Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

Vaccination : que faire avec votre code QR et comment le protéger ?

Par Marie-Eve Shaffer
code-QR

Quelques heures après avoir retroussé votre manche, vous avez reçu par courriel ou par messagerie texte un lien pour télécharger votre preuve de vaccination contre la COVID-19, qui comprend un code QR. Que devez-vous faire avec ce document électronique ?

La preuve de vaccination qui vous est transmise par le ministère de la Santé et des Services sociaux indique votre prénom, votre nom, votre date de naissance, le vaccin qui vous a été administré et s’il s’agit d’une première ou d’une deuxième dose — peut-être même d’une troisième dose pour certains voyageurs. La date et l’endroit où vous avez été vacciné sont également précisés.

Pour le chef d’équipe de renseignement et de sécurité de l’entreprise de sécurité informatique ESET, Alexis Dorais-Joncas, les informations contenues dans la preuve vaccinale et auxquelles donne accès le code QR sont plutôt limitées. Il conseille tout de même de les protéger, comme on le fait avec celles de notre permis de conduire.

« L’important est de garder [ces informations] en sécurité dans son portefeuille ou son ordinateur, de ne pas les montrer à n’importe qui et de ne pas les partager », dit-il.

Le ministère de la Santé abonde dans le même sens. « Il appartient au citoyen d’assurer la sécurité de son code QR, au même titre que toute autre information transmise par le gouvernement du Québec », prévient son porte-parole, Robert Maranda.

Vous pouvez ainsi imprimer votre preuve vaccinale et la conserver dans votre portefeuille ou la garder dans votre téléphone intelligent, de façon à ce qu’elle soit accessible en tout temps.

Enjeux de sécurité

Alexis Dorais-Joncas souligne qu’il est possible de rehausser la sécurité entourant son code QR en le chiffrant et en le conservant dans une voûte virtuelle. Des logiciels existent pour garder des données confidentielles en lieu sûr. « Mais pour qu’une personne rentre dans mon téléphone et vole mon code QR… ça serait une attaque très difficile [à mener]. Ça commence à être un scénario à la James Bond. » L’expert ajoute que l’enjeu que pose le code QR touche davantage la protection des renseignements personnels que les pratiques frauduleuses.

Robert Maranda rapporte d’ailleurs que des fraudes entourant le code QR ont été détectées, mais qu’elles ont été commises par des escrocs ayant fourni de fausses informations avant que le code soit produit. « À ce jour, aucune altération ou contrefaçon du code QR n’a été portée à l’attention de l’Équipe intégrée en sécurité du bureau du directeur de la campagne », dit-il.

Le code QR n’est pas falsifiable, mentionne le porte-parole du ministère de la Santé et des Services sociaux. « [Il] n’est pas chiffré et il répond au standard du Vaccination Credential InitiativeSmart Health Cards, ce qui fait que le code QR est dans un format interopérable et compréhensible librement », précise-t-il.

Autrement dit, votre code QR a été conçu pour que vous puissiez conserver vos informations médicales à la portée de la main et les partager facilement. C’est ce qui est d’ailleurs expliqué dans le site internet de Smart Health Cards.

Possibilité d’enregistrer le code QR ?

Si l’adoption d’un tel standard international s’avère a priori logique, elle comporte une part d’inconvénients, d’après Alexis Dorais-Joncas. « Le problème, c’est que n’importe qui peut faire une application pour lire les informations du code QR et les enregistrer. C’est là que c’est dangereux », explique-t-il.

Le site du gouvernement du Québec indique que les codes QR ne sont pas « décodables pour l’instant », mais Radio-Canada a consulté des experts qui ont été en mesure de les lire facilement.

Afin d’éviter un nouveau confinement, la preuve vaccinale deviendra obligatoire pour pratiquer des activités jugées non essentielles, a annoncé cette semaine le premier ministre François Legault. Il est ainsi possible que vous deviez montrer votre code QR pour aller vous entraîner dans un gym, assister à un spectacle ou rejoindre des amis dans un bar. Un représentant du commerce le validera au moyen d’une application mobile. Et vous ne serez jamais en mesure de vérifier si vos informations n’ont pas été enregistrées, prévient M. Dorais-Joncas.

Des solutions

Pour remédier à la situation, le chiffrement des codes QR pourrait s’avérer une solution, mais il occasionnerait d’autres problèmes, notamment en ce qui a trait à leur reconnaissance à l’étranger.

« Un autre moyen serait de limiter encore plus les informations contenues dans le code QR », propose le chef d’équipe de renseignement et de sécurité à ESET. Par exemple, le document électronique pourrait présenter seulement votre prénom, votre nom, votre date de naissance et votre statut vaccinal (incomplet ou complet). Cela dit, un minimum de renseignements personnels doit se retrouver dans le code QR pour que sa validité puisse aussi être vérifiée avec la présentation d’une pièce d’identité avec photo, signale Alexis Dorais-Joncas.

>> À lire aussi : 5 questions sur le passeport vaccinal et Grand dossier : comment protéger vos données personnelles

  Ajouter un commentaire

L'envoi de commentaires est un privilège réservé à nos abonnés.

  • Par RENE-CLAUDE VINCENT-ALLAIRE
    10 Août 2021

    "Ce ne sont pas des gens avec des formations ou des responsabilités spéciales, comme des douaniers, qui vont manipuler ces informations sensibles", s'inquiète Luc Lefebvre, cofondateur et président de Crypto Québec. "On parle de n'importe qui dans un restaurant qui va lire notre nom, notre date de naissance."

    C'est le téléphone cellulaire des gens, donc ils peuvent prendre une capture de tout ce qui va passer à travers leur cellulaire.
    Une citation de :
    Luc Lefebvre, cofondateur et président de Crypto Québec

    Avec ces informations, "un commerçant pourrait retracer ces clients sur Internet", dit Luc Lefebvre. Est-ce si grave qu'un commerçant connaisse notre nom et notre date de naissance? « Oui », répond Steve Waterhouse.

    C'est toujours le cumul de petites informations qui ont l'air anodines qui en fait un tout qui peut compromettre l'identité de la personne.

    Alors en gros, si vous décidez d'aller dans un restaurant par exemple ce sera à vos risques.

  • Par ANDRE CADIEUX
    06 Août 2021

    pourquoi le code QR ne serait-il pas accompagné de la photo qui est sur la carte d'assuance-maladie ?