Friday, August 13, 2021

The vaccin passport is a failure - Our government should really talk with some experts

The Quebec vaccin passport project was doomed from the start.




Clearly no security expert was consulted or listened too prior to launching this eminent failure.


The system deployed builds on the governments failure to provide any form of digital ID and limit the damages of identity theft.  After all, today, your birthday remains a very confidential piece of information…. that everyone knows.


Security experts are supposed to look at the entire process and assist a project so that the overall results are favourable based on calculated risks at each step.


Here is what should have been considered as an alternative.


First, let's understand that the current system involves an application used by businesses that does not talk to a central system.  Let's put aside that it is possible to obtain a false QR code (based on falsified vaccination paperwork), the QR codes contain sensitive information such as birthdates that we now accept will be "scanned".  This approach also transfers the burden of authentication to every business operator, as they now MUST ask everyone for ID so that they can check that the QR code matches the individual.  Let's put aside that If I recall it is not even legal or acceptable to ask for a drivers license and that there is no way to check with a central system if the code is for the person in front of you.  Pushing the authentication of the person and the validity of the QR code down to the business owner is literally the stupidness thing an expected secure system could do and expecting it to work is even more ridiculous.


The system could have been this:


1) A QR Code that is a fully random key

2) An application that reads the code and consults a central database to validate that this code is valid

3) The application then displays the photo of the individual taken from the RAMQ system since almost everyone has their photo already in that system.


Voila!   The business owner no longer has to ask people for ID and the if the person in front of them matches the picture, then that person is vaccinated and compliant.


The only issue left to resolve would be how to handle the people who are not in the RAMQ system, and sending these folks to the SAAQ with their proof of vaccination so they can have their photo taken does not seem that complex.  If it is, then having a few regional offices that offer the service certainly is attainable.


Bottom line, this system is a failure and unless some changes are made, will be a major pain in the ass for all business owners.


Let's hope that the Canadian and international versions learn from these mistakes and do not continue in this direction.


_______________________________________________


Eric Parent is a senior security expert, specialized in coaching senior executives.  He occasionally teaches CyberSecurity at l'Ecole Polytechnique and HEC Universities in Montreal, and is CEO of Logicnet/EVA-Technologies, one of Canada's oldest privately owned security companies.


Follow Eric on:

Twitter @ericparent

LinkedIn :  EVA-Technologies



Le passeport-vaccin est un échec - Notre gouvernement devrait vraiment discuter avec des experts.

Le projet de passeport vaccinal du Québec était voué à l'échec dès le départ.



Il est clair qu'aucun expert en sécurité n'a été consulté ou écouté avant de lancer ce projet défaillant.

Le système déployé s'appuie sur l'incapacité du gouvernement à fournir une quelconque forme d'identification numérique et à limiter les dommages liés au vol d'identité.  Après tout, aujourd'hui, votre date de naissance reste une information très confidentielle.... que tout le monde connaît.


Les experts en sécurité sont censés examiner l'ensemble du processus et assister un projet de manière à ce que les résultats globaux soient favorables, en fonction des risques calculés à chaque étape.


Voici ce qui aurait dû être considéré comme une alternative.


Tout d'abord, comprenons que le système actuel implique une application utilisée par les entreprises qui ne communique pas avec un système central.  Laissons de côté le fait que l'obtention d'un faux code QR est possible (par le biais de documents de vaccination falsifiés), les codes QR contiennent des informations sensibles comme les dates de naissance, et il sera désormais acceptable que les gens "scannent" ces informations.  Cette approche transfère également la charge de l'authentification à chaque opérateur commercial, puisqu'il DOIT désormais demander à chacun une pièce d'identité afin de pouvoir vérifier que le code QR correspond à la personne.  Mettons de côté le fait que, si je me souviens bien, il n'est même pas légal ou acceptable de demander un permis de conduire, et que le code QR est a aucun moyen de vérifier avec un système central si le code est le bon.  Pousser l'authentification de la personne et la validité du code QR vers le propriétaire de l'entreprise est littéralement la chose la plus stupide qu'un système censé être sécurisé puisse faire et s'attendre à ce que cela fonctionne est encore plus ridicule.


Le système aurait pu être le suivant :


1) Un QR Code qui est une clé totalement aléatoire.

2) Une application qui lit le code et consulte une base de données centrale pour valider que ce code est valide.

3) L'application affiche alors la photo de l'individu prise dans le système de la RAMQ puisque presque tout le monde a déjà sa photo dans ce système.


Voilà !   Le propriétaire du commerce n'a plus à demander aux gens une pièce d'identité et si la personne devant lui correspond à la photo, alors cette personne est vaccinée et conforme.


La seule question à résoudre serait de savoir comment traiter les personnes qui ne sont pas dans le système de la RAMQ, et envoyer ces personnes à la SAAQ avec leur preuve de vaccination pour qu'elles puissent se faire photographier ne semble pas si complexe.  Si c'est le cas, il est certainement possible d'avoir quelques bureaux régionaux qui offrent ce service.


En fin de compte, ce système est un échec et, à moins que des changements ne soient apportés, il sera une véritable plaie pour tous les propriétaires d'entreprises.


Espérons que les versions canadienne et internationale apprennent de ces erreurs et ne continuent pas dans cette direction.

_______________________________________________


Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies


Disposerons-nous un jour d'une carte d'identité numérique provinciale qui sécurise réellement vos opérations bancaires ?

  J'ai fait une entrevue ce matin sur QUB Radio basée sur un article du Journal de Montréal qui a été publié aujourd'hui et qui disc...