2021/08/15

Pour la transparence technologique

À environ deux semaines de l’entrée en vigueur du passeport vaccinal au Québec, notre gouvernement se montre avare d’informations sur les technologies qui seront utilisées. Nous savons que les codes QR qui servent de preuve de vaccination numérique seront lus à l’aide d’une application mobile. Pour ce faire, une clé de chiffrement, vraisemblablement intégrée à l’application mobile, sera utilisée. Il me semble avoir lu quelque part que l’application mobile devrait à ce moment entrer en communication avec une base de données du gouvernement pour vérifier l’information contenue dans les codes QR, mais je n’ai pas réussi à retrouver l’article de journal en question.

Quant au site du gouvernement, il dit ceci sur les technologies utilisées pour l’implantation du passeport vaccinal :

« Différence entre la preuve de vaccination et le passeport vaccinal

La preuve de vaccination électronique est un document en format PDF qui se télécharge à partir de votre ordinateur ou de votre appareil mobile. Elle contient vos informations personnelles, le vaccin que vous avez reçu et un code QR qui contient ces informations. Pour en savoir plus, consultez la page Preuve de vaccination contre la COVID-19.

Le passeport vaccinal est un outil qui interprétera l’information contenue dans votre preuve de vaccination pour déterminer votre statut de protection contre la COVID-19. Il ne présentera pas vos informations personnelles ni les informations sur la maladie que vous avez eue, ou le détail des vaccins que vous avez reçus. »

(Site du gouvernement du Québec, « Passeport vaccinal COVID-19 », consulté le 15 août 2021.)

Pour l’instant, aucune application ne semble être requise de la part du détenteur de la preuve de vaccination. Il vaut mieux qu’il en soit ainsi et que cela demeure ainsi. Sinon toute personne qui aurait voulu utiliser le passeport vaccinal aurait dû se demander ce que pourrait faire cette application et quelles données elle pourrait collecter et transmettre au gouvernement, par exemple en ayant accès à la géolocalisation du téléphone mobile, ce qui pourrait rendre possible une certaine forme de traçage.

D’autres questions doivent être posées à propos de l’application qui devra être utilisée dans les restaurants, dans les bars et dans les stades sportifs pour lire les codes QR des clients et savoir s’ils sont adéquatement vaccinés ou non :

Comme il l’a déjà été évoqué, cette application fait-elle seulement de lire le code QR en utilisant une clé de chiffrement ou entre-t-elle en communication avec une base de données gouvernementale ?
Dans l’affirmative, quelle est la politique du gouvernement quant à la conservation ou la suppression des journaux (« logs ») de toutes les vérifications faites et quelles données se trouvent dans ces journaux, qu’elles concernent les détenteurs des preuves de vaccination ou les entreprises qui vérifient leur validité ?
Des précautions ont-elles été prises pour empêcher le système d’exploitation (Android ou iOS) des téléphones mobiles utilisés de collecter des données susceptibles d’être transmises à Google ou à iOS, qui comme on le sait sont friands d’informations sur la population ?
Des précautions ont-elles été prises pour empêcher les autres applications installées ou des virus présents sur ces téléphones de collecter les données traitées par l’application gouvernementale et de les transmettre à des tiers ?
Sera-t-il possible d’installer cette application sur des téléphones dont, en raison de l’obsolescence programmée qui sévit sur le marché, la version du système d’exploitation aura atteint la « fin de vie » (« end of life ») sans que le passage à une version plus récente soit possible, ce qui veut dire qu’ils ne reçoivent plus de mises à jour et sont exposés à des failles de sécurité ?
L’application devra-t-elle être installée seulement sur des téléphones qui appartiennent en propre aux restaurants, aux bars et aux stades sportifs, ou pourra-t-elle être installée sur les téléphones personnels des propriétaires et des employés, ce qui aurait pour avantage de réduire les dépenses de certains commerces plus petits, mais l’inconvénient d’augmenter les chances de failles de sécurité, beaucoup de nos concitoyens étant peu soucieux de protéger leurs propres données et vraisemblablement pas plus soucieux de protéger celles des autres ?
Sera-t-il possible pour n’importe qui de télécharger et d’installer cette application ou un code d’activation sera-t-il transmis aux commerces et aux lieux publics où son utilisation sera requise, afin d’éviter que d’autres commerces et lieux publics, et aussi des employeurs, l’utilisent même si la loi n’y impose pas le passeport vaccinal, ce qui aurait pour effet de donner une extension plus grande et illégale au passeport vaccinal, à l’insu du gouvernement ou avec son consentement ?
Etc.

J’en arrive donc aux constats suivants :

Nous ne pouvons pas simplement nous fier à l’intégrité et à la prudence des entreprises et de leurs employés pour protéger nos données.
Le gouvernement se rend coupable de négligence à l’égard de nos données s’il ne donne pas des directives très précises aux utilisateurs de l’application afin de réduire au minimum les risques de collecte ou de vol de données par des tiers partis, et ne prend pas les moyens qui s’imposent pour les faire respecter, ce qui n’est certainement pas facile.
Le gouvernement s’accommode fort bien d’un risque d’extension illégal du passeport vaccinal s’il laisse libre l’installation et l’utilisation de cette application, sans imposer l’utilisation d’un code d’activation aux seuls commerces ou lieux publics en droit d’imposer le passeport vaccinal.
Le gouvernement doit rendre publiques des informations très précises sur le mode de fonctionnement de l’application, mais aussi sur la nature et la fonction de la base de données gouvernementale à laquelle il a déjà été fait allusion.
Il n’est pas raisonnable de croire sur parole le gouvernement, qui manque de transparence et qui est même porté à la rétention active d’information.
Raison pour laquelle il faut réclamer que le gouvernement rende accessible le code source de l’application (sans nécessairement le rendre libre, ce qui ferait que cette application serait un « source-available software ») afin qu’il puisse être analysé librement et ouvertement par tous ceux qui ont les compétences en informatique nécessaires, et pas seulement par les experts en sécurité informatique du gouvernement, qui ne sont pas infaillibles, qui peuvent manquer de recul par rapport à des projets où ils sont peut-être impliqués depuis le début, et surtout qui ne peuvent pas s’exprimer publiquement sans s’exposer à des sanctions disciplinaires et peut-être même à un congédiement.

Certains diront qu’en rendant le code source disponible, on facilite le travail des pirates informatiques. Mais on facilite aussi le travail de nombreux experts en sécurité informatique indépendants, qui prennent parfois la peine d’auditer le code source d’applications pour le seul plaisir de parvenir à y trouver des failles de sécurité et à les signaler aux développeurs des projets. Les distributions de Linux et de BSD reposent généralement sur un tel modèle de sécurité informatique, et on peut difficilement prétendre qu’elles sont moins sécuritaires que Windows, qui est un système d’exploitation propriétaire dont le code source ne peut pas être analysé librement.

Mais le fait repérer des failles de sécurité susceptibles d’être exploitées par des pirates informatiques indépendants ou employés par des tiers partis n’est pas ici le seul enjeu. Il est tout aussi important, sinon encore plus important, de nous assurer que l’application utilisée fait bien ce qu’on dit qu’elle fait et qu’elle ne fait pas autre chose que ce qu’on dit qu’elle fait. Je ne crois pas dire n’importe quoi en affirmant que la collecte de données dont nous sommes tous la cible ne se fait pas tant grâce à des failles de sécurité, que grâce au fonctionnement normal et voulu des logiciels que nous utilisons pour la plupart, notamment les systèmes d’exploitation et les navigateurs web. S’il est vrai que nous ne pouvons pas tous – moi le premier – regarder nous-mêmes le code source des logiciels que nous utilisons, le fait que ce code source soit accessible et que les spécialistes qui l’analysent y trouvent assez rarement à redire nous permet d’avoir raisonnablement confiance en la distribution de Linux ou de BSD que nous utilisons, par opposition à Windows dont le code source n’est pas accessible et ne peut pas être audité, mais dont on sait quand même qu’il comprend des dispositifs de télémétrie (c’est-à-dire de la surveillance en langue technocratique), lesquels demeureraient au moins en partie fonctionnels même quand l’utilisateur les désactiverait.

Si le gouvernement n’a rien à cacher à la population comme il le prétend haut et fort, qu’il rende donc disponible le code source de l’application utilisée pour lire les fameux codes QR, dans sa version initiale et plus tard dans ses versions ultérieures. Et qu’il prenne les mêmes engagements si jamais une application est aussi élaborée pour le détenteur de la preuve de vaccination. Et qu’il apporte aussi des éclaircissements aux interrogations que j’ai formulées plus haut, pas en vitesse dans un point de presse ou dans un « tweet », mais dans un document officiel qui pourrait être publié sur le site gouvernemental. Si notre gouvernement refuse de fournir le code source et de répondre clairement à ces questions, qu’il ne vienne pas se plaindre encore une fois de la méfiance – qu’il qualifie de complotisme pour la dénigrer – d’une partie de la population, laquelle il contribue lui-même à alimenter par son manque de transparence technologique.

De manière semblable à l’injection des vaccins, l’accès libre au code source de cette application et à des informations claires, précises et intelligibles sur elles, est une condition nécessaire de notre consentement libre et éclairé à l’utilisation du passeport vaccinal. Autrement, on nous demande simplement de faire confiance au gouvernement et de croire sur parole ce qu’il dit, ce qui devrait éveiller notre méfiance, car il faut se méfier tout particulièrement de ceux qui nous demandent de leur faire confiance, de manière générale et surtout pour ne pas avoir à répondre à nos questions. Un refus devrait donc produire un effet dissuasif sur les personnes non vaccinées et aussi vaccinées.

Il est fort vraisemblable que le gouvernement ne nous fournira pas de sa propre initiative le code source de l’application et les autres informations demandées, et qu’il ne le fera pas davantage même si nous lui en faisons poliment la demande, arguments à l’appui. C’est pourquoi il faudrait sans plus attendre présenter une demande d’accès à l’information à la Commission de l’accès à l’information. Cela est d’intérêt public, du point de vue de ceux qui s’opposent au passeport vaccinal ou s’en méfient, comme du point de vue de ceux qui y sont plutôt favorables, mais qui voudraient savoir exactement en quoi consiste ce dispositif avant de donner leur consentement. Un véritable débat public est impossible sans ces informations et sans cet examen du code source de l’application.

Encore une fois, une telle demande risquerait de rencontrer une forte résistance de la part du gouvernement. Raison pour laquelle un simple particulier comme moi, sans la moindre compétence juridique, n’est certainement pas la meilleure personne pour la faire. Cette demande aurait sans doute beaucoup plus de poids si elle était faite par la Ligue des droits et libertés, qui a d’ailleurs critiqué publiquement la décision autoritaire et opaque du gouvernement d’implanter le passeport vaccinal (« Le passeport vaccinal : une occasion manquée de déconfiner la démocratie »).

Si vous trouvez que c’est une bonne idée, je vous suggère d’en faire la proposition à la Ligue des droits et libertés, en écrivant à leur bureau de Montréal (info@liguedesdroits.ca) et à leur section de Québec (info@liguedesdroitsqc.org) et en y joignant un lien vers ce billet.

Aux membres de la Ligue qui achèvent peut-être de lire ce billet, je signale que je ne suis pas un expert en sécurité informatique, ni même un informaticien de formation ou de profession. Raison pour laquelle, s’ils trouvent que cette demande d’accès à l’information est une bonne idée, je les invite à consulter quelques spécialistes du domaine et de leur faire jouer un rôle dans la demande d’accès à l’information, afin que celle-ci soit formulée avec toute la précision nécessaire pour obtenir les informations requises.

J’ajoute qu’il serait utile que la Ligue des droits et libertés – qui est sans doute en contact avec des organismes de défense des droits et libertés dans d’autres pays ou d’autres provinces où l’on a imposé ou est sur le point d’imposer autoritairement le passeport vaccinal, contacte ces organismes afin de leur proposer de faire des démarches semblables.

Enfin une dernière remarque : les membres de la Ligue ont sans doute remarqué en lisant ce billet que nous ne sommes pas du même avis sur tout, ou ils le remarqueront peut-être en lisant d’autres billets. Que cela ne les détourne pas de faire cette demande d’accès à l’information, quitte à l’adapter à leurs propres positions politiques et à la stratégie qui leur semble la plus appropriée. Car nous nous entendons au moins sur un point, probablement le plus important de tous : notre démocratie est mise à mal par la manière dont les décisions sont prises et imposées par le gouvernement, ce qui empêche un débat parlementaire et un débat public à l’échelle de la société. C’est déjà bien assez pour que nous puissions nous considérer mutuellement comme des alliés dans la défense de la démocratie et des droits et libertés qui impliquent la libre expression de positions politiques et morales divergentes.

Vous devriez aussi regarder :

Pourquoi faire confiance aux organismes gouvernementaux ?

Pourquoi faire confiance à la classe politique ?

Pourquoi sommes-nous si obéissants? - partie 2 : la politique