Entre conspirations, confusion et désinformation: Le code QR de preuve vaccinale du Québec est-il réellement une catastrophe pour la vie privée? #polqc
Le système derrière le code QR est la technologie Smart Health Card (SHC), adoptée par le Québec, New York et la Californie. smarthealth.cards
Le protocole SHC est beaucoup moins problématique que plusieurs le craignent. Les scénarios catastrophes alarmistes s'effondrent rapidement à la moindre analyse détaillée du système.
Le SHC est un standard ouvert dont les spécifications techniques et détails cryptographiques sont ouvertement disponibles ici: spec.smarthealth.cards
La lecture et la validation des codes QR se fait de façon complètement décentralisée, à même l'appareil utilisé. Aucun concept de géolocalisation, et aucune donnée ni méta-donnée envoyée au gouvernement.
Je répète: tout se passe localement sur l'appareil, et rien sur les serveurs du gouvernement.
Certains s'alarment du fait que le code QR soit facile à décoder... Est-ce vraiment le cas? Oui! Évidement! Et avec raison! "Décoder" veut juste dire "lire". Évidement que le code QR est facile à décoder, c'est à ça que ça sert, être lu. Il servirait à rien sinon!
Sur le plan sécurité, SHC est basé sur un système clé de validation qui garantit l'authenticité des code QR présentés et refuse instantanément tout code falsifié.
Le rôle du gouvernement dans tout le système se limite à:
1) émettre le code QR signé cryptographiquement, et
2) fournir un mécanisme de validation de la signature pour en garantir son authenticité.
1) émettre le code QR signé cryptographiquement, et
2) fournir un mécanisme de validation de la signature pour en garantir son authenticité.
Générer et présenter un faux code QR, c'est tout aussi futile et inutile que présenter une fausse carte débit. Ça va juste jamais passer...
Sur le plan vie privée, les infos dans la preuve vaccinale sont plutôt limitées:
Nom, date de naissance, et détails des vaccinations.
Ça reste des infos personnelles, mais pas exactement ce qu'il y a de plus confidentiel. Pour les dangers de fraude, on a déjà vu pire…
Nom, date de naissance, et détails des vaccinations.
Ça reste des infos personnelles, mais pas exactement ce qu'il y a de plus confidentiel. Pour les dangers de fraude, on a déjà vu pire…
Pour relativiser: présenter une preuve vaccinale est encore moins dangereux que de présenter un permis de conduire, lequel contient beaucoup plus d'infos, beaucoup plus personnelles.
Ne sont *pas* dans le code QR: numéro d'assurance maladie, numéro de téléphone, adresse, dossier médical, noms des parents, numéro d'assurance social ou tout autre identifiant personnel.
La preuve vaccinale ne peut pas être utilisée seule — elle nécessite une autre pièce d'identité (permis de conduire, etc) pour confirmer qu'elle appartient à la personne qui la présente.
Est-ce que ça serait techniquement possible pour une conspiration de commerçants mal intentionnés d'utiliser une application malveillante qui tiendrait clandestinement un registre de leurs clients? Oui, faudra garder l'oeil ouvert et voir à quel point ça pourrait être répandu.
La ligue des droits et libertés dit avoir « des craintes à propos de la sécurité des données » et espoir en un « bon système de cryptage », des préoccupations vagues, mais légitimes, qui ne semblent pas être informées par les détails techniques qui sont pourtant déjà publics.
Des confus bien en vue expliquaient hier qu'il y a des "différences fondamentales" entre les systèmes du Québec et de New York (alors que non, c'est précisément le même) et que celui du Québec sera "similaire à celui d'Israel" (alors que non, c'est pas le même) 🤦🏻♂️
Ça fait 3 mois que la tech derrière le code QR du Québec est connue publiquement, mais à lire plusieurs des citations d'experts dans les médias récemment, c'est à se demander s'ils sont au courant.
J'en parlais déjà en ondes à TVA le 7 mai dernier tvanouvelles.ca/videos/6253114…
La lecture de la FAQ du SHC aide d'ailleurs à désamorcer plusieurs des mythes et craintes qui circulent: smarthealth.cards/fr/faq.html
On peut souhaiter jamais avoir à l'utiliser, mais au minimum (et à ma grande surprise), on aura fait le bon choix d'outil technologique.
Bien au delà du simple code QR, ce sont les choix éthiques, moraux et sociaux autour de son utilisation qui devraient nous préoccuper et sur lesquels ont doit continuer de se pencher.
Au final, oui, la technologie du code QR aurait pu être une catastrophe, mais non, elle ne l'est pas.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
