Avis à toutes les personnes qui publient des photos de leur code QR sur les réseaux sociaux afin de démontrer qu’elles sont vaccinées: ce n’est pas une bonne idée. «Les données du code QR ne sont pas chiffrées, ce qui signifie que la confidentialité des données n’est pas assurée», met en garde le professeur du Département d’informatique Sébastien Gambs.
Ayant travaillé l’an dernier sur les applications de traçage, le titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives s’est penché cette année sur la preuve vaccinale avec son équipe. «Le doctorant en informatique Guillaume Gagnon a décortiqué au printemps dernier les dessous techniques de ce fameux code QR adopté par le gouvernement du Québec, raconte le professeur. Il s’est aperçu qu’il est plutôt facile de créer ou d’utiliser un logiciel existant pour lire les données que renferme le code QR, c’est-à-dire le nom, le prénom, la date de naissance, le sexe, la date de vaccination, le nombre de doses et le lieu de vaccination.»
Il s’agit de données personnelles sensibles, note Sébastien Gambs. «Ce sont les informations de base qui sont utilisées pour l’usurpation d’identité. Imaginons un instant si un tiers, comme une entreprise privée, se mettait à collecter ces données à grande échelle…»
Signature électronique
On retrouve également sur le code QR une signature électronique produite par une clé que possède le ministère de la Santé et des Services sociaux (MSSS). «Il s’agit d’une signature unique correspondant aux données, ce qui rend difficile la falsification du code QR», explique le spécialiste. La possibilité qu’une personne réussisse à modifier votre code QR à son profit ou à créer un code QR pour une identité de son choix est donc minime.
Le MSSS affirme que son passeport vaccinal est infalsifiable. «En sécurité informatique, on n’utilise jamais ce mot, car si une personne avait suffisamment de puissance de calcul – et de temps! – pour essayer toutes les clés possibles de signature, elle pourrait parvenir à le falsifier. Mais le niveau de sécurité est très bon, hors de portée de la plupart des fraudeurs, car basé sur un mécanisme faisant partie des bonnes pratiques de sécurité», analyse le professeur.
Enjeux de traçage
Le gouvernement a annoncé qu’il utilisera le passeport vaccinal seulement en cas d’éclosions après le 1er septembre. «Le code QR seul ne sera d’aucune utilité, car on doit prouver que l’on est bien la personne présentant cette preuve vaccinale. Il faudra sans doute présenter en plus une pièce d’identité, comme son permis de conduire ou sa carte de la Régie de l’assurance-maladie du Québec», souligne Sébastien Gambs.
L’enjeu majeur est de savoir si l’on pourra s’assurer que le code du logiciel qui sera utilisé pour scanner le code QR n’enregistrera pas l’information d’accès aux divers endroits, car on pourrait à ce moment connaître les nombreuses allées et venues d’une personne.
«Si le gouvernement du Québec ne fournit pas le logiciel pour lire ce code QR, il y aura assurément des entreprises privées qui en offriront gratuitement aux différents commerces, estime Sébastien Gambs. Or, si ces entreprises fournissent un logiciel propriétaire, on ne pourra pas savoir ce que fait exactement ce logiciel et à quelles fins ces entreprises collecteront et utiliseront ces données.»
«Même si un logiciel est fourni par le gouvernement, une entreprise pourrait néanmoins faire le choix d’utiliser un logiciel tiers, qui en plus de remplir le rôle de validation attendu, pourrait aussi collecter les données ou inclure d’autres usages détournés aux bénéfices de l’entreprise, souligne cependant Guillaume Gagnon. À ce stade, aucun mécanisme n’empêche l’utilisation de logiciels autres que celui fourni par le gouvernement.»
Pour empêcher cela, le gouvernement du Québec pourrait préciser dans le décret spécifiant les conditions de mise en place et d’utilisation du passeport vaccinal que seul le logiciel fourni par le gouvernement peut être utilisé pour lire le code QR. «Ce serait facile à ajouter aux autres conditions d’utilisation à venir, telles que les lieux et les situations pour lesquelles le passeport vaccinal pourra être demandé», précise Sébastien Gambs.
Une autre façon de faire ?
Il aurait été possible d’utiliser la technologie du code QR autrement, fait remarquer Sébastien Gambs. «On aurait pu chiffrer les informations personnelles. Quand une personne lit le code, elle doit avoir un accès réseau afin de demander au serveur gouvernemental de déchiffrer les données, qui lui sont ensuite renvoyées et affichées. Cela aurait assuré la confidentialité des données, mais aussi soulevé d’autres enjeux de vie privée, car le serveur gouvernemental enregistrerait alors chacun des usages du passeport vaccinal. On pourrait ainsi suivre à la trace tous les citoyens utilisant leur preuve vaccinale.»
Même s’il déplore que les données du code QR actuel ne soient pas chiffrées, le professeur est néanmoins satisfait de la solution adoptée par Québec. «Si le gouvernement fournit un logiciel standardisé pour lire le code QR afin d’éviter que des entreprises privées ne soient tentées de le faire, et oblige les commerçants à l’utiliser, j’estime que ce sera sécuritaire, en autant que le code source de ce logiciel soit ouvert par souci de transparence. Et d’ici là, évitons de partager notre code QR!»