Faille
dans la preuve vaccinale québécoise : analyse
Les chercheurs d’ESET expliquent les détails d’une faille découverte dans VaxiCode Vérif, l’application mobile permettant la vérification des preuves vaccinales québécoises.
Marc-Etienne M.Léveillé
La sortie d’applications mobiles permettant le stockage et la vérification du passeport vaccinal par le gouvernement du Québec (VaxiCode et VaxiCode Vérif) a fait couler beaucoup d’encre la semaine dernière. C’est avec raison; l’application VaxiCode Vérif sera utilisée par tous les commerçants de services non essentiels dès le 1er septembre 2021.
Comme plusieurs autres, j’ai analysé le contenu du code QR dès que je l’ai reçu lors de mon premier vaccin en mai dernier. La semaine dernière, j’ai aussi analysé les deux applications établies par le gouvernement du Québec et développées par Akinox.
Ce blog explique comment
fonctionne le système de passeport vaccinal mis sur pied par le gouvernement du
Québec d’un point de vue technique, ainsi que les détails sur la vulnérabilité
que nous avons trouvée dans l’application VaxiCode Vérif qui permettait de
forcer l’application à reconnaître comme étant valides des codes QR non émis
par le gouvernement. À l’heure actuelle, il est impossible de confirmer qu’il
s’agit de la même faille trouvée par « Louis » telle que rapportée
par Radio-Canada vendredi dernier,
puisqu’aucun détail technique n’a encore été publié.
Nous avons nous-mêmes rapporté
la vulnérabilité que nous avons trouvée à Akinox dimanche, et nous avons
confirmé que la mise à jour de VaxiCode Vérif 1.0.2 pour iOS publiée dans les
derniers jours corrige la faille. La version Android des applications n’a pas
encore été analysée, mais VaxiCode et VaxiCode Vérif utilisent le
cadriciel Expo qui permet
de produire des applications iOS et Android en utilisant le même code source.
Les applications sur les deux platformes sont donc probablement équivalentes.
Détaillons le contenu du passeport vaccinal
québécois
Lisez la suite de l’article sur :