/investigations/health
Navigation

Preuve vaccinale du PM piratée

Des hackers ont facilement réussi à télécharger les codes QR d’au moins six politiciens et de chroniqueurs

Coup d'oeil sur cet article

Jetant encore plus de doute sur la sécurité du passeport vaccinal, des pirates informatiques ont facilement téléchargé hier les preuves vaccinales du premier ministre du Québec, François Legault, et des membres de son cabinet.

• À lire aussi - Le passeport vaccinal au travail soulève de nombreuses questions juridiques

• À lire aussi - Preuve vaccinale piratée: Gabriel Nadeau-Dubois demande un plan rapide

« Un jeu d’enfant » a résumé à notre Bureau d’enquête une source très près de ce dossier.

Avec de simples informations qui traînaient sur internet et un logiciel de chiffrement pour trouver le numéro d’assurance maladie, des hackers ont pu mettre la main sur les précieux codes QR et les informations qui s’y rattachent.

  • Écoutez le tour des actualités de Mario Dumont et Vincent Dessureault sur QUB radio :

Il s’agit de renseignements personnels qui sont habituellement protégés par la loi d’accès à l’information.

Plusieurs personnes visées avaient aussi affiché sur les réseaux sociaux le lieu où ils ont été vaccinés ainsi que la date.

Photos Stevens Leblanc, Josie Desmarais et d'archives, Stevens Leblanc, Pierre-Paul Poulin et Agence QMI

Ainsi, les preuves vaccinales du premier ministre François Legault, de son ministre de la Santé Christian Dubé et celle du ministre délégué à la Transformation numérique Éric Caire ont facilement été téléchargées.

Ce dernier avait pourtant assuré mardi que le code QR ne pouvait être falsifié ou copié. 

Les chefs des oppositions à Québec, des chroniqueurs-vedettes ainsi que des personnalités de la scène municipale font également partie des personnes visées à titre d’exemple par les pirates.      

  • Écoutez l'entrevue de Philippe-Vincent Foisy avec Steve Waterhouse, expert en cybersécurité, sur QUB radio:    

Infos mal sécurisées

« Le nom, prénom, date de naissance, lieu de vaccination... C’est facile à obtenir. Ce sont des informations mal sécurisées. Tu peux ainsi télécharger le code QR de n’importe qui », a expliqué notre source, ajoutant que la configuration du site internet facilite le vol de preuve vaccinale.

« Si on a le bon [numéro] d’assurance maladie, ça nous dit si la date n’est pas bonne », a-t-il poursuivi. Cette personne a aussi souligné qu’elle pouvait multiplier les requêtes sans la moindre embûche.

Selon des experts en sécurité informatique, ce geste démontre qu’une personne n’ayant pas reçu ses vaccins pourrait facilement se créer une fausse identité lui permettant d’entrer dans les commerces non essentiels dès le 1er septembre.  

  • Écoutez La Rencontre Lisée-Mulcair au micro de Richard Martineau sur QUB radio:    

Plainte à la police

Il est facile d’utiliser la preuve vaccinale d’un inconnu et de se créer une fausse carte d’identité, surtout que les codes QR ne sont pas associés à une photographie, ont noté ceux-ci.

« Le système n’empêchera personne de voler l’identité de quelqu’un d’autre s’il le désire vraiment. Il s’agit simplement de télécharger le code de quelqu’un qu’on connaît – qu’on a assez d’information – et faire une fausse carte étudiante ou autre », a affirmé Patrick Mathieu, cofondateur du Hackfest et expert en sécurité de l’information.

« Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu’un d’autre et d’usurper son identité. »

Informé par notre Bureau d’enquête, le cabinet du premier ministre a dit prendre cette menace très au sérieux et compte déposer une plainte « formelle » à la police. 

« Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative », a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves. 

  • Écoutez la chronique de Vincent Dessureault au micro de Geneviève Pettersen à QUB radio  

Manque de vérification

De son côté, l’expert Steve Waterhouse est d’avis que le gouvernement aurait toutefois dû consulter des spécialistes en sécurité de l’information avant de distribuer des codes QR à la population.

« C’est un déploiement qui a manqué de vérification de base en cybersécurité, de la conception de la solution à sa mise en service », a-t-il souligné.

Avec Sam Harper, Agence QMI


♦ La semaine dernière, notre Bureau d’enquête révélait que des hackers ont facilement créé une application qui permet de copier les renseignements personnels inclus dans le passeport vaccinal.

À VOIR AUSSI...