VaxiCode: les pirates éthiques du Hackfest se dissocient du gouvernement
La communauté de pirates éthiques du Hackfest, qui avait trouvé la brèche de sécurité dans l’application de passeport sanitaire VaxiCode, annonce qu’elle n’aidera plus le gouvernement du Québec sans la certitude qu’il n’y aura pas de représailles.
La nouvelle d’abord rapportée par Radio-Canada, puis confirmée par Métro, est tombée mardi matin.
«Nous nous dissocions du gouvernement tant qu’un processus officiel de divulgation de vulnérabilités ne sera pas mis en place de manière publique, officielle et légale», a laissé savoir mardi le président du Hackfest, Patrick Mathieu, dans un courriel envoyé à Métro.
M. Mathieu souligne l’exemple de la France, qui permet aux gens qui trouvent des failles dans l’application StopCOVID d’être récompensés plutôt que d’être réprimandés.
Les membres du Hackfest avaient l’habitude de collaborer avec le gouvernement depuis plusieurs années.
Le lanceur d’alerte menacé
Le 25 août, jour de sortie de l’application VaxiCode, un pirate informatique membre du Hackfest a réussi à créer de fausses preuves de vaccination en seulement quelques heures. Il a ensuite contacté anonymement le ministre Caire pour lui offrir son aide en échange d’une protection.
Sans réponse, l’homme a alors fait part à Radio-Canada de ses découvertes.
Selon Radio-Canada, le dossier du lanceur d’alerte anonyme qui a découvert des failles de sécurité dans l’application VaxiCode a été remis à la Sûreté du Québec.
En effet, les personnes qui font une utilisation inappropriée du passeport vaccinal s’exposent à des poursuites criminelles, avait indiqué le ministre de la Santé, Christian Dubé, en conférence de presse le 25 août.
Au moment d’écrire ces lignes, le cabinet du ministre de la Transformation numérique gouvernementale, Éric Caire, n’a pas répondu aux questions de Métro.
Or, le ministre Caire a laissé savoir mardi après-midi sur Twitter qu’«aucune plainte n’a été déposée» contre l’informaticien anonyme. «Des enquêtes sont en cours concernant l’usurpation de codes QR, mais soyons clairs : nous souhaitons travailler et collaborer avec les citoyens responsables et les experts en cybersécurité», a-t-il écrit.
En conférence de presse mardi après-midi, le ministre Dubé a aussi indiqué que son gouvernement était prêt à collaborer avec certains de ces «hackers» pour augmenter la sécurité de l’application VaxiCode. «On a une équipe interne qui s’occupe de la possible collaboration», a-t-il affirmé.
Le passeport vaccinal entre en vigueur dès demain. Les propriétaires des lieux visés, notamment les restaurants, les bars, les gyms et les grandes salles, devront demander le code QR à l’entrée.