Vu ici en compagnie de la journaliste Camille Carpentier, Louis ne souhaite pas être identifié par peur de représailles. Source : Radio-Canada
Vu ici en compagnie de la journaliste Camille Carpentier, Louis ne souhaite pas être identifié par peur de représailles. Source : Radio-Canada
Contrairement à ce qu'a déclaré le ministre de la Transformation numérique, Éric Caire, le gouvernement du Québec n'a jamais offert d'immunité à l'informaticien qui a découvert la faille de sécurité dans l'application de passeport sanitaire VaxiCode. Des échanges de courriels obtenus par Radio-Canada révèlent les dessous de cette affaire et démontrent que le lanceur d'alerte avait offert son aide dès le premier jour, mais pas sans protection.

Celui que nous avons baptisé Louis, parce qu'il craint des représailles, est parvenu à créer de fausses preuves vaccinales pour des personnes fictives. Ces codes QR ont été reconnus sans difficulté par l'application de validation qu'utiliseront les commerçants à partir du 1er septembre. Sans la révélation de ce problème, des individus malveillants auraient pu vendre de faux sésames à des non-vaccinés.

25 août : Louis informe le ministre

Dès le mercredi 25 août, jour de sortie de l'application VaxiCode, Louis écrit un courriel anonyme au ministre Caire. Je désire vous aider à régler ce problème au plus vite, mais je ne sais pas comment m'y prendre.

26 août : le Centre gouvernemental de cyberdéfense contacte Louis

Le jeudi matin 26 août, n'ayant pas reçu de réponse du ministre, le lanceur d'alerte montre à Radio-Canada ce qu'il a découvert.

Le reportage n'est pas encore terminé, il sera diffusé le lendemain, mais le gouvernement est mis au courant puisque nous le questionnons sur la prétendue inviolabilité de l'application après ce témoignage.

Le Centre gouvernemental de cyberdéfense (CGCD) retrouve alors le courriel adressé à Éric Caire, la veille.

Le directeur chargé de la prévention, de la gestion des incidents et de la détection, Francis Provencher, écrit au lanceur d'alerte : « Je suis très intéressé d'en apprendre plus sur la manière dont tu as mis en place ta preuve de concept ».

Dans la foulée, un autre directeur du CGCD, Steve Gauthier, écrit à Louis que sa « collaboration serait grandement appréciée », même de façon « anonyme ».

Mais Louis est craintif. Deux jours plus tôt, le ministre de la Santé et des Services sociaux Christian Dubé a averti ceux qui font une utilisation inappropriée du passeport vaccinal qu'ils s’exposent à des poursuites criminelles.

27 août : Louis demande l'immunité

À 7 h, vendredi 27 août, alors que Radio-Canada publie son article et révèle au grand jour l'existence d'une faille de sécurité dans l'application, Louis écrit aux directeurs du CGCD ainsi qu'aux ministres Éric Caire et Geneviève Guilbault, de la Sécurité publique. Il offre de nouveau son aide pour corriger le problème, mais à une condition.

« Avec une lettre garantissant l'immunité ..., je vous donne l'info, je peux même aller à vos bureaux et je vous garantie que vous réglez ça ce matin », est-il écrit dans le courriel de Louis, l'informaticien lanceur d'alerte, envoyé au gouvernement, le matin du 27 août.

Il ajoute même qu'il existe une deuxième faille dont il n'a pas parlé publiquement et il aimerait les aider à la corriger.

Louis explique dans son courriel au gouvernement qu'il souhaiterait que le Québec imite la France et mette en place un programme de bounty qui a récompensé les gens qui trouvent des failles dans l'application StopCOVID, plutôt que de les menacer.

À midi, le 27 août, en entrevue à Radio-Canada, le ministre Éric Caire dit « bravo » à Louis pour sa découverte. Il affirme qu'il a « tendu des perches » à l'informaticien, par des « intermédiaires de confiance », pour qu'il puisse « parler en toute immunité », mais que Louis aurait « refusé » cette offre.

Cette information est vivement démentie par le lanceur d'alerte. Même l'attachée de presse du ministre, Nathalie St-Pierre, affirme aujourd'hui qu'Éric Caire « n'a jamais dit qu'il offrait l'immunité ».

D'ailleurs, le soir même du 27 août, le directeur au CGCD Steve Gauthier répond à Louis que son équipe « a récemment réfléchi à la mise en place d'un processus de divulgation pour permettre à la population de nous informer des vulnérabilités trouvées dans nos applications. Par contre, la manière de procéder n'a pas été définie ».

L'informaticien anonyme répond au courriel : « Donnez-moi cette protection (...) et je vous informerai si vos corrections fonctionnent ou pas ».

« Je suis seulement une bonne personne qui voulait vous aider », a mentionné Louis dans son courriel, envoyé au gouvernement, le soir du 27 août.

En fin de journée, le ministre Éric Caire affirme à différents médias que la faille de sécurité a été corrigée. Louis est étonné, car il n'a pas encore détaillé à quiconque du gouvernement sa démarche.

28 août : pas d'immunité, mais le gouvernement a besoin de lui

En soirée, samedi 28 août, Steve Gauthier écrit à Louis qu'il le croit de bonne foi : « À notre connaissance, tu n'as pas utilisé ta découverte à des fins autres que des tests ». Il ne peut toutefois lui offrir de protection.

« Je comprends bien ton dilemme, mais sache que nous n'avons aucune autorité sur des enquêtes potentielles ou immunités », a écrit Steve Gauthier, directeur au Centre gouvernemental de cyberdéfense, dans un courriel adressé à Louis.

Steve Gauthier ajoute qu'une mise à jour de l'application va être faite pour pallier le problème, mais « il serait apprécié qu'on puisse vérifier qu'elle corrige ce qui a été trouvé de ta part ».

Le dossier dans les mains de la SQ

La faille découverte par Louis a-t-elle été vraiment colmatée? Le cabinet du ministre réaffirme que oui.

Nathalie St-Pierre regrette que les choses se soient passées ainsi. Elle reproche à l'informaticien sa démarche qui l'a rapidement amené à parler aux médias. « S'il n'était pas sorti publiquement, on aurait pu éventuellement collaborer ».

Il a commis « une fraude », dit l'attachée de presse du ministre Caire.

« C'est comme si tu faisais un vol de banque et que tu appelais ensuite la banque pour dire que tu aimerais lui expliquer comment tu as fait pour voler », a déclaré Nathalie St-Pierre, attachée de presse du ministre Éric Caire.

Le dossier de Louis « est entre les mains de la Sûreté du Québec », nous a appris le cabinet du ministre.