PHOTOS STEVENS LEBLANC, JOSIE DESMARAIS ET D'ARCHIVES, STEVENS LEBLANC, PIERRE-PAUL POULIN ET AGENCE QMI
« Un jeu d'enfant » a résumé à notre Bureau d'enquête une source très près de ce dossier.
Avec de simples informations qui traînaient sur internet et un logiciel de chiffrement pour trouver le numéro d'assurance maladie, des hackers ont pu mettre la main sur les précieux codes QR et les informations qui s'y rattachent.
Il s'agit de renseignements personnels qui sont habituellement protégés par la loi d'accès à l'information.
Plusieurs personnes visées avaient aussi affiché sur les réseaux sociaux le lieu où ils ont été vaccinés ainsi que la date.
Infos mal sécurisées
« Le nom, prénom, date de naissance, lieu de vaccination... C'est facile à obtenir. Ce sont des informations mal sécurisées. Tu peux ainsi télécharger le code QR de n'importe qui », a expliqué notre source, ajoutant que la configuration du site internet facilite le vol de preuve vaccinale.
Ainsi, les preuves vaccinales du premier ministre François Legault, de son ministre de la Santé Christian Dubé et celle du ministre délégué à la Transformation numérique Éric Caire ont facilement été téléchargées.
Ce dernier avait pourtant assuré mardi que le code QR ne pouvait être falsifié ou copié.
Les chefs des oppositions à Québec, des chroniqueurs-vedettes ainsi que des personnalités de la scène municipale font également partie des personnes visées à titre d'exemple par les pirates.
« Si on a le bon [numéro] d'assurance maladie, ça nous dit si la date n'est pas bonne », a-t-il poursuivi. Cette personne a aussi souligné qu'elle pouvait multiplier les requêtes sans la moindre embûche.
Selon des experts en sécurité informatique, ce geste démontre qu'une personne n'ayant pas reçu ses vaccins pourrait facilement se créer une fausse identité lui permettant d'entrer dans les commerces non essentiels dès le 1er septembre.
Plainte à la police
Il est facile d'utiliser la preuve vaccinale d'un inconnu et de se créer une fausse carte d'identité, surtout que les codes QR ne sont pas associés à une photographie, ont noté ceux-ci.
« Le système n'empêchera personne de voler l'identité de quelqu'un d'autre s'il le désire vraiment. Il s'agit simplement de télécharger le code de quelqu'un qu'on connaît - qu'on a assez d'information - et faire une fausse carte étudiante ou autre », a affirmé Patrick Mathieu, cofondateur du Hackfest et expert en sécurité de l'information.
« Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu'un d'autre et d'usurper son identité. »
Informé par notre Bureau d'enquête, le cabinet du premier ministre a dit prendre cette menace très au sérieux et compte déposer une plainte « formelle » à la police.
« Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative », a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves.
Manque de vérification
De son côté, l'expert Steve Waterhouse est d'avis que le gouvernement aurait toutefois dû consulter des spécialistes en sécurité de l'information avant de distribuer des codes QR à la population.
« C'est un déploiement qui a manqué de vérification de base en cybersécurité, de la conception de la solution à sa mise en service », a-t-il souligné.
Commentaire : Retrouvez-nous sur les réseaux sociaux :