Nouvelles

Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte

Main image

Radio -Canada

2021-08-31 13:30:00

Le gouvernement du Québec a refusé de protéger l’informaticien qui a découvert la faille de sécurité dans l’application de passeport sanitaire. Déroulement des évènements…
Vu ici en compagnie de la journaliste Camille Carpentier, Louis ne souhaite pas être identifié par peur de représailles. Source : Radio-Canada
Vu ici en compagnie de la journaliste Camille Carpentier, Louis ne souhaite pas être identifié par peur de représailles. Source : Radio-Canada
Contrairement à ce qu'a déclaré le ministre de la Transformation numérique, Éric Caire, le gouvernement du Québec n'a jamais offert d'immunité à l'informaticien qui a découvert la faille de sécurité dans l'application de passeport sanitaire VaxiCode. Des échanges de courriels obtenus par Radio-Canada révèlent les dessous de cette affaire et démontrent que le lanceur d'alerte avait offert son aide dès le premier jour, mais pas sans protection.

Celui que nous avons baptisé Louis, parce qu'il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l'application de validation qu'utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non-vaccinés.

25 août : Louis informe le ministre

Dès le mercredi 25 août, jour de sortie de l'application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m'y prendre.

26 août : le Centre gouvernemental de cyberdéfense contacte Louis

Le jeudi matin 26 août, n'ayant pas reçu de réponse du ministre, le lanceur d'alerte montre à Radio-Canada ce qu'il a découvert.

Le reportage n'est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l'application après ce témoignage.

Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.

Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d'alerte : « Je suis très intéressé d'en apprendre plus sur la manière dont tu as mis en place ta preuve de concept ».

Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa « collaboration serait grandement appréciée », même de façon « anonyme ».

Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des poursuites criminelles.

27 août : Louis demande l'immunité

À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l'existence d'une faille de sécurité dans l'application, Louis écrit aux directeurs du CGCD ainsi qu'aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.

« Avec une lettre garantissant l'immunité [...], je vous donne l'info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin », est-il écrit dans le courriel de Louis, l'informaticien lanceur d'alerte, envoyé au gouvernement, le matin du 27 août.

Il ajoute même qu'il existe une deuxième faille dont il n'a pas parlé publiquement et il aimerait les aider à la corriger.

Louis explique dans son courriel au gouvernement qu'il souhaiterait que le Québec imite la France et mette en place un programme de bounty qui a récompensé les gens qui trouvent des failles dans l'application StopCOVID, plutôt que de les menacer.

À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit « bravo » à Louis pour sa découverte. Il affirme qu'il a « tendu des perches » à l'informaticien, par des « intermédiaires de confiance », pour qu'il puisse « parler en toute immunité », mais que Louis aurait « refusé » cette offre.

Cette information est vivement démentie par le lanceur d'alerte. Même l'attachée de presse du ministre, Nathalie St-Pierre, affirme aujourd'hui qu'Éric Caire « n'a jamais dit qu'il offrait l'immunité ».

D'ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe « a récemment réfléchi à la mise en place d'un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n'a pas été définie ».

L'informaticien anonyme répond au courriel : « Donnez-moi cette protection (...) et je vous informerai si vos corrections fonctionnent ou pas ».

« Je suis seulement une bonne personne qui voulait vous aider », a mentionné Louis dans son courriel, envoyé au gouvernement, le soir du 27 août.

En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n'a pas encore détaillé à quiconque du gouvernement sa démarche.

28 août : pas d'immunité, mais le gouvernement a besoin de lui

En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu'il le croit de bonne foi : « À notre connaissance, tu n'as pas utilisé ta découverte à des fins autres que des tests ». Il ne peut toutefois lui offrir de protection.

« Je comprends bien ton dilemme, mais sache que nous n'avons aucune autorité sur des enquêtes potentielles ou immunités », a écrit Steve Gauthier, directeur au Centre gouvernemental de cyberdéfense, dans un courriel adressé à Louis.

Steve Gauthier ajoute qu'une mise à jour de l'application va être faite pour pallier le problème, mais « il serait apprécié qu'on puisse vérifier qu'elle corrige ce qui a été trouvé de ta part ».

Le dossier dans les mains de la SQ

La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.

Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. « S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer ».

Il a commis « une fraude », dit l'attachée de presse du ministre Caire.

« C'est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler », a déclaré Nathalie St-Pierre, attachée de presse du ministre Éric Caire.

Le dossier de Louis « est entre les mains de la Sûreté du Québec », nous a appris le cabinet du ministre.
4421
5 commentaires
  1. Anonyme
    Anonyme
    il y a 3 ans
    L'histoire de Louis restera dans les mémoires
    Pas dans la mémoire des ti-counes comme l'attaché du ministre Caire, ou celle du directeur au Centre gouvernemental de cyberdéfense.

    Plutôt dans les mémoires des lanceurs d'alertes que l'état s'emploit à menacer.

    • Anonyme
      Anonyme
      il y a 3 ans
      En effet...
      C'est clair que ça ne donne pas envie d'être un lanceur d'alerte. Par contre, il aurait pu s'y prendre autrement en ne négociant pas la mise en place d'un programme de "bounty" et en se trouvant un avocat pour négocier l'octroi de l'immunité contre des poursuites.
      Le gouvernement est ch... sur cette histoire.

  2. Sébastien Robidas
    Sébastien Robidas
    il y a 3 ans
    Un gouvernement qui dit tout!
    La fraude est au gouvernement du Québec! Il viol la charte canadienne des droits et libertés en imposant ce passeport vaccinal, la ségrégation est un crime, mais le Québec et le Canada ont une très très longue histoire avec la ségrégation.

    À quel moment les gens vont se réveiller, à quel moment ils ouvriront les yeux, par-ce qu'en ce moment et même depuis le début, il n'y a jamais eu de cadavre dans les rues.

    • Pirlouit
      Pirlouit
      il y a 3 ans
      Qui dit vrai
      Même si le passeport vaccinal va à l'encontre de la Charte le tribunal pourrait juger que c'est acceptable "dans une société libre et démocratique". Mais la question est intéressante, c'est sûr.

      Quand aux cadavres dans les rues je dirais que
      1. La covid19 ce n'est pas la peste noire;
      2. On n'est pas au Moyen-Âge, il y a des services pour éviter que le monde meurent dans la rue;
      3. Peut-être qu'il y a moins de mort justement parce que le ou les gouvernements prennent ou ont pris des mesures. Sans quoi le bilan aurait probablement été beaucoup plus lourd;

  3. Anonyme
    Anonyme
    il y a 3 ans
    " parler en toute immunité"
    Franchement, c'est du français, ça ? Même les journalistes de Radio-Canada auraient pu deviner
    que le ministre voulait dire en toute sérénité, sérénité ne voulant pas forcément dire immunité.
    Quoiqu'il en soit, pauvre Louis!

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires