POLITIQUE
14/08/2020 14:07 EDT | Actualisé 14/08/2020 15:22 EDT

COVID-19: l'application de traçage attirerait les cybercriminels, dit un expert

Un spécialiste en cybersécurité a averti les députés des «vulnérabilités» de la technologie Bluetooth.

artoleshko via Getty Images

QUÉBEC — Le gouvernement Legault persiste à croire que les “bénéfices” d’une application de notification de la COVID-19 au Québec pourraient être “très importants”, alors que l’écrasante majorité des experts venus témoigner en commission parlementaire lui ont dit le contraire.

“Nous avons entendu diverses opinions, je dirais, a déclaré vendredi la députée caquiste Joëlle Boutin au sortir de la commission. L’objectif d’une technologie comme ça, (...) c’est d’ultimement sauver des vies.”

“La seule conclusion possible pour quiconque a écouté les experts (...), c’est que c’est une fausse solution, (...) inutile et dangereuse”, a rétorqué le co-porte-parole de Québec solidaire, Gabriel Nadeau-Dubois.

“C’est plus qu’unanime, a renchéri la libérale Marwah Rizqy avec un rire d’incrédulité. Ils nous recommandent de ne pas aller de l’avant”. Le péquiste Martin Ouellet a également dit “non”, vendredi, à une telle application.

Risque de piratage “réel et significatif”

C’est que pour une troisième journée d’affilée, les experts se sont succédé à l’Assemblée nationale pour exprimer d’importantes réserves sur les applications de notification de la COVID-19.

Le spécialiste en cybersécurité, Claude A. Sarazin, a lancé le bal en signalant toutes les “vulnérabilités” de la technologie Bluetooth qui serait utilisée dans une éventuelle application québécoise.

Le gouvernement Legault envisage de déployer dès septembre une application qui permettrait à l’utilisateur l’ayant téléchargée d’être informé d’une exposition éventuelle avec une personne contaminée à la COVID-19.

Elle serait gratuite, optionnelle et fonctionnerait sans stockage des données ni géolocalisation. On inviterait la personne infectée à entrer un code unique dans son appareil mobile afin d’alerter les autres abonnés qui ont pu être en contact avec elle.

En juillet, le gouvernement fédéral de Justin Trudeau lançait “Alerte-COVID” qui reprend ces grands principes et qui est pour l’instant seulement utilisée en Ontario.

Selon M. Sarazin, la concentration d’une grande quantité de données – aussi insignifiantes puissent-elles paraître – est sûre d’attirer les cybercriminels.

L’usage de la technologie Bluetooth à longueur de journée constitue une “porte d’entrée pour des attaques sur les systèmes informatiques des gens” et des entreprises pour lesquelles ils travaillent, a-t-il déclaré.

Il y a toujours un risque d’identification de la personne, a-t-il renchéri, en rappelant que le vol de données est “excessivement payant” pour les criminels et très nocif ”à long terme” pour les victimes.

“Est-ce que vous diriez que le risque d’attaque ou de piratage d’applications qui fonctionnent par Bluetooth est réel (...) et significatif?” lui a demandé M. Nadeau-Dubois.

“Absolument”, a répondu M. Sarazin.

En somme, l’expert recommande au gouvernement Legault de ne pas déployer une application de notification de la COVID-19 et d’investir plutôt en santé publique, tel que l’a fait la Colombie-Britannique.

Le premier ministre de la Colombie-Britannique, John Horgan, a récemment annoncé le recrutement de 500 professionnels de la santé pour retrouver les personnes qui ont été exposées au coronavirus dans la province.

Le gouvernement Legault demande un “chèque en blanc”

Au moment où l’efficacité d’une telle application reste à démontrer, le gouvernement Legault demande à la population un “acte de foi”, estime Stéphane Roche, professeur en sciences géomatiques à l’Université Laval.

Il a expliqué être “très sceptique” quant à la qualité de la notification qui serait envoyée à l’utilisateur. Selon lui, personne ne peut garantir qu’elle sera pertinente.

“Peut-être que c’est une notification qui va vous effrayer pour rien. (...) Est-ce qu’on est prêt à vivre ça pour le peu que ça apporte, l’énergie que ça prend, les moyens que ça demande?”

“Peut-être que dans certains cas, ça va fonctionner, mais c’est un peu demander à la population de signer un chèque en blanc, c’est un acte de foi qu’on lui demande. L’efficience n’a jamais été prouvée”, a-t-il insisté.

M. Roche croit par ailleurs que le gouvernement fédéral a “sorti ça de son chapeau”. “Imaginez la personne qui est derrière la caisse chez IGA. Elle va être notifiée combien de fois cette personne-là?” a-t-il illustré.

À l’instar de la Commission des droits de la personne et de la Commission d’accès à l’information, il craint qu’employeurs, propriétaires d’immeubles et commerçants ne commencent à l’exiger pour transiger avec eux.

“Ma crainte c’est, “si vous n’avez pas l’appli, pas de services pour vous”″, a-t-il résumé.

À la députée Joëlle Boutin qui a suggéré de retirer l’application si elle s’avérait inutile, Céline Castets-Renard, de l’Université d’Ottawa, a répondu que ce n’était pas si simple.

“Je ne suis pas d’accord, a-t-elle dit. Ça peut entraîner une banalisation (...): “Bon, c’est pas grave, on abandonne un peu sa vie privée” et cet écueil me paraît dangereux.”