Le projet de passeport vaccinal du Québec était voué à l'échec dès le départ.
Le système déployé s'appuie sur l'incapacité du gouvernement à fournir une quelconque forme d'identification numérique et à limiter les dommages liés au vol d'identité. Après tout, aujourd'hui, votre date de naissance reste une information très confidentielle.... que tout le monde connaît.
Les experts en sécurité sont censés examiner l'ensemble du processus et assister un projet de manière à ce que les résultats globaux soient favorables, en fonction des risques calculés à chaque étape.
Voici ce qui aurait dû être considéré comme une alternative.
Tout d'abord, comprenons que le système actuel implique une application utilisée par les entreprises qui ne communique pas avec un système central. Laissons de côté le fait que l'obtention d'un faux code QR est possible (par le biais de documents de vaccination falsifiés), les codes QR contiennent des informations sensibles comme les dates de naissance, et il sera désormais acceptable que les gens "scannent" ces informations. Cette approche transfère également la charge de l'authentification à chaque opérateur commercial, puisqu'il DOIT désormais demander à chacun une pièce d'identité afin de pouvoir vérifier que le code QR correspond à la personne. Mettons de côté le fait que, si je me souviens bien, il n'est même pas légal ou acceptable de demander un permis de conduire, et que le code QR est a aucun moyen de vérifier avec un système central si le code est le bon. Pousser l'authentification de la personne et la validité du code QR vers le propriétaire de l'entreprise est littéralement la chose la plus stupide qu'un système censé être sécurisé puisse faire et s'attendre à ce que cela fonctionne est encore plus ridicule.
Le système aurait pu être le suivant :
1) Un QR Code qui est une clé totalement aléatoire.
2) Une application qui lit le code et consulte une base de données centrale pour valider que ce code est valide.
3) L'application affiche alors la photo de l'individu prise dans le système de la RAMQ puisque presque tout le monde a déjà sa photo dans ce système.
Voilà ! Le propriétaire du commerce n'a plus à demander aux gens une pièce d'identité et si la personne devant lui correspond à la photo, alors cette personne est vaccinée et conforme.
La seule question à résoudre serait de savoir comment traiter les personnes qui ne sont pas dans le système de la RAMQ, et envoyer ces personnes à la SAAQ avec leur preuve de vaccination pour qu'elles puissent se faire photographier ne semble pas si complexe. Si c'est le cas, il est certainement possible d'avoir quelques bureaux régionaux qui offrent ce service.
En fin de compte, ce système est un échec et, à moins que des changements ne soient apportés, il sera une véritable plaie pour tous les propriétaires d'entreprises.
Espérons que les versions canadienne et internationale apprennent de ces erreurs et ne continuent pas dans cette direction.
_______________________________________________
Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs. Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.
Suivez Eric sur :
Twitter : @ericparent
LinkedIn : EVA-Technologies
No comments:
Post a Comment