Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte
Radio -Canada
2021-08-31 13:30:00
Celui que nous avons baptisé Louis, parce qu'il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l'application de validation qu'utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non-vaccinés.
25 août : Louis informe le ministre
Dès le mercredi 25 août, jour de sortie de l'application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m'y prendre.
26 août : le Centre gouvernemental de cyberdéfense contacte Louis
Le jeudi matin 26 août, n'ayant pas reçu de réponse du ministre, le lanceur d'alerte montre à Radio-Canada ce qu'il a découvert.
Le reportage n'est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l'application après ce témoignage.
Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.
Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d'alerte : « Je suis très intéressé d'en apprendre plus sur la manière dont tu as mis en place ta preuve de concept ».
Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa « collaboration serait grandement appréciée », même de façon « anonyme ».
Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des poursuites criminelles.
27 août : Louis demande l'immunité
À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l'existence d'une faille de sécurité dans l'application, Louis écrit aux directeurs du CGCD ainsi qu'aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.
« Avec une lettre garantissant l'immunité [...], je vous donne l'info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin », est-il écrit dans le courriel de Louis, l'informaticien lanceur d'alerte, envoyé au gouvernement, le matin du 27 août.
Il ajoute même qu'il existe une deuxième faille dont il n'a pas parlé publiquement et il aimerait les aider à la corriger.
Louis explique dans son courriel au gouvernement qu'il souhaiterait que le Québec imite la France et mette en place un programme de bounty qui a récompensé les gens qui trouvent des failles dans l'application StopCOVID, plutôt que de les menacer.
À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit « bravo » à Louis pour sa découverte. Il affirme qu'il a « tendu des perches » à l'informaticien, par des « intermédiaires de confiance », pour qu'il puisse « parler en toute immunité », mais que Louis aurait « refusé » cette offre.
Cette information est vivement démentie par le lanceur d'alerte. Même l'attachée de presse du ministre, Nathalie St-Pierre, affirme aujourd'hui qu'Éric Caire « n'a jamais dit qu'il offrait l'immunité ».
D'ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe « a récemment réfléchi à la mise en place d'un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n'a pas été définie ».
L'informaticien anonyme répond au courriel : « Donnez-moi cette protection (...) et je vous informerai si vos corrections fonctionnent ou pas ».
« Je suis seulement une bonne personne qui voulait vous aider », a mentionné Louis dans son courriel, envoyé au gouvernement, le soir du 27 août.
En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n'a pas encore détaillé à quiconque du gouvernement sa démarche.
28 août : pas d'immunité, mais le gouvernement a besoin de lui
En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu'il le croit de bonne foi : « À notre connaissance, tu n'as pas utilisé ta découverte à des fins autres que des tests ». Il ne peut toutefois lui offrir de protection.
« Je comprends bien ton dilemme, mais sache que nous n'avons aucune autorité sur des enquêtes potentielles ou immunités », a écrit Steve Gauthier, directeur au Centre gouvernemental de cyberdéfense, dans un courriel adressé à Louis.
Steve Gauthier ajoute qu'une mise à jour de l'application va être faite pour pallier le problème, mais « il serait apprécié qu'on puisse vérifier qu'elle corrige ce qui a été trouvé de ta part ».
Le dossier dans les mains de la SQ
La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.
Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. « S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer ».
Il a commis « une fraude », dit l'attachée de presse du ministre Caire.
« C'est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler », a déclaré Nathalie St-Pierre, attachée de presse du ministre Éric Caire.
Le dossier de Louis « est entre les mains de la Sûreté du Québec », nous a appris le cabinet du ministre.
Anonyme
il y a 3 ansPas dans la mémoire des ti-counes comme l'attaché du ministre Caire, ou celle du directeur au Centre gouvernemental de cyberdéfense.
Plutôt dans les mémoires des lanceurs d'alertes que l'état s'emploit à menacer.
Anonyme
il y a 3 ansC'est clair que ça ne donne pas envie d'être un lanceur d'alerte. Par contre, il aurait pu s'y prendre autrement en ne négociant pas la mise en place d'un programme de "bounty" et en se trouvant un avocat pour négocier l'octroi de l'immunité contre des poursuites.
Le gouvernement est ch... sur cette histoire.
Sébastien Robidas
il y a 3 ansLa fraude est au gouvernement du Québec! Il viol la charte canadienne des droits et libertés en imposant ce passeport vaccinal, la ségrégation est un crime, mais le Québec et le Canada ont une très très longue histoire avec la ségrégation.
À quel moment les gens vont se réveiller, à quel moment ils ouvriront les yeux, par-ce qu'en ce moment et même depuis le début, il n'y a jamais eu de cadavre dans les rues.
Pirlouit
il y a 3 ansMême si le passeport vaccinal va à l'encontre de la Charte le tribunal pourrait juger que c'est acceptable "dans une société libre et démocratique". Mais la question est intéressante, c'est sûr.
Quand aux cadavres dans les rues je dirais que
1. La covid19 ce n'est pas la peste noire;
2. On n'est pas au Moyen-Âge, il y a des services pour éviter que le monde meurent dans la rue;
3. Peut-être qu'il y a moins de mort justement parce que le ou les gouvernements prennent ou ont pris des mesures. Sans quoi le bilan aurait probablement été beaucoup plus lourd;
Anonyme
il y a 3 ansFranchement, c'est du français, ça ? Même les journalistes de Radio-Canada auraient pu deviner
que le ministre voulait dire en toute sérénité, sérénité ne voulant pas forcément dire immunité.
Quoiqu'il en soit, pauvre Louis!