31 août 2021

Dénonçons l’injustice envers le hacker du code QR!

L’incompétent n’avoue jamais qu’il est nul.

Au lieu de remercier le lanceur d’alerte pour sa découverte, on le traînera en justice. Eh bien moi, je lui dis un gros MERCI!

Éric Caire prouve encore son incompétence. Au lieu d’avouer ses erreurs et d’accepter l’aide du hacker bienveillant,  il nous livre en pâture aux hackers malveillants. En prime, il ment pour sauver la face – il prétend avoir offert l’immunité, mais son attachée de presse elle-même nie cette affirmation – chic! C’est choquant. Il n’y a pas de mots pour qualifier cette attitude infantile (sauf sur Lorembarnak https://lorembarnak.com/ ).

On n’est définitivement pas au siècle cabinet des lumières! La CAQ s’enfonce à chaque fois qu’un ministre ouvre la bouche. Au départ, le gouvernement majoritaire est une inquiétante petite dictature, mais quand il est constitué d’une pléthore de candidats ignorants et incompétents, il devient un danger public.

«La société ne songe nullement à éclairer et, dans toute forme d'État, les gouvernements sont intéressés à faire en sorte que la société qu'ils gouvernent ne soit pas éclairée car s'ils éclairaient la société qu'ils gouvernent, il ne faudrait pas beaucoup de temps avant qu'ils soient anéantis par cette société qu'ils auraient éclairée.» ~ Thomas Bernhard

En voilà une preuve : [Nathalie St-Pierre, l’attachée de presse d’Éric Caire], regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. «S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer.»

Par chance que le journaliste d’enquête Thomas Gerbet est là pour nous éclairer sur le déroulement des faits. Je me permets de reproduire son article intégralement.

Faille de VaxiCode : Québec a refusé de donner l’immunité au lanceur d’alerte

L'informaticien qui a trouvé la brèche de sécurité dans l'application de passeport sanitaire avait offert son aide au ministre Éric Caire dès le 25 août.

Thomas Gerbet / ICI Radio-Canada Info, 31 août 2021

Contrairement à ce qu'a déclaré le ministre de la Transformation numérique, Éric Caire, le gouvernement du Québec n'a jamais offert d'immunité à l'informaticien qui a découvert la faille de sécurité dans l'application de passeport sanitaire VaxiCode. Des échanges de courriels obtenus par Radio-Canada révèlent les dessous de cette affaire et démontrent que le lanceur d'alerte avait offert son aide dès le premier jour, mais pas sans protection.

Celui que nous avons baptisé Louis, parce qu'il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l'application de validation qu'utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non vaccinés.

25 août : Louis informe le ministre

Dès le mercredi 25 août, jour de sortie de l'application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. «Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m'y prendre.»

26 août : le Centre gouvernemental de cyberdéfense contacte Louis

Le jeudi matin 26 août, n'ayant pas reçu de réponse du ministre, le lanceur d'alerte montre à Radio-Canada ce qu'il a découvert.

Le reportage n'est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l'application après ce témoignage.

Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.

Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d'alerte : «Je suis très intéressé d'en apprendre plus sur la manière dont tu as mis en place ta preuve de concept».

Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa «collaboration serait grandement appréciée», même de façon «anonyme».

Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des poursuites criminelles.

27 août : Louis demande l'immunité

À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l'existence d'une faille de sécurité dans l'application, Louis écrit aux directeurs du CGCD ainsi qu'aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.

«Avec une lettre garantissant l'immunité [...], je vous donne l'info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin.» (Extrait du courriel de Louis, l'informaticien lanceur d'alerte, envoyé au gouvernement, le matin du 27 août)

Il ajoute même qu'il existe une deuxième faille dont il n'a pas parlé publiquement et il aimerait les aider à la corriger.

Louis explique dans son courriel au gouvernement qu'il souhaiterait que le Québec imite la France et mette en place un programme de «bounty» qui a récompensé les gens qui trouvent des failles dans l'application StopCOVID, plutôt que de les menacer.

À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit «bravo» à Louis pour sa découverte. Il affirme qu'il a «tendu des perches» à l'informaticien, par «des intermédiaires de confiance», pour qu'il puisse «parler en toute immunité», mais que Louis aurait «refusé» cette offre.

Cette information est vivement démentie par le lanceur d'alerte. Même l'attachée de presse du ministre, Nathalie St-Pierre affirme aujourd'hui qu'Éric Caire « n'a jamais dit qu'il offrait l'immunité ».

D'ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe «a récemment réfléchi à la mise en place d'un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n'a pas été définie».

L'informaticien anonyme répond au courriel : «Donnez-moi cette protection [...] et je vous informerai si vos corrections fonctionnent ou pas».

En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n'a pas encore détaillé à quiconque du gouvernement sa démarche.

28 août : pas d'immunité, mais le gouvernement a besoin de lui

En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu'il le croit «de bonne foi» : «À notre connaissance, tu n'as pas utilisé ta découverte à des fins autres que des tests.» Il ne peut toutefois lui offrir de protection. «Je comprends bien ton dilemme, mais sache que nous n’avons aucune autorité sur des enquêtes ou immunités.»

Steve Gauthier ajoute qu'une mise à jour de l'application va être faite pour pallier le problème, mais «il serait apprécié qu'on puisse vérifier qu'elle corrige ce qui a été trouvé de ta part».

Le dossier dans les mains de la SQ

La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.

Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. «S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer.»

Il a commis «une fraude», dit l'attachée de presse du ministre Caire. «C'est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler.» Nathalie St-Pierre, attachée de presse du ministre Éric Caire

Le dossier de Louis "est entre les mains de la Sûreté du Québec", nous a appris le cabinet du ministre.

https://ici.radio-canada.ca/nouvelle/1820486/vaxicode-passeport-vaccinal-faille-application-lanceur-alerte

Aucun commentaire:

Publier un commentaire