Preuve vaccinale du PM piratée

Répondre
Avatar du membre
cgelinas
Administrateur
Messages : 7781
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

Des hackers ont facilement réussi à télécharger les codes QR d’au moins six politiciens et de chroniqueurs

Jetant encore plus de doute sur la sécurité du passeport vaccinal, des pirates informatiques ont facilement téléchargé hier les preuves vaccinales du premier ministre du Québec, François Legault, et des membres de son cabinet.

« Un jeu d’enfant » a résumé à notre Bureau d’enquête une source très près de ce dossier.

Avec de simples informations qui traînaient sur internet et un logiciel de chiffrement pour trouver le numéro d’assurance maladie, des hackers ont pu mettre la main sur les précieux codes QR et les informations qui s’y rattachent.

Il s’agit de renseignements personnels qui sont habituellement protégés par la loi d’accès à l’information.

Plusieurs personnes visées avaient aussi affiché sur les réseaux sociaux le lieu où ils ont été vaccinés ainsi que la date.

Ainsi, les preuves vaccinales du premier ministre François Legault, de son ministre de la Santé Christian Dubé et celle du ministre délégué à la Transformation numérique Éric Caire ont facilement été téléchargées.

Ce dernier avait pourtant assuré mardi que le code QR ne pouvait être falsifié ou copié.

Les chefs des oppositions à Québec, des chroniqueurs-vedettes ainsi que des personnalités de la scène municipale font également partie des personnes visées à titre d’exemple par les pirates.

Infos mal sécurisées

« Le nom, prénom, date de naissance, lieu de vaccination... C’est facile à obtenir. Ce sont des informations mal sécurisées. Tu peux ainsi télécharger le code QR de n’importe qui », a expliqué notre source, ajoutant que la configuration du site internet facilite le vol de preuve vaccinale.

« Si on a le bon [numéro] d’assurance maladie, ça nous dit si la date n’est pas bonne », a-t-il poursuivi. Cette personne a aussi souligné qu’elle pouvait multiplier les requêtes sans la moindre embûche.

Selon des experts en sécurité informatique, ce geste démontre qu’une personne n’ayant pas reçu ses vaccins pourrait facilement se créer une fausse identité lui permettant d’entrer dans les commerces non essentiels dès le 1er septembre 2021.

Plainte à la police

Il est facile d’utiliser la preuve vaccinale d’un inconnu et de se créer une fausse carte d’identité, surtout que les codes QR ne sont pas associés à une photographie, ont noté ceux-ci.

« Le système n’empêchera personne de voler l’identité de quelqu’un d’autre s’il le désire vraiment. Il s’agit simplement de télécharger le code de quelqu’un qu’on connaît – qu’on a assez d’information – et faire une fausse carte étudiante ou autre », a affirmé Patrick Mathieu, cofondateur du Hackfest et expert en sécurité de l’information.

« Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu’un d’autre et d’usurper son identité. »

Informé par notre Bureau d’enquête, le cabinet du premier ministre a dit prendre cette menace très au sérieux et compte déposer une plainte « formelle » à la police.

« Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative », a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves.

Manque de vérification

De son côté, l’expert Steve Waterhouse est d’avis que le gouvernement aurait toutefois dû consulter des spécialistes en sécurité de l’information avant de distribuer des codes QR à la population.

« C’est un déploiement qui a manqué de vérification de base en cybersécurité, de la conception de la solution à sa mise en service », a-t-il souligné.



Source: Journal de Québec



-- -- --
Fichiers joints
PHOTOS STEVENS LEBLANC, JOSIE DESMARAIS ET D'ARCHIVES, STEVENS LEBLANC, PIERRE-PAUL POULIN ET AGENCE QMI
PHOTOS STEVENS LEBLANC, JOSIE DESMARAIS ET D'ARCHIVES, STEVENS LEBLANC, PIERRE-PAUL POULIN ET AGENCE QMI
ils-se-sont-fait-pirater-leurs-qr-code.jpg (67.51 Kio) Vu 782 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Avatar du membre
cgelinas
Administrateur
Messages : 7781
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

Des fraudeurs pourraient facilement savoir où vous êtes allés et sauvegarder vos renseignements personnels

En moins de 15 heures, des hackers ont créé une application qui permet de copier les renseignements personnels inclus dans le passeport vaccinal et de suivre à la trace certains déplacements des Québécois.

Ces spécialistes bien intentionnés ne remettent pas en question l’importance du vaccin.

Mais ils voulaient ainsi démontrer que les renseignements personnels contenus dans le passeport vaccinal, qui sera obligatoire dès le 1er septembre notamment pour aller au restaurant ou au gym, ne sont pas bien protégés.

Notre Bureau d’enquête s’est entretenu avec l’un des hackers qui ont créé une application permettant de lire les fameux codes QR fournis par le gouvernement à tous ceux qui ont reçu le vaccin.

Nous avons aussi pu tester l’application avec succès et constater par nous-mêmes les deux principales brèches dans la protection des renseignements personnels.

« C’est super facile. On peut faire ce que l’on veut avec les informations ensuite », signale l’un des concepteurs qui nous a parlé à condition que son identité soit protégée.

Ce spécialiste fait partie de la communauté du Hackfest, un regroupement québécois d’experts en sécurité informatique reconnus dans l’industrie.

Pas sécuritaire

Le 12 août dernier, devant certaines craintes soulevées par les partis d’opposition, le premier ministre François Legault a défendu le passeport vaccinal en déclarant qu’il était « totalement sécuritaire ».

À moins de deux semaines de son entrée en vigueur, des spécialistes de la sécurité informatique sont inquiets.

« Je ne peux pas contrefaire [un code QR], c’est vrai. Mais, il n’y a rien qui m’empêche de lire et de sauvegarder vos informations », note le hacker.

Ce dernier encourage d’ailleurs les gens à aller se faire vacciner. « Le problème, c’est la technologie utilisée », plaide-t-il, estimant qu’une preuve en format papier sans code QR serait beaucoup plus sécuritaire.

Protéger la vie privée

Selon le fondateur du Hackfest, Patrick Mathieu, l’entreprise mandatée par Québec pour gérer la technologie derrière le passeport vaccinal, Akinox, manque d’expertise en sécurité informatique.

« À toutes les fois qu’on fait des vérifications, on trouve des problèmes », affirme-t-il.

Lorsque notre Bureau d’enquête a envoyé des questions à l’entreprise, c’est plutôt le ministère de la Santé et des Services sociaux qui nous a répondu.

M. Mathieu admet que la sécurité de l’information est un domaine complexe. Mais bien qu’il y ait une pandémie à combattre, le gouvernement doit s’assurer de protéger les renseignements personnels des Québécois, conclut-il.

AUX CITOYENS D’ÊTRE VIGILANTS, SOUTIENT LE GOUVERNEMENT

Québec refuse de prendre la responsabilité de la protection des données qui se retrouvent sur la preuve vaccinale des Québécois.

« Les citoyens sont responsables de la protection de leurs informations personnelles de vaccination. Pour éviter toute fraude potentielle, il est recommandé aux citoyens de garder leur preuve de vaccination pour eux, tout comme le lien unique reçu par courriel ou par texto », a affirmé la porte-parole du gouvernement, Marie-Louise Harvey.

Difficile, toutefois, de garder pour soi une preuve qu’on doit obligatoirement présenter à une tierce partie pour accéder à un lieu public.

Le ministère de la Santé et des Services sociaux (MSSS) recommande aussi de ne pas « partager une photo de la preuve vaccinale sur les réseaux sociaux ».

Afin de se faire rassurant, le MSSS soutient qu’il effectue néanmoins une vigie en continu, laquelle est assurée par des experts gouvernementaux en cybersécurité.

DEUX BRÈCHES DANS LE PASSEPORT

1. Suivre vos déplacements

Un commerçant qui détient plusieurs franchises peut facilement savoir où et quand vous avez fait scanner votre passeport vaccinal dans les dernières semaines, dans les établissements qui lui sont liés.

Il pourra ainsi étudier vos habitudes de consommation et les exploiter à des fins marketing.

Un réseau de commerçants pourraient aussi partager entre eux ces données pour faire un ciblage encore plus efficace.

2. Copier vos renseignements personnels

En scannant votre code QR, un commerçant a instantanément accès aux informations suivantes, qu’il peut sauvegarder :
  • Prénom
  • Nom de famille
  • Sexe
  • Date de naissance
  • Nom des vaccins reçus
  • Date et lieu de vaccination
Des commerçants mal intentionnés liés au crime organisé, par exemple, pourraient croiser ces données avec celles provenant d’autres fuites de données, comme celle qui a fait 9,7 millions de victimes chez Desjardins.

QUÉBEC MANQUE DE TRANSPARENCE SELON UN EXPERT

Le gouvernement Legault manque de transparence dans le dossier du passeport vaccinal, estime l’expert en éthique et politique Bryn Williams-Jones, qui craint pour la protection des renseignements personnels des citoyens en raison de la technologie utilisée.

« Il y a des questions à poser sur le volet technologique », croit celui qui est directeur du département de médecine sociale et préventive à l’École de santé publique à l’Université de Montréal.

Selon le professeur, l’attitude du premier ministre dans le dossier du passeport vaccinal est « paternaliste ».

« Ça va brimer la liberté d’accès à des services à certaines personnes. En contrepartie, il faut expliquer l’utilité de l’outil, démontrer qu’il est sécuritaire et qu’il respecte la Loi sur la protection des renseignements personnels. Le nerf de la guerre c’est la confiance », explique-t-il.

Mesure temporaire

Dans un texte qu’il a publié en mai dernier, son collègue Jocelyn Maclure, professeur en éthique à l’Université McGill, soulignait que le passeport vaccinal est une mesure juste, mais qui doit être temporaire.

« Une preuve d’immunisation ne sera plus nécessaire si l’immunité collective est atteinte », résume-t-il.

Toutefois, « l’instauration pour une période indéfinie [...] exigerait des justifications éthiques exceptionnellement fortes », poursuit-il.

Selon M. Williams-Jones, le gouvernement n’a toujours pas divulgué ni expliqué ses mécanismes de suivi, à l’aube de l’implantation du passeport.

En mai dernier, tous les commissaires à la protection de la vie privée du Canada ont réclamé dans une lettre que « les passeports vaccinaux doivent être élaborés et mis en œuvre dans le respect des lois applicables sur la protection des renseignements personnels. »

La Commission d’accès à l’information du Québec dit suivre avec intérêt le développement du passeport vaccinal auprès du ministère de la Santé.

Son porte-parole Xavier St-Gelais écrit par courriel que la Commission veut en « savoir plus quant aux enjeux de protection des renseignements personnels que soulève le déploiement de cette mesure. »



Source: Journal de Québec



-- -- --
Fichiers joints
L’application créée facilement par les hackers permet de voir les endroits précédents où vous avez scanné votre passeport (photo de gauche), et enregistre vos infos personnelles (photo de droite).
L’application créée facilement par les hackers permet de voir les endroits précédents où vous avez scanné votre passeport (photo de gauche), et enregistre vos infos personnelles (photo de droite).
le-code-pour-hacker-le-qr-code.jpg (32.96 Kio) Vu 781 fois
Pour avoir accès à des lieux non essentiels comme un restaurant ou une salle de spectacle, les Québécois devront faire scanner le code QR qui prouve qu’ils sont adéquatement vaccinés.<br /><br />PHOTO AGENCE QMI, JOËL LEMAY
Pour avoir accès à des lieux non essentiels comme un restaurant ou une salle de spectacle, les Québécois devront faire scanner le code QR qui prouve qu’ils sont adéquatement vaccinés.

PHOTO AGENCE QMI, JOËL LEMAY
code-qr-piraté.jpg (61.9 Kio) Vu 781 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Répondre