à 100%, voilà que deux failles sont rapportées dans les médias.

Premièrement, des hackers ont démontré qu’il était possible de télécharger des preuves vaccinales qui ne nous sont pas destinées.

Deuxièmement, un autre individu a démontré qu’il était possible de créer de faux code QR de toute pièce.

En moins de 24 heures.

La réaction initiale du MSSS a été de diffuser un communiqué qui stipule que « des plaintes formelles ont déjà été déposées à la police. Les autorités compétentes feront enquête et détermineront si des accusations criminelles doivent être déposées. »

On comprend leur embarras. Cela fait des semaines que le Ministère nous dit que la solution envisagée est sécuritaire. Dans son communiqué, il persiste et signe. « Le MSSS réitère que le code QR est sécuritaire », peut-on y lire.

Pourtant, la preuve vaccinale était facile à télécharger. Il suffisait de connaître le nom et la date de naissance de la personne. Avec ces informations et quelques lignes de code, on peut déduire le numéro d’assurance maladie. Connaître la date d’administration et le manufacturier de la première dose du vaccin accélère le processus. Ces informations sont souvent faciles à trouver sur les réseaux sociaux.

Selon une source anonyme, certaines réponses renvoyées par le site facilitaient la tâche. « Si on a le bon [ numéro ] d’assurance maladie, ça nous dit si la date n’est pas bonne », nous a-t-il expliqué. De plus un autre message permet de savoir si on a fourni le mauvais nom de manufacturier.

Selon cette personne, on est « capable de faire beaucoup de requêtes et rien ne [ nous ] en empêche. »

Retourner des messages d’erreurs aussi utiles pour un hacker est une pratique à proscrire. Cela donne des indices et c’est la première chose qu’un chercheur en sécurité va regarder.

Une autre pratique de sécurité est de mettre en place des mesures pour empêcher la « force brute ». C’est-à-dire empêcher que l’on puisse essayer toutes les combinaisons possibles d’un numéro d’assurance maladie avant de trouver le bon.

Cela ne semble pas avoir été fait adéquatement.

Heureusement que ces deux failles ont été trouvées par des personnes ayant le bien commun en tête. Une personne peu scrupuleuse aurait pu vendre ses services de création de faux code QR. Une personne mal intentionnée aurait pu diffuser publiquement les preuves vaccinales. Ce n’est pas ce qui s’est passé. Les hackers qui ont trouvé ces failles ont contacté des journalistes. Ils ont voulu que ces risques soient connus et pris au sérieux.

Au lieu d’appeler la police, on devrait peut-être songer à les remercier.

Il n’existe actuellement pas de mécanisme officiel pour qu’un ou une hacker ayant trouvé une vulnérabilité puisse la communiquer au gouvernement.

Ce serait une bonne idée de le mettre en place.

Ce serait plus utile que de répéter que tout va bien.

Crédit photo: EFF - licence CC BY