La bienveillance invisible
Pourquoi ne pas formaliser les relations entre ces « hackers » qui veulent du bien et l’État?
Le gouvernement du Québec s’est récemment doté d’une application destinée à fournir une preuve de vaccination à tous les Québécois doublement vaccinés. Le fameux passeport vaccinal.
À son dévoilement, des hackers « bienveillants » l’ont tout de suite téléchargée, afin d’en tester la robustesse et détecter ses failles. Pratique commune dans certaines communautés de passionnés d’informatique, qui sans se faire demander quoi que ce soit, vont décortiquer chaque ligne de code d’un programme à la recherche de ses défauts.
Un dénommé Louis, selon ce qui a été rapporté par Radio-Canada, a informé le gouvernement québécois d’une faille majeure de l’application, qui permettait de créer de toutes pièces un code QR, sans aucun besoin d’être vacciné.
Louis en a informé les autorités compétentes de manière anonyme. Il craignait des poursuites criminelles et a donc demandé l’immunité. Plusieurs échanges ont eu lieu. Louis a finalement informé les médias de sa découverte.
Le ministre québécois Éric Caire, responsable de la transformation numérique du gouvernement, l’a même félicité sur les ondes de Radio-Canada, en insistant sur le fait qu’il lui avait offert de « parler en toute immunité », ce que dément vivement Louis. Même l’attachée de presse du ministre a contredit cette affirmation. Elle indique que Louis a commis une fraude et que son dossier est maintenant entre les mains de la Sûreté du Québec.
« Ça montre à quel point il y a un décalage entre les réflexes traditionnels, des réflexes bureaucratiques et la normativité caractéristique des technologies de l'information. C'est-à-dire une normativité qui ne fonctionne pas de la même façon. » dit le professeur Pierre Trudel.
Pour lui, en tant que spécialiste des questions de droit de l’information et de droit des technologies, cette histoire démontre les multiples problèmes qu’ont accumulés les États en matière informatique.
« Dans les vingt dernières années, les gouvernements se sont départis de leur expertise en matière technologique. Ils n’ont pas cherché à se construire une expertise propre, une expertise interne, qui aurait fonctionné selon des logiques de services publics. On a essentiellement donné ça en faveur d’une logique commerciale et je pense qu'on en paie le prix aujourd'hui, » indique le professeur Trudel.
Entre 2018 et 2019, le gouvernement du Québec a dépensé 2 milliards de dollars en informatique, et ce, sans appel d’offres. Cela représente plus de 3000 contrats. Le Québec, comme tant d’autres, s’abreuve au privé sur le plan technologique.
« Le Québec achète du “cloud” des grandes entreprises américaines. (…) Il y a des avantages [à se tourner vers le privé], dans le sens que ça permet de bénéficier de certains réservoirs de créativité, à partir du moment où le tout se déroule dans un marché ouvert. »
Mais pour Trudel, nous sommes loin de la coupe aux lèvres. Ce marché, ce sont les Google, Apple, Facebook et Amazon, ou GAFA. Ce sont les start-ups qui trop souvent, se font racheter par les GAFA.
« Le rêve de tout adolescent, c'est de faire ça, devenir millionnaire à 22 ans parce qu'il va avoir vendu à Google. C'est un marché ouvert, mais avec des monopoles qui pèsent de plus en plus dans cet univers. »
Principale conséquence de cette absence d’expertise : l’identification des personnes.
« Les états continuent d'identifier les citoyens à partir de neuf chiffres, comme le numéro d'assurance sociale ou de la carte d'assurance maladie. On continue d'utiliser des identifiants sectoriels sans avoir réussi à développer un identifiant universel, protégé par l’État. »
Tout juste après qu’eût été révélée la nouvelle de la dénonciation de Louis à la Sûreté du Québec, le groupe Hackfest a signifié la fin de sa collaboration avec le gouvernement. Ce collectif collaborait avec Québec depuis plusieurs années pour déceler ce genre de faille informatique.
Alors pourquoi ne pas formaliser cette relation entre « hackers bienveillants » et l’État?
« C’est difficile de formaliser ça dans une législation, parce que la tendance au Canada, c’est de mettre les lanceurs d'alerte dans une case qui va les isoler de la visibilité publique. […] Mais on pourrait très bien imaginer introduire dans les lois un certain nombre de principes à suivre [pour un projet technologique], notamment faire appel à la coopération citoyenne, » avance Pierre Trudel.
L’application Vaxicode a été testée dans des gymnases et des bars pour s’assurer de son bon fonctionnement sur le plan de l’expérience client. Mais qu’en est-il du code qui la gouverne? En l’absence d’expertise interne, pourquoi ne pas faire appel à celle de ceux qui ont le talent pour aider?
« Je pense qu’il faudra avoir recours à cette espèce de sagesse de la foule, de cette capacité des utilisateurs à tester, pour éventuellement mettre au jour les vulnérabilités des systèmes. Ça peut aider à nous sauver bien des désagréments et des tragédies, » conclut Pierre Trudel.