31 août 2021

Dénonçons l’injustice envers le hacker du code QR!

L’incompétent n’avoue jamais qu’il est nul.

Au lieu de remercier le lanceur d’alerte pour sa découverte, on le traînera en justice. Eh bien moi, je lui dis un gros MERCI!

Éric Caire prouve encore son incompétence. Au lieu d’avouer ses erreurs et d’accepter l’aide du hacker bienveillant,  il nous livre en pâture aux hackers malveillants. En prime, il ment pour sauver la face – il prétend avoir offert l’immunité, mais son attachée de presse elle-même nie cette affirmation – chic! C’est choquant. Il n’y a pas de mots pour qualifier cette attitude infantile (sauf sur Lorembarnak https://lorembarnak.com/ ).

On n’est définitivement pas au siècle cabinet des lumières! La CAQ s’enfonce à chaque fois qu’un ministre ouvre la bouche. Au départ, le gouvernement majoritaire est une inquiétante petite dictature, mais quand il est constitué d’une pléthore de candidats ignorants et incompétents, il devient un danger public.

«La société ne songe nullement à éclairer et, dans toute forme d'État, les gouvernements sont intéressés à faire en sorte que la société qu'ils gouvernent ne soit pas éclairée car s'ils éclairaient la société qu'ils gouvernent, il ne faudrait pas beaucoup de temps avant qu'ils soient anéantis par cette société qu'ils auraient éclairée.» ~ Thomas Bernhard

En voilà une preuve : [Nathalie St-Pierre, l’attachée de presse d’Éric Caire], regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. «S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer.»

Par chance que le journaliste d’enquête Thomas Gerbet est là pour nous éclairer sur le déroulement des faits. Je me permets de reproduire son article intégralement.

Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte

L'informaticien qui a trouvé la brèche de sécurité dans l'application de passeport sanitaire avait offert son aide au ministre Éric Caire dès le 25 août.

Thomas Gerbet / ICI Radio-Canada Info, 31 août 2021

Contrairement à ce qu'a déclaré le ministre de la Transformation numérique, Éric Caire, le gouvernement du Québec n'a jamais offert d'immunité à l'informaticien qui a découvert la faille de sécurité dans l'application de passeport sanitaire VaxiCode. Des échanges de courriels obtenus par Radio-Canada révèlent les dessous de cette affaire et démontrent que le lanceur d'alerte avait offert son aide dès le premier jour, mais pas sans protection.

Celui que nous avons baptisé Louis, parce qu'il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l'application de validation qu'utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non vaccinés.

25 août : Louis informe le ministre

Dès le mercredi 25 août, jour de sortie de l'application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. «Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m'y prendre.»

26 août : le Centre gouvernemental de cyberdéfense contacte Louis

Le jeudi matin 26 août, n'ayant pas reçu de réponse du ministre, le lanceur d'alerte montre à Radio-Canada ce qu'il a découvert.

Le reportage n'est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l'application après ce témoignage.

Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.

Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d'alerte : «Je suis très intéressé d'en apprendre plus sur la manière dont tu as mis en place ta preuve de concept».

Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa «collaboration serait grandement appréciée», même de façon «anonyme».

Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des poursuites criminelles.

27 août : Louis demande l'immunité

À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l'existence d'une faille de sécurité dans l'application, Louis écrit aux directeurs du CGCD ainsi qu'aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.

«Avec une lettre garantissant l'immunité [...], je vous donne l'info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin.» (Extrait du courriel de Louis, l'informaticien lanceur d'alerte, envoyé au gouvernement, le matin du 27 août)

Il ajoute même qu'il existe une deuxième faille dont il n'a pas parlé publiquement et il aimerait les aider à la corriger.

Louis explique dans son courriel au gouvernement qu'il souhaiterait que le Québec imite la France et mette en place un programme de «bounty» qui a récompensé les gens qui trouvent des failles dans l'application StopCOVID, plutôt que de les menacer.

À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit «bravo» à Louis pour sa découverte. Il affirme qu'il a «tendu des perches» à l'informaticien, par «des intermédiaires de confiance», pour qu'il puisse «parler en toute immunité», mais que Louis aurait «refusé» cette offre.

Cette information est vivement démentie par le lanceur d'alerte. Même l'attachée de presse du ministre, Nathalie St-Pierre affirme aujourd'hui qu'Éric Caire « n'a jamais dit qu'il offrait l'immunité ».

D'ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe «a récemment réfléchi à la mise en place d'un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n'a pas été définie».

L'informaticien anonyme répond au courriel : «Donnez-moi cette protection [...] et je vous informerai si vos corrections fonctionnent ou pas».

En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n'a pas encore détaillé à quiconque du gouvernement sa démarche.

28 août : pas d'immunité, mais le gouvernement a besoin de lui

En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu'il le croit «de bonne foi» : «À notre connaissance, tu n'as pas utilisé ta découverte à des fins autres que des tests.» Il ne peut toutefois lui offrir de protection. «Je comprends bien ton dilemme, mais sache que nous n’avons aucune autorité sur des enquêtes ou immunités.»

Steve Gauthier ajoute qu'une mise à jour de l'application va être faite pour pallier le problème, mais «il serait apprécié qu'on puisse vérifier qu'elle corrige ce qui a été trouvé de ta part».

Le dossier dans les mains de la SQ

La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.

Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. «S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer.»

Il a commis «une fraude», dit l'attachée de presse du ministre Caire. «C'est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler.» Nathalie St-Pierre, attachée de presse du ministre Éric Caire

Le dossier de Louis "est entre les mains de la Sûreté du Québec", nous a appris le cabinet du ministre.

https://ici.radio-canada.ca/nouvelle/1820486/vaxicode-passeport-vaccinal-faille-application-lanceur-alerte

28 août 2021

En politique de santé, le doute est illégal

Samedi le 29 août 2021 : correction (4e paragraphe) concernant les droits fondamentaux qu'en réalité nous pouvons perdre en temps d’épidémie ou de pandémie.

So-so-so-solidarité

(...) En vertu de la Loi sur la santé publique, le gouvernement, dans l’urgence sanitaire, peut imposer la vaccination à ses citoyens pour contrer une épidémie. Il doit cependant se conformer aux chartes des droits : la vaccination obligatoire est une atteinte importante à des droits fondamentaux, comme le droit à l’intégrité physique et le droit de refuser un traitement médical. Mais ces droits individuels ne sont pas absolus et doivent être conciliés avec le droit d’autrui à la vie. La Charte des droits et libertés de la personne prévoit en effet que les libertés et droits fondamentaux s’exercent dans le respect «de l’ordre public et du bien-être général des citoyens du Québec», ce qui s’applique en l’espèce.

Pour le personnel soignant du réseau de la santé, se faire vacciner, c’est un devoir moral, un devoir à l’égard de la collectivité. C’est une question de solidarité, un mot que les syndicats ont à la bouche et qui, selon la définition du dictionnaire, est « une relation entre personnes ayant conscience d’une communauté d’intérêt qui entraîne, pour les unes, l’obligation morale de ne pas desservir les autres et de leur porter assistance ». La solidarité, c’est le fin mot de l’affaire.

Robert Dutrisac / Le Devoir 28 août 2021

-----

On prend bien soin d'attiser la colère des vaccinés envers les non-vaccinés, même ceux qui ont une contrainte médicale. Alors, quelle que soit la raison de leur abstention elle sera jugée systématiquement invalide par ceux qui ont besoin de pointer du doigt des coupables. Comme si les non-vaccinés étaient les uniques responsables de la contamination et de la pandémie mondiale!  

Je n’ai pas l’intention d’invalider la vaccination, mais je constate que le doute raisonnable ne semble pas légitime. Pourtant de nombreux criminels, voire des assassins, en ont bénéficié de sorte qu’ils n’ont jamais été condamnés!

Une manifestation contre la vaccination obligatoire a lieu aujourd’hui; une conséquence inévitable de la démocratie tyrannique de la CAQ – Un regroupement d’employés de divers corps de métier prévoit manifester samedi à Montréal sous l’appellation «Les professionnels en marche». Ils s’opposent à la vaccination obligatoire de certains travailleurs. La marche regroupe des gens du domaine de la santé, des corps policiers et de l’éducation. Le ralliement se déroule au lendemain de deux jours de commission parlementaire sur la vaccination obligatoire. Québec compte exiger que les travailleurs du réseau de la santé soient vaccinés d’ici le 15 octobre.

Nous avons le droit fondamental de refuser tout traitement médical ou vaccin, même lors d’une épidémie ou pandémie. Selon la Charte québécoise des droits et libertés, le droit à l’intégrité permet d’accepter ou de refuser des soins de santé, et le droit à la liberté permet d’agir et de prendre les décisions fondamentales qui nous concernent sans subir de pression extérieure.

Toute cette propagande démesurée me fait penser à la terrifiante époque du «Crois ou meurs!» de l’Inquisition médiévale.  «Le croyant s'embarrasse t-il des contradictions des évangiles et des excès de l'Église? Croire est-ce admettre l'Arche de Noé, est-ce défendre l'Inquisition, ou le tribunal qui condamna Galilée?» ~ Albert Camus (Carnet 1)

Alors, que devons-nous croire : les statistiques de la pro-vaccination ou celles de l’anti-vaccination? Pour ma part, instinctivement, je ne suis pas une consommatrice aveugle des produits offerts par les richissimes multinationales pharmaceutiques. Je suis plus portée au discernement. Voilà pourquoi j’aime soulever le questionnement. Personne n’est obligé de gober les diktats des uns et des autres sans s’interroger ni chercher d’autres opinions, aussi subversives qu’elles puissent paraître. Nul n’est à l’abri de l’erreur, alors, pourquoi le corps médical pro-vaccination le serait-il? Conséquemment, le doute me semble l’heureux apanage de la sagesse et de la liberté, et un indice d’intelligence. Après cela, chacun choisira selon ses croyances scientifiques, pseudo-scientifiques, religieuses, ésotériques, chamaniques, etc.

L’humour a sa place, même en situation dramatique. Cette caricature date du siècle dernier, preuve que les débats ne cesseront jamais. George Bernard Shaw disait avec justesse : «La vie ne cesse pas d’être drôle parce que les gens meurent, pas plus qu’elle ne cesse d’être sérieuse parce que les gens rient.»

Selon Machiavel, la raison d'État primait sur tout le reste. Elle devait permettre l'amélioration de l'Homme et de la société. Il pouvait convenir de recourir à la force et à la ruse lorsque les lois étaient insuffisantes. Pour les mêmes raisons, le souverain (aujourd’hui un premier ministre ou un président) pouvait réagir contre l'humanité, contre la charité et contre la religion. De plus, il n'était pas nécessaire que le souverain maîtrise toutes les qualités. Il était néanmoins nécessaire qu'il ait l'air de les maîtriser. Le but était de conquérir le pouvoir, de le conserver et de rester en vie.

La technique du bulldozer

Jean-François Lisée / Le Devoir 28 août 2021

Ça ne s’est pas super bien passé, cette commission parlementaire sur la vaccination obligatoire. Il y a d’abord eu la question des documents et des données. Pourrait-on les voir? L’avis favorable donné par la Santé publique ne serait-il pas une lecture indispensable ? D’autant qu’il contredit un avis écrit et public de janvier du Comité d’éthique de santé publique. (...)

Une question centrale, ainsi, n’a pas eu de réponse. Puisque les doubles vaccinés peuvent quand même transmettre le virus, un non-vacciné qui serait testé quotidiennement n’offrirait-il pas une garantie équivalente ou supérieure d’innocuité à celle de ses collègues vaccinés? L’Ontario vient d’établir la vaccination ou le test régulier obligatoire dans son réseau de la santé. Pourquoi les autorités de santé publique ontariennes ont-elles tort et pourquoi les nôtres ont-elles raison?

La chose est nette, le triumvirat Legault-Dubé-Arruda a utilisé pour l’opération vaccin obligatoire la technique du bulldozer. L’interprétation charitable est la suivante : conscients des lacunes de leur position mais ayant bien vérifié que l’opinion y était favorable, ils ont décidé de foncer pour asséner un choc aux non-vaccinés. Un état de crainte maximal qui poussera les taux de vaccination à la hausse. La fin, noble, justifierait le moyen, détestable.

L’interprétation moins charitable est que l’équipe Legault a compris que le maintien de sa grande popularité dans sa dernière année de mandat avant l’élection dépend de sa capacité à garder une position offensive dans la gestion de la pandémie. De ne se faire doubler, donc, par personne. Pour y arriver, ses décisions doivent s’appuyer sur un type de science et un type de données en particulier. La science politique et les données de sondage.

https://www.ledevoir.com/opinion/chroniques/628026/la-technique-du-bulldozer

L’INSPQ émet à son tour des réserves à l’obligation vaccinale

Questionnée vendredi en commission parlementaire sur l’obligatoire vaccinale que compte imposer sous peu Québec dans certains corps de métier, l’Institut national de santé publique du Québec (INSPQ) craint qu’une telle mesure ne renforce la réticence des personnes hésitantes plutôt que de les encourager à se faire vacciner.

https://ici.radio-canada.ca/nouvelle/1819958/inspq-reserves-vaccination-obligatoire

Ces infirmières qui hésitent à se faire vacciner

Jessica Beauplat, Presse canadienne  / Le Devoir 25 août 2021  

«Moi, je crois à la science, lance d’entrée de jeu Valérie*. Par contre, la première chose qu’on te dit quand tu étudies en sciences [infirmières] c’est que la prudence est toujours de mise et qu’il te faut un consentement libre et éclairé [de la part du patient].»

L’infirmière praticienne spécialisée (IPS) veut donc pouvoir user de «prudence», et ce sans «contraintes» comme on le lui a enseigné et déplore le peu de débats ou de questionnements sur un enjeu aussi important que l’imposition du vaccin à tout le personnel soignant des établissements de santé.

«Je veux voir, je veux évaluer, je veux attendre avant de décider de le prendre ou non, je veux comprendre de quoi il s’agit, j’ai besoin de savoir», énumère la professionnelle. Elle précise qu’elle n’est pas contre la vaccination. Ce qui l’a fait hésiter, c’est le manque d’informations et de recherches à ce jour sur les effets à long terme de ce nouveau vaccin. «On n’a pas assez de recul», dit-elle à quelques reprises durant l’entrevue téléphonique.  

L’enquête effectuée auprès de 1515 répondants révèle que 71 % des gens qui hésitent à se faire vacciner jugent que le produit est trop récent et qu’il n’y a pas eu assez de tests ou de recherches effectués à ce jour.

C’est l’une des raisons évoquées par Julie qui a survécu à un cancer ORL il y a quelques années. Elle a développé une condition rare à la suite des traitements de radiothérapie et craint que cela puisse la rendre plus vulnérable à des complications.

Elle explique que malgré toute la documentation qu’elle a épluchée, elle n’a pas trouvé de données concernant une personne vivant avec les mêmes conditions médicales qu’elle. Elle ne sait donc pas si sa condition la rend plus vulnérable à des effets secondaires à la suite d’une injection.

Julie sent définitivement que la pression monte de plus en plus pour qu’elle se fasse vacciner, nous confie-t-elle. Or, elle ne se sent pas à l’aise de relever sa manche vu son état de santé.

«C’est dur de se faire comprendre, explique l’infirmière qui cumule plus de 30 ans d’expérience. Plusieurs dans mon cercle vont me dire : ‘Je l’ai eu [le vaccin] et je suis correct’». Ce à quoi elle répond : «Oui, mais toi tu n’as pas de condition de santé». Julie n’est pas contre la vaccination. D’ailleurs, plusieurs de ses proches se sont fait vacciner et elle n’y voit pas de problème, mais elle s’inquiète surtout des effets à long terme qui «pourraient altérer sa qualité de vie».

* Des prénoms fictifs ont été utilisés pour préserver l’anonymat des infirmières, pour éviter les représailles.

https://www.ledevoir.com/societe/sante/627318/ces-infirmieres-qui-hesitent-a-se-faire-vacciner  

Passons au passeport vaccinal avec son super code QR...

Le gouvernement entend sanctionner ceux qui ont testé la sécurité de leur système qui ne n’est pas sécuritaire – il devrait au contraire les remercier! Comment pourrions-nous faire confiance à des incompétents caquistes qui n’arrêtent pas de nous prouver qu’ils sont nuls – pas uniquement en informatique et en éthique! Parmi les victimes du test : le PM François Legault (qui se pétait les bretelles avec son code QR), Christian Dubé et Éric Caire font partie du lot. Auxquels s’ajoutent Dominique Anglade, Gabriel Nadeau-Dubois et Valérie Plante... pour l’instant.

Preuve vaccinale du PM piratée

Des hackers ont facilement réussi à télécharger les codes QR d’au moins six politiciens et de chroniqueurs

Il est facile d’utiliser la preuve vaccinale d’un inconnu et de se créer une fausse carte d’identité, surtout que les codes QR ne sont pas associés à une photographie, ont noté ceux-ci.

«Le système n’empêchera personne de voler l’identité de quelqu’un d’autre s’il le désire vraiment. Il s’agit simplement de télécharger le code de quelqu’un qu’on connaît – qu’on a assez d’information – et faire une fausse carte étudiante ou autre», a affirmé Patrick Mathieu, cofondateur du Hackfest et expert en sécurité de l’information.

«Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu’un d’autre et d’usurper son identité.» Informé par notre Bureau d’enquête, le cabinet du premier ministre a dit prendre cette menace très au sérieux et compte déposer une plainte «formelle» à la police.

«Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative», a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves.

https://www.journaldemontreal.com/2021/08/27/preuve-vaccinale-du-pm-piratee

Décryptage des failles du code QR vaccinal

Marie-Michèle Sioui, Sarah R. Champagne, Guillaume St-Hilaire

Le Devoir 28 août 2021

Plusieurs médias ont rapporté vendredi des failles dans le processus d’obtention et de validation de la preuve vaccinale. Afin de mieux comprendre le phénomène, d’en mesurer les conséquences et de songer à des solutions potentielles, Le Devoir a posé des questions à trois experts en sécurité informatique et au ministre responsable de la Protection des renseignements personnels, Éric Caire.

Somme toute, la conséquence la plus tangible est sans doute l’affaiblissement de la confiance des citoyens dans le processus de vérification de la preuve vaccinale, soulignent ces experts. «Si un citoyen a trouvé les façons de contourner la vérification en moins de 24 heures, on est obligés de se demander : quoi d’autre n’est pas fiable?» souligne M. Waterhouse.

L’autre aspect à ne pas négliger est la capacité de «pirates» ou de «personnes mal intentionnées» – comme les décrit Sam Harper – à utiliser ces informations de base pour en dénicher d’autres plus précieuses. Une personne malfaisante pourrait par exemple tenter d’utiliser ces informations pour s’authentifier dans un service à la clientèle d’une banque et aller plus loin dans l’usurpation d’identité.

Les trois experts en sécurité informatique consultés par Le Devoir se sont désolés de cette réaction. «Le ministère de la Santé a été avisé de ces vulnérabilités [techniques], mais on ne s’en est pas préoccupé. Maintenant qu’ils brandissent le bâton de la poursuite, ça va seulement décourager de futures divulgations», a affirmé M. Waterhouse.

https://www.ledevoir.com/societe/628020/qu-est-ce-qui-se-passe-avec-les-codes-qr  

Nos données personnelles à vau-l’eau! (un long article publié en 2019 et en train de se concrétiser

J’ai brièvement mentionné l’intention du gouvernement Legault de balancer nos données personnelles à des géants du stockage numérique américains.

On ne peut plus excuser les bévues des ministres de la CAQ en alléguant l’inexpérience. On pourrait plutôt alléguer un entêtement à tenir des promesses inappropriées sinon carrément stupides. Legault martèle d’ailleurs : «nous avons un mandat fort, alors nous allons tenir nos promesses».

 Éric Caire, le ministre délégué à la Transformation numérique gouvernementale, affirme que confier les dossiers gouvernementaux à des géants américains comme Amazon (Apple en 2021) ne comporte aucun danger, que ce sera totalement sécuritaire. Éric Caire est soit un grand naïf ou un fieffé analphabète en technologies numériques et cybersécurité. Ou les deux!

Dans une vidéo interactive sur le net Edward Snowden affirmait le contraire.

Question : Devrions-nous sauvegarder nos données sensibles chez un pourvoyeur de nuage [stockage] américain? 

Réponse de Snowden : Quel est le véritable risque? Si vos données sont hautement sensibles et ne doivent pas être exposées à une compagnie ou à un gouvernement, elles ne devraient pas être entreposées chez un pourvoyeur de nuage américain. Pas davantage chez un pourvoyeur allemand ou d’un autre pays. La question qui se pose est la suivante : le pourvoyeur du nuage a-t-il accès à votre data? La data est-elle encryptée d’un bout à l’autre, un genre de drop box : vous avez une clé et toute autre personne qui doit y accéder en une aussi, mais si le serveur-pourvoyeur n’a pas de clé, la data est inintelligible pour lui. C’est sécuritaire pour tous. À l’inverse, le serveur/pourvoyeur de Google, lui, donne accès à tout ce qui transite et Google peut en faire ce qu’il veut selon sa propre régulation conjointement à celle du gouvernement. Ce n’est pas fiable.»

https://situationplanetaire.blogspot.com/2019/02/nos-donnees-personnelles-vau-leau.html

25 août 2021

Vaccination, passeport et «insécurité»

«La raison obéit à elle-même; et l’ignorance se soumet à tout ce qui lui est dicté.» ~ Thomas Paine

Je consultais la liste des lieux interdits aux sans passeport concoctée par la paternaliste CAQ... Eh bien mes vieux, l’étau se resserre lamentablement et le camp de réfugiés non vaccinés n’est peut-être pas si loin! Bars, restaurants, terrasses, établissements de restauration comme Tim Horton et aires d’alimentation des centres commerciaux leur seront interdits! Adieu café-bistro du coin. En tout cas, ça donne de la corde aux complotistes. Je ne le suis pas, mais je trouve ce passeport infantilisant, ridicule et inutile pour contrôler la contamination –  «t’as pas mangé tes patates, alors, t’auras pas de dessert». Par contre ce moyen détourné d’imposer la vaccination pourrait avoir des effets pervers sur la sécurité de nos données.

«Le gouvernement te force à divulguer ces informations pour accéder à des endroits où tu ne devrais pas avoir à le faire. Il y a un impact sur les droits et libertés, et on fournit ces informations à des gens en qui on n’a pas confiance. Ce n’est pas la même chose de donner tes informations confidentielles à un médecin, et de les donner à Ginette qui travaille au coin de la rue.» ~ Patrick Mathieu, conseiller en sécurité informatique et cofondateur du Hackfest

Entre 8 et 11 millions de Canadiens ne sont pas vaccinés; il y en aurait 1 million au Québec. Quand la CAQ déclare que la très très (sic) grande majorité de la population est d’accord avec le passeport, c’est une affirmation tout à fait gratuite car elle résulte d’une étude d’opinions qui n’a rien d’officiel.

Le passeport vaccinal ne réduira pas la contamination – comme je l’ai répété plusieurs fois, le masque protège mieux contre les transmissions aériennes qui sont le moyen de transport préféré de la COVID, mais aussi de la grippe saisonnière. Le masque est sans intérêt parce qu’il ne rapporte pas d’argent aux traqueurs de profits. N’oublions pas que le politicien a toujours un fil à la patte. 

Voyez «C’est dans l’air!» https://situationplanetaire.blogspot.com/2021/08/cest-dans-lair.html

«Le Dr Arruda nous a rappelé une vérité un peu oubliée : «Les vaccins ne sont pas efficaces à 100 %.» On s’entend, les vaccins sont la meilleure arme contre le virus, mais ils ne sont pas infaillibles. D’ailleurs, au moment d’écrire ces lignes, selon les chiffres du gouvernement, le quart (31 hospitalisations) des nouvelles hospitalisations pendant les quatre dernières semaines étaient des gens doublement vaccinés.» (Sébastien Bovet / ICI Radio-Canada Info) 

https://ici.radio-canada.ca/nouvelle/1817912/covid19-vaccin-pandemie-resserements-quebec-legault-arruda-dube

Un petit bijou d'humour – Pascal / Le Devoir, 20 août 2021

Commentaire d’un internaute : «Je n'ai rien contre le fameux passeport mais je trouve que c'est une preuve assez faible de ton immunité dans le sens où ça confirme seulement que tu as reçu théoriquement deux doses, dont l'effet escompté est, encore une fois, présumé

Que signifie «adéquatement protégé» contre la Covid-19 si deux doses ne suffisent pas? La nouvelle qui suit explique pourquoi les multinationales pharmaceutiques vont se précipiter pour offrir une troisième, quatrième, cinquième, sixième dose... 

COVID-19 : une étude montre que la protection vaccinale s’estompe avant six mois

La protection contre la COVID-19 conférée par deux doses du vaccin élaboré conjointement par Pfizer et BioNTech et celui d'AstraZeneca commence à s'estomper avant six mois, ont estimé des chercheurs britanniques, soulignant la nécessité de procéder à des rappels.

Selon l'étude britannique Zoe COVID, basée sur plus de 1,2 million de tests, l'efficacité du vaccin Pfizer passe de 88% dans le mois suivant la deuxième dose à 74 % après cinq à six mois, et celui d'AstraZeneca de 77 % à 67 % après quatre à cinq mois.

Des analyses antérieures suggéraient une protection pendant au moins six mois.

Dans le pire des cas, la protection pourrait tomber en dessous de 50 % chez les personnes âgées et les personnels de santé d'ici l'hiver, a mis en garde Tim Spector, chercheur principal de l'étude dans une déclaration à BBC.

https://ici.radio-canada.ca/nouvelle/1819079/diminution-protection-vaccin-covid-19-etude-britannique

Cours 101 sur le code QR :

Passeport vaccinal : quels sont réellement les risques de sécurité?

Lorsqu’un commerçant numérise le code QR à l’aide d’une application mobile, il peut voir le nom, le prénom, le sexe, la date de naissance et les informations vaccinales (doses, dates et types de vaccin) du client. Avec cette version québécoise du code QR SHC, il pourra également savoir si et quand le client a reçu un diagnostic positif de COVID-19, puisque les personnes ayant contracté la maladie n’ont besoin que d’une dose de vaccin pour être considérées comme adéquatement vaccinées.

Ces informations sont encodées dans le code QR, qui a une signature cryptographique du gouvernement du Québec. Cela fait en sorte qu’il est infalsifiable et que l’application qu’utiliseront les commerçants rejettera d’emblée tout code QR qui ne contient pas cette signature cryptographique.

Cependant, d'après le conseiller en sécurité informatique et cofondateur du Hackfest, Patrick Mathieu, le fait que les commerçants puissent voir les renseignements personnels en numérisant le code QR pose problème en ce qui concerne la vie privée. Selon la Commission d'accès à l'information du Québec, toute information qui permet d’identifier une personne physique est un renseignement personnel et doit être considérée comme confidentielle.

Il existe des moyens d’enregistrer les données des clients si l’on se sert d’une application malveillante, comme l’ont rapporté plusieurs médias. «Toute personne malicieuse, que ce soit un commerçant ou l’employé qui fait le scan, peut utiliser sa propre application de scanning au lieu de celle du gouvernement pour enregistrer les données de toute personne qui entre chez eux. Ils peuvent les garder dans le temps et faire ce qu’ils veulent avec elles

Un exemple envisageable en est un de cyberharcèlement. «Par exemple, un employé peut se dire : ‘Ah, cette femme-là est belle, je vais prendre son nom en note et aller la trouver sur Facebook‘. Google a congédié du monde il y a quelques semaines parce qu’ils fouillaient dans des données personnelles.»  

«Le point qu’on entend souvent, c’est que ce n’est pas grave, qu’on donne déjà ces données-là à Facebook, à plein de commerçants et tout ça, l’enjeu n’est pas à ce niveau-là : c’est surtout que le gouvernement te force à divulguer ces informations pour accéder à des endroits où tu ne devrais pas avoir à le faire. Il y a un impact sur les droits et libertés, et on fournit ces informations à des gens en qui on n’a pas confiance. Ce n’est pas la même chose de donner tes informations confidentielles à un médecin, et de les donner à Ginette qui travaille au coin de la rue.»

Les deux experts s’entendent également pour dire que confier la gestion de données de santé sensibles à une entreprise privée représente un risque de sécurité. Patrick Mathieu estime pour sa part qu’Akinox a des lacunes sur le plan de la cybersécurité. «[La communauté Hackfest] a trouvé des problématiques techniques et des bogues dans le scanneur de codes QR. Ce n’est pas très bien fait», dit-il.

https://ici.radio-canada.ca/nouvelle/1818113/passeport-vaccinal-risque-danger-securite-cybersecurite

Vos données à risque sur le passeport vaccinal

(...) En moins de 15 heures, des hackers ont créé une application qui permet de copier les renseignements personnels inclus dans le passeport vaccinal et de suivre à la trace certains déplacements des Québécois.

Ces spécialistes bien intentionnés ne remettent pas en question l’importance du vaccin. Mais ils voulaient démontrer que les renseignements personnels contenus dans le passeport vaccinal, qui sera obligatoire dès le 1er septembre, notamment pour aller au restaurant ou au gym, ne sont pas bien protégés.

Notre Bureau d’enquête s’est entretenu avec l’un des hackers qui ont créé une application permettant de lire les fameux codes QR fournis par le gouvernement à tous ceux qui ont reçu le vaccin.

Nous avons aussi pu tester l’application avec succès et constater par nous-mêmes les deux principales brèches dans la protection des renseignements personnels. «C’est super facile. On peut faire ce que l’on veut avec les informations ensuite», signale l’un des concepteurs qui nous a parlé à condition que son identité soit protégée. Ce spécialiste fait partie de la communauté du Hackfest, un regroupement québécois d’experts en sécurité informatique reconnus dans l’industrie.

Le 12 août dernier, devant certaines craintes soulevées par les partis d’opposition, le premier ministre François Legault a défendu le passeport vaccinal en déclarant qu’il était «totalement sécuritaire».

À moins de deux semaines de son entrée en vigueur, des spécialistes de la sécurité informatique sont inquiets. «Je ne peux pas contrefaire [un code QR], c’est vrai. Mais, il n’y a rien qui m’empêche de lire et de sauvegarder vos informations», note le hacker. Ce dernier encourage d’ailleurs les gens à aller se faire vacciner. «Le problème, c’est la technologie utilisée», plaide-t-il, estimant qu’une preuve en format papier sans code QR serait beaucoup plus sécuritaire.

Selon le fondateur du Hackfest, Patrick Mathieu, l’entreprise mandatée par Québec pour gérer la technologie derrière le passeport vaccinal, Akinox, manque d’expertise en sécurité informatique. «À toutes les fois qu’on fait des vérifications, on trouve des problèmes», affirme-t-il. Lorsque notre Bureau d’enquête a envoyé des questions à l’entreprise, c’est plutôt le ministère de la Santé et des Services sociaux qui nous a répondu.

M. Mathieu admet que la sécurité de l’information est un domaine complexe. Mais bien qu’il y ait une pandémie à combattre, le gouvernement doit s’assurer de protéger les renseignements personnels des Québécois, conclut-il.

L’application créée facilement par les hackers permet de voir les endroits précédents où vous avez scanné votre passeport, et enregistre vos infos personnelles. Difficile, toutefois, de garder pour soi une preuve qu’on doit obligatoirement présenter à une tierce partie pour accéder à un lieu public.

Le ministère de la Santé et des Services sociaux (MSSS) recommande aussi de ne pas «partager une photo de la preuve vaccinale sur les réseaux sociaux». Afin de se faire rassurant, le MSSS soutient qu’il effectue néanmoins une vigie en continu, laquelle est assurée par des experts gouvernementaux en cybersécurité.

DEUX BRÈCHES DANS LE PASSEPORT

1. Suivre vos déplacements – Un commerçant qui détient plusieurs franchises peut facilement savoir où et quand vous avez fait scanner votre passeport vaccinal dans les dernières semaines, dans les établissements qui lui sont liés. Il pourra ainsi étudier vos habitudes de consommation et les exploiter à des fins de marketing. Un réseau de commerçants pourraient aussi partager entre eux ces données pour faire un ciblage encore plus efficace. 

2. Copier vos renseignements personnels – En scannant votre code QR, un commerçant a instantanément accès aux informations suivantes, qu’il peut sauvegarder : prénom; nom de famille; sexe; date de naissance; nom des vaccins reçus; date et lieu de vaccination. Des commerçants mal intentionnés liés au crime organisé, par exemple, pourraient croiser ces données avec celles provenant d’autres fuites de données, comme celle qui a fait 9,7 millions de victimes chez Desjardins.

https://www.journaldemontreal.com/2021/08/20/vos-donnees-a-risque-sur-le-passeport-vaccinal

Faux lecteur de preuve vaccinale un acte frauduleux prévient le ministre Éric Caire

Québec admet qu’il est possible de copier les renseignements personnels inclus dans le passeport vaccinal à l’aide d’un lecteur artisanal, mais prévient qu’il s’agit d’un acte frauduleux passible d’importantes sanctions. «Ce qui est dit dans le reportage n’est pas faux», admet le ministre de la Transformation numérique, Éric Caire, comparant le geste au clonage de cartes de crédit. «Pour nous, c’est un acte frauduleux. Ceux qui vont faire ça s’exposent à des sanctions très importantes.» 

En Europe, où le code QR est obligatoire, l’utilisation frauduleuse d’un lecteur est passible d’une amende de 45 000€ et d'une peine d’emprisonnement d’un an.   

Le ministre tient toutefois à se faire rassurant, alors que les citoyens devront présenter obligatoirement ce passeport vaccinal pour accéder aux commerces non essentiels. «Les Québécois n’ont pas lieu de s’inquiéter», plaide le ministre. «Le lecteur du code QR du gouvernement qui sera sur Apple et Google store va offrir un maximum de sécurité. Le code QR est impossible à altérer. Le gouvernement a inscrit le ‘minimum d’informations’ requis sur le code QR afin qu’il puisse être fonctionnel partout», indique-t-il. «C’est vrai qu’au restaurant, tu n’as pas besoin de ces informations-là. Mais si tu veux traverser la frontière, tu en as besoin», explique Éric Caire. «Aux États-Unis, ils ne reconnaissent pas tous les vaccins.»

Le ministre Caire insiste aussi sur l’importance de protéger sa propre preuve vaccinale et de ne l’utiliser qu’aux moments prescrits. «Le principe même du passeport vaccinal, c’est qu’on doit le faire scanner à l’entrée des restos et des bars! C’est complètement loufoque. Si les renseignements contenus dans le passeport vaccinal ne sont pas sécurisés, c’est entièrement la faute du gouvernement», déclare le député solidaire Vincent Marissal.

https://www.journaldemontreal.com/2021/08/20/faux-lecteur-de-preuve-vaccinal--un-acte-frauduleux-previent-le-ministre-caire

Et bien sûr, il y a ceux qui minimisent les risques et veulent nous faire croire qu’il n’y a aucun danger de sécurité. Les articles précédents contredisent cet analyste.

Disons que je n’ai jamais été obligée de présenter mon permis de conduire au restaurant ou au dépanneur du coin!  

Code QR : moins d’informations que sur le permis de conduire

(...) Pour un analyste en cybersécurité, les risques relatifs aux vols de données personnelles sont plutôt minimes considérant que le code QR contient très peu d’informations sensibles. «Soyons clair sur une chose : le code QR contient nom, date de naissance... C’est beaucoup moins d’informations qu’à peu près toutes les autres pièces d’identité qu’on a et puis on n’a déjà pas de problème à présenter ces pièces-là quand on se fait carter au dépanneur et à la SAQ», explique Steven Lachance, qui cite en exemple le permis de conduire.

https://www.journaldemontreal.com/2021/08/21/code-qr-moins-dinformations-que-sur-le-permis-de-conduire-1