Le fameux « code QR » au Québec… comment ça marche?

Depuis quelques mois/semaines déjà, le ministre Dubé prépare la population à la mise en place d’un système de contrôle vaccinal. Sans donner de raison particulière pour la mise en place de ce système, ni de preuve sur son efficacité ou son application réelle, le ministre de la santé a décidé d’utiliser le concept du « code QR » afin de contrôler la population à des endroits encore non définis.

Au Québec, ce code QR sera envoyé aux québécois vaccinés dès ce jeudi, 13 mai 2021.

Un code QR peut prendre plusieurs formes. Fondamentalement, le code QR joue le même rôle qu’un code barre, sauf que de par son design, il permet d’effectuer plus d’actions ou de contenir plus d’informations. Le code QR est scanné par des utilisateurs de téléphones intelligents simplement en utilisant leur caméra ou en utilisant d’autres dispositifs intelligents et en fonction de ce qui est contenu dans le code QR, le téléphone ou le dispositif effectuent l’action reliée.

Par exemple, le code QR peut jouer simplement le rôle d’un URL et amener la personne qui le scan sur un site web. Ou lui faire télécharger un fichier. Ou encore, le code QR peut simplement confirmer/résumer l’information contenue dans un document et fournir une méthode rapide de le scanner.

Bref, le code QR a plusieurs fonctions et simplement dire « on va utiliser un code QR » ne veut fondamentalement rien dire. Et ultimement, toutes les utilisations possibles d’un code QR, dans le but de confirmer une information, contiennent plus de désavantages que d’avantages. Nous attendions donc impatiemment plus de détails techniques de la part du ministre Dubé avant de vulgariser les enjeux en lien avec cette décision tactique en plus de communiquer les dangers et les raisons de s’opposer à l’implantation de cette technique.

Ce que l’on sait

Dans le cadre de la conférence de presse du ministre Dubé du 11 mai 2021, à 51 minutes et 29 secondes, en anglais, à CBC, celui-ci a finalement donné une réponse quant au fonctionnement de la bête : ce sera un code QR chiffré et connecté à une base de données afin de déchiffrer la clé et confirmer l’identité de la personne.

Cela est donc beaucoup, beaucoup plus invasif qu’originalement prévu. Le mode de fonctionnement technique de cette méthode a d’ailleurs été présenté en détail dans ce papier . Cela ne représente pas nécessairement la méthode finale qui sera utilisée, mais le mode de fonctionnement général sera probablement le même.

Ce que l’on retient notamment de cette technique est ce graphique.

Ce que la figure 4 démontre, c’est le fonctionnement du chiffrement et déchiffrement du code QR et comment celui-ci est scanné, conservé et utilisé.

Le fonctionnement est le suivant :

  1. Lorsque la personne se présente pour se faire vacciner, les serveurs du gouvernement vont générer un code QR qu’ils enverront par courriel à la personne vaccinée. Ce code QR sera chiffré et inclura notamment le nom (et autres informations sensibles), le vaccin reçu, la date, etc.
  2. Lorsqu’une personne se fera demander sa preuve de vaccination (on ne sait pas encore ni qui aura le droit, ni le quand, ni le comment), il devra fournir son code QR sur son cellulaire ou sur un papier imprimé.
  3. La personne qui effectue le contrôle vaccinal va scanner le code QR avec son cellulaire ou un dispositif intelligent quelconque fournit par le gouvernement.
  4. En scannant, le dispositif intelligent va se connecter aux serveurs du gouvernement qui vont déchiffrer le contenu du code QR et indiqué si le code QR est officialisé avec le gouvernement. Si oui, l’information déchiffrée sera envoyée sur le dispositif intelligent et affichée, sinon, cela va informer la personne qui fait le contrôle vaccinal que la personne n’est pas vaccinée.
  5. Les serveurs du gouvernement vont pouvoir conserver toutes les données/métadonnées reliées à ce scan de code QR, notamment l’heure et la géolocalisation du scan du code QR.
  6. La personne qui effectue le contrôle vaccinal aura alors la confirmation du gouvernement si la personne devant elle s’est vraiment fait vacciner, ou pas.
  7. Elle devra par la suite effectuer un contrôle d’identité de cette dernière afin de confirmer qu’elle est bien la personne a qui appartient le code QR. Les méthodes pour effectuer le contrôle de l’identité n’ont pas encore été dévoilée, mais cela pourrait se faire en montrant une carte d’identité ou en affichant une photo sur le dispositif intelligent de la personne qui effectue le contrôle vaccinal.

Pourquoi doit-on s’opposer à ce système?

Tout d’abord, il faut savoir qu’un contrôle vaccinal utilisant cette méthode de code QR est extrêmement intrusif. Il s’agit, fondamentalement, d’un contrôle d’identité avancé. C’est une manière, pour le gouvernement, de suivre en temps quasi-réel un citoyen. Les données liées à cette méthode permettent également au gouvernement de faire du croisement de données en sachant, par exemple, quelle personne accompagne telle personne, et ainsi de suite. Et on ne sait pas comment ces données seront réutilisées par la suite et dans quels systèmes elles se promèneront.

Les contrôles d’identités sont des mesures très encadrées au niveau de la loi, justement pour éviter les abus, qui se sont déjà passés très fréquemment. Il y a fondamentalement seulement 3 raisons pour laquelle nous devons absolument fournir une preuve d’identité.

  1. Vous conduisez un véhicule à moteur (même un scooter)
  2. Un policier vous intercepte parce qu’il croit que vous avez commis une infraction
  3. Vous correspondez à la description d’une personne qui vient de commettre une infraction

Il est donc difficile de justifier l’implantation d’une telle mesure lorsque vient le temps d’aller faire son épicerie ou d’aller au restaurant.

Au-delà du gouvernement, cela représente aussi un enjeu de vie privée car la personne qui effectue le contrôle vaccinal est une personne privée. Aucun contrôle n’est fait quant au comment les informations auxquelles elle a accès sont conservées ou utilisées. Une personne pourrait utiliser les informations capturées par ce contrôle vaccinal à ses propres fins.

Il y a également des enjeux sur la méthode en soi. La personne qui effectue le contrôle vaccinal n’est pas un représentant de l’État. C’est un citoyen comme un autre. Cette personne peut à la fois avoir accès à l’information chiffrée et celle déchiffrée. Informations qu’elle pourrait réutiliser aussi à ses propres fins. On n’a pas plus d’informations quant à comment et où ces informations seront stockées au niveau du dispositif.

Bref.

Le code QR n’est pas une panacée. Et ce n’est pas une stratégie d’endiguement d’une pandémie. C’est un outil technologique. Un outil technologique dont l’utilisation doit être encadrée par des processus de gouvernance, eux-mêmes faisant partie d’une stratégie d’endiguement de la pandémie, ce qui n’est absolument pas le cas ici.

Ici, le code QR est « la stratégie ».

Et c’est ce qui fait peur.

Car le code QR, originalement plutôt utilisé à des fins marketing, est avant tout un outil de contrôle qui stocke des données, pour ensuite être « weaponized » et être utilisé à outrance dans des systèmes autoritaires et dictatoriaux (en Chine et dans d’autres régimes au Moyen-orient). C’est un outil qui, s’il n’est pas bien encadré, est liberticide.

Et en ce moment, il n’est pas du tout encadré.

C’est pourquoi il faut s’y oppposer.

FacebooktwitterredditpinterestlinkedintumblrmailFacebooktwitterredditpinterestlinkedintumblrmail

Publié par

Luc Lefebvre

Geek humaniste. Expert en gouvernance de la sécurité de l’information de jour et président-cofondateur de Crypto.Québec de soir. Ses intérêts sont le renseignement, la politique, la sécurité internationale, la technologie, la démocratie, le progrès, les droits humains et l’astronomie.