Dès le 25 août, l’informaticien qui avait trouvé une brèche de sécurité dans l’application de passeport sanitaire VaxiCode avait offert son aide au ministre de la Transformation numérique, Éric Caire. Mais d’après des courriels obtenus par Radio-Canada, le gouvernement du Québec a refusé d’accorder son immunité et de le considérer comme un lanceur d’alerte.
Une frontière entre la fraude et la divulgation éthique de faille
La faute du hacker d’après le gouvernement : avoir alerté les médias avant d’avoir eu une réponse du gouvernement. Or c’est parce qu’il n’avait pas eu de réponse que le lendemain le pirate éthique a passé le message à Radio-Canada. Qui a son tour s’est tourné vers les services du gouvernement avant de diffuser son reportage.
Dans un courriel au gouvernement, le pirate explique qu’il souhaiterait que le Québec imite la France et mette en place un programme de « bug bounty » (chasse aux bugs). Il récompense les gens qui trouvent des failles dans l’application StopCOVID, plutôt que de les menacer. (détails sur le site de l’Agence nationale de la sécurité des systèmes d’information – ANSSI)
La collaboration avec les hackers éthiques reste à encadrer
Une démarche qui est pourtant à l’étude au Québec. Puisque qu’Éric Caire veut encadrer la collaboration avec les pirates éthiques. Cette réflexion aurait été lancée dès juillet 2021, mais les modalité de fonctionnement pratiques et juridiques ne sont pas encore fixées. Aussi bien pour le partage d’informations entre le gouvernement et les chapeaux blancs (“white hat”, ou hacker éthique, en opposition à “black hat” pour pirate malveillant), que pour le système de récompenses.
En attendant, le traitement réservé au pirate dans l’affaire de la faille VaxiCode n’est pas du goût de la communauté des pirates éthiques du Hackfest. Le 31 août dernier, elle a annoncé cesser sa collaboration avec le gouvernement du Québec, pourtant entamée depuis plusieurs années. Et ce « tant qu’un processus de divulgation responsable des vulnérabilités clair, officiel et public ne sera pas en place ».
Plus largement, cette affaire « risque de décourager de futures divulgations [pour] améliorer les systèmes d’information du gouvernement du Québec », selon Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l’Université de Sherbrooke.
Pour comprendre la faille VaxiCode
Ce sujet sera certainement débattu lors du prochain évènement Hackfest Canada (19-20 novembre 2021). En attendant, une analyse de la vulnérabilité VaxiCode est disponible sur le blog du Hackfest.