Archives par mot-clé : québec

Pass Sanitaire : une sécurité insuffisance qui a favorisé l’expansion de la fraude

Dans le courant de la semaine dernière, les autorités Québécoises déclarer le démantèlement d’un réseau qui qu’on se verrait et m’aider à disposition des milliers de pass vaccinaux de type frauduleux.

C’était en majorité des personnes travaillant dans le réseau de la santé. Il profitait de leur position pour inscrire de faux pass sanitaire en faisant l’inscription de fausse vaccination dans le registre du gouvernement. Vue de la manière les choses ont été analysées, les actions réalisées était faciles pour les criminels. Cependant, ils ont été arrêtés.

« C’était de l’argent très facile et leur sécurité était tellement médiocre, c’est comme s’ils te disaient : Fais-le! », Souligne Adams Diwa, un ancien employé du centre de vaccination du Stade olympique. Ce dernier a été arrêté durant le mois de novembre. Lors de son entretien, il reconnaît avoir reçu prêt de 60 000 dollars en guise de pots de vin pour inscrire de fausse preuve vaccinale. Cela en faveur d’une soixantaine de personnes. C’est qui pourrait s’évaluer à hauteur de 1 000 dollars par inscription fausse. Bien évidemment il n’est pas seul.

Cet article va aussi vous intéresser : Trafic de faux pass sanitaires

Selon plusieurs déclarations, les faux pasteurs vaccinaux qui auraient été produits par des actions frauduleuses sont toujours en cours de validité. Et même lorsque les employés ont voulu le faire de leur propre initiative, leurs supérieurs leur auraient demandé de ne rien faire. Bien évidemment le ministère de la santé n’a pas encore confirmé ces allégations. Cependant l’administration n’a non plus fait aucune déclaration à ce sujet.

Dans la seconde moitié de l’année 2021, des milliers de fraude en été signalé au ministère de la santé comme l’a mentionné plusieurs journalistes à ce sujet. Plusieurs enquêtes sont toujours en cours, réalisées par les autorités gouvernementales, les établissements de santé impliqués ainsi que l’unité permanente anticorruption.

« Filature, perquisitions dans des résidences, comptes bancaires gelés, saisie de téléphones et autres pièces à conviction, interrogatoires en règle : plusieurs moyens ont été déployés et des travailleurs ont été congédiés », explique plusieurs sources proches de l’affaire.

Pour le moment, aucune accusation officielle n’a été formulée auprès d’une juridiction officielle. Cependant, plusieurs interpellations ont déjà eu lieu.

« Nous recevons un très grand nombre de dénonciations qui nous amènent à ouvrir un très grand nombre d’enquêtes et nous mettons toutes les ressources nécessaires pour que ces enquêtes portent fruit. C’est une priorité du commissaire en ce moment, car ça touche à la santé des citoyens », a souligné lors une entrevue, le porte-parole de l’unité permanente anti-corruption, Mathieu Galarneau.

« Ce qu’on souhaite, c’est que les gens qui ont constaté l’usage ou la fabrication de faux passeports vaccinaux nous appellent », note ce dernier.

« En novembre, des CISSS et des CIUSSS ont été alertés par Québec via l’INSPQ de l’existence de milliers d’entrées considérées comme « anormales » dans le registre provincial de vaccination. Étaient considérés louches : les vaccins saisis dans le système avec plusieurs semaines ou mois de retard. Les vaccins inscrits dans le système durant la nuit. Ou lorsque les deux doses d’un même vaccin, théoriquement administrées à deux dates différentes, étaient saisies en même temps dans le système. Parfois, les données soumises par les citoyens pour obtenir leur Vaxicode impliquaient la présence d’un même vaccinateur dans deux régions à la fois. », explique une source anonyme.

d’achat d’un faux passe sanitaire en gros plan

De leur côté, les agents de l’unité permanente anti-corruption ont commencé à enquêter sur la vague de fraude qui aura lieu au stade olympique. On fait allusion après de 5 000 à 10 000 faux certificats de vaccination en circulation. Selon plusieurs employés, si le système avait invalidé et certaine vaccination, leurs supérieurs leur avait demandé de les faire valider.

L’ancien employé du centre de vaccination du Stade Olympique, Adams Diwa déclarait à ce propos : « Je n’ai aucune excuse, aucune raison pour ce que j’ai fait. Je ne vais pas le valoriser. L’argent est attirant pour tout le monde. Ça allait faciliter beaucoup de choses dans ma vie ».

Selon ce dernier, plusieurs de ses supérieurs était impliqué dans toute cette vague de fraude. Cependant, il ajoute qu’il a mis certaines actions de son propre chef. « La plupart du temps, c’était par le bouche à oreille. Tu connais un ami, qui connais un ami, qui connais un ami, et l’argent va voyager. Ça va être payé cash », explique-t-il.

« Dès que j’ai reçu la formation sur l’ordinateur, j’ai remarqué comment c’est très facile. Le système est vraiment, vraiment médiocre », note ce dernier.

« Je faisais ça très clean. Je créais un vrai rendez-vous dans le système, comme si la personne avait pris son rendez-vous. Une date pour la première dose, et 28 jours plus tard la deuxième dose. Je devais inscrire le type de vaccin et l’endroit où ils s’étaient fait vacciner. Ensuite, on te demande qui a vacciné la personne. Moi je connaissais des infirmiers qui travaillaient au stade, je pouvais mettre un vaccinateur, ou sinon tu peux mettre une place en dehors du Québec », explique l’ex employé.

Il explique aussi qu’il est possible d’utiliser l’identité d’un employé du service dans le but d’utiliser son compte pour modifier des pass vaccinaux.

« Le nom d’utilisateur, c’était deux lettres de ton prénom, deux lettres de ton nom de famille, ensuite quelques chiffres random et tout le monde avait presque le même mot de passe » affirme Adams Diwa.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Sécuriser la communication des institutions ministérielles : le Québec veut investir massivement dans le secteur

Récemment, le gouvernement québécois a déployé les grands moyens pour sécuriser la communication des ministres

On parle de 35 000 $ par ordinateur et 15 000 $ pour l’entretien annuel, pour un cabinet qui compte près de 38 ministres, la facture est salée.

Cet article va aussi vous intéresser : Le gouvernement canadien abandonné par les hackers éthiques

Cependant elle s’inscrit dans un contexte totalement légitime. En effet, les cyberattaques multiplient. L’espionnage cyber continue de se développer. Avec la crise sanitaire et les déploiements de la collaboration à distance à grande échelle, il est essentiel de se rassurer quant à la fiabilité des outils informatiques que les ministres utilisent pour les différentes communications. En particulier dans un contexte où il y a de plus en plus de nombreuses réunions à distance qui sont tenues par les ministres sur des questions plus ou moins sensibles. Tu as été chez le gouvernement québécois prévoit des milliards de dollars des dépenses dans le but de sécuriser au mieux les infrastructures de communication des institutions ministérielles.

À la base de l’évaluation, le coût déterminer la vérité va lui entre 50 000 $ et 75 000 $ américain en fonction de la taille des écrans.

Le coût de l’installation de tels terminaux sécurisés dans une salle de conférence était évalué entre 50 000 $ et 75 000 $, selon la taille de l’écran.

« Le Bureau du Conseil privé a récemment mis en œuvre, en collaboration avec Services partagés Canada et le Centre de la sécurité des télécommunications, une solution de vidéoconférence sécurisée. De pair avec la distribution élargie des appareils mobiles sécurisés au début de la pandémie, la portée de la technologie a été augmentée, de même que la fiabilité de nos outils de communication sécurisée », décrit une note de service du Bureau du Conseil privé reçu par tous les ministères fédéraux.

« La première étape de mise en œuvre de vidéoconférence sécurisée visait à fournir rapidement de l’équipement aux ministres et aux sous-ministres afin qu’ils puissent participer à distance aux réunions des comités du cabinet de façon sécurisée », précise la note.

Il faut préciser que ce genre de technologie avait déjà été utilisé par les comité du cabinet depuis le mois de février 2020. C’est-à-dire en plein début de la pandémie. De même, chaque ministère était en droit de prévoir des budgets qui avait le permettre de s’équiper de matériels de téléconférence sécurisés. Et cela même s’ils sont fournis par le bureau du conseil privé.

Cette décision du gouvernement fédéral a été validé par plusieurs les experts de la sécurité informatique notamment Steve Waterhouse, ancien officier de la sécurité informatique au ministère de la Défense expert en cybersécurité. Pour ce dernier ce genre d’investissements est essentiel. « Ces systèmes de communication sont très dispendieux. Mais la fiabilité et la protection des communications qu’ils offrent sont inégalées sur le marché. C’est nécessaire dans un contexte d’une urgence comme la pandémie. », explique Steve Waterhouse. « Oui, ça peut paraître cher, mais on ne peut pas acheter ces terminaux chez Bureau en gros », a souligné ce dernier. Il a aussi mon ancienne et le fait que les ministres ne pourront pas communiquer de façon sécurisée s’ils utilisent les mêmes applications que tous les autres à savoir zoom ou bien teams.

En effet si on va considérer que plusieurs ministères ont déjà été ciblées par des attaques informatiques durant la pandémie, c’est clairement une question à ne pas prendre à la légère. À titre d’exemple on peut citer le cas de l’Agence du revenu Canada, institution qui est chargé de régler la question d’aides financières aux travailleurs au niveau de la pandémie et ses conséquences sur l’économie et la santé publique. Selon les informations pour circuler dans La Presse, c’est près de 350000 tentatives d’attaque informatique qui ont été repoussé par l’agence revenu du Canada. Et cela en moins de 12 heures.

En plus de cela, il y a aussi l’exemple du ministère des Finances qui a aussi été ciblés par plusieurs cyberattaques. De quoi à justifier ces dépenses en cybersécurité.

« Cette initiative visait à faire en sorte que les hauts dirigeants du gouvernement, y compris les ministres, les sous-ministres et les personnes travaillant sur des dossiers sensibles, puissent disposer d’une technologie leur permettant de communiquer en étant protégés contre les Cybermenaces et les intrusions malveillantes », a déclaré Pierre-Alain Bujold, le porte-parole du Bureau du Conseil privé. « Pendant la pandémie, ces mesures étaient essentielles pour maintenir la sécurité des opérations gouvernementales tout en respectant les directives en matière de santé publique, et elles constituent une base solide pour l’évolution du milieu de travail hybride du gouvernement en ce qui concerne les discussions sécurisées.  « Pour des raisons de sécurité opérationnelle, nous ne sommes pas en mesure de commenter les installations spécifiques de ces systèmes ou de fournir des informations détaillées concernant les capacités de communication sécurisée du gouvernement », ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Québec : Plusieurs politiciens et journalistes voit le QR code du Pass Vaccinal piratés

Récemment grâce à un exploit informatique, hacker a réussi à dérober des informations contenues dans le QR code du Pass Vaccinal de plusieurs politiciens.

Parmi lesquels figure le premier ministre François Legault, et d’autres membres du gouvernement.

Le hacker a réussi cet exploit en se servant tout simplement des informations qui étaient disponibles sur Internet et un logiciel de chiffrement qui peut être téléchargeable par n’importe qui. Grâce à cela il a pu mettre la main sur le numéro d’assurance maladie des personnes qu’il a ciblées ainsi que d’autres informations contenues dans les précieuses QR code du gouvernement.

Cet article va aussi vous intéresser : La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec

Des informations qui selon la loi d’accès à l’information sont classifiées personnelles.

La tâche du pirate informatique a notamment été facilitée par le fait que plusieurs personnes qui ont été ciblées par ce piratage informatique avaient eux même publié leur lieu et date de vaccination.

De la sorte, le premier ministre François Legault, le ministre de la Santé Christian Dubé ainsi que le ministre délégué à la transformation numérique monsieur Éric Caire font partie des victimes de ce piratage informatique. Pourtant ce dernier avait même mentionné lors d’une déclaration publique que le fameux QR code ne peut-être en est copié ni falsifié.

Parmi les victimes nous avons des députés de l’opposition, de célèbres chroniqueurs sans oublier des politiciens et personnalités municipales.

« Le nom, prénom, date de naissance, lieu de vaccination… C’est facile à obtenir. Ce sont des informations mal sécurisées. Tu peux ainsi télécharger le code QR de n’importe qui », a expliqué la source de cette agitation. Elle ajoute par ailleurs que le site internet facilite grandement le piratage du Pass Vaccinal par de mauvaise configuration de sécurité.

« Si on a le bon [numéro] d’assurance maladie, ça nous dit si la date n’est pas bonne », ajoute cette dernière. Il sera même possible de multiplier les requêtes sans même qu’il y a un obstacle pour le stopper.

En d’autres termes en se référant aux déclarations de plusieurs les experts de la cybersécurité, des personnes qui n’ont pas reçu le vaccin pourraient aisément se fabriquer de fausses identités pour contourner les protections établies par le Pass sanitaire qui sont censés normalement entrée en vigueur à partir du 1er septembre.

« Le système n’empêchera personne de voler l’identité de quelqu’un d’autre s’il le désire vraiment. Il s’agit simplement de télécharger le code de quelqu’un qu’on connaît – qu’on a assez d’information – et faire une fausse carte étudiante ou autre », a déclaré Patrick Mathieu, expert en sécurité de l’information et cofondateur du Hackfest, une communauté d’expert en cybersécurité

« Ce qui est le plus incroyable de cette faille : elle permet de télécharger le code de quelqu’un d’autre et d’usurper son identité. », ajoute ce dernier.

Le bureau d’enquête n’a pas tardé à informer le cabinet du premier ministre de la situation. Ils ont promis de prendre des mesures nécessaires et quand même déposer de manière officielle une plainte auprès de la police.

« Les autorités compétentes feront enquête et détermineront si des accusations criminelles seront portées contre les personnes derrière cette initiative », a indiqué en soirée le porte-parole du premier ministre, Ewan Sauves.

Selon un spécialiste de la cybersécurité, Steve Waterhouse, le gouvernement a manqué à son devoir de consulter des spécialistes en matière de sécurité de l’information avant même de penser à la distribution des codes QR au grand public.

« C’est un déploiement qui a manqué de vérification de base en cybersécurité, de la conception de la solution à sa mise en service », a souligné ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec

Depuis le mercredi dernier, les applications permettant de vérifier la validité du passeport vaccinal ont été lancées par le Ministère de la Santé et des Services sociaux.

Ces applications sont dénommées respectivement VaxiCode et VaxiCode Verif.

Cet article va aussi vous intéresser : La vie privée à l’épreuve des QR codes

Un hacker proche de la communauté des spécialistes du hacking canadien dénommé Hackfest, a réussi de manière illicite, à accéder à des codes QR, de plusieurs membres du parlement québécois et en prime, celui du ministre responsable de la protection des renseignements personnels, Éric Caire. Une situation très dérangeante.

Dans un billet de blog publié ce jeudi sur la page Facebook de Crypto Québec, par la suite supprimé en soirée, il a été dit que des données vaccinales présentes dans le QR code du passeport appartenant au premier ministre François Legault avaient aussi été compromises. Il en serait de même pour Christian Dubé, le ministre de la Santé et des Services sociaux, du co porte-parole de Québec solidaire, monsieur Gabriel Nadeau Dubois ainsi que de Dominique Anglade, le chef du parti libéral.

Étant au fait de cette situation, le regroupement des professionnels de la sécurité informatique le Hackfest a immédiatement porté à la connaissance de gouvernement le problème qui existait, comme l’a signifié son cofondateur, Patrick Mathieu.

Le pirate informatique, a réussi à déjouer le portail libre-service du gouvernement pour être en mesure de glaner suffisamment d’informations. Des informations qui sont en théorie très facilement collectable sur les réseaux sociaux. Cependant l’initiative était de prouver qu’il est facile d’avoir des informations personnelles par ce moyen.

Interrogé sur la question, le ministre monsieur Éric Caire a exprimé que son cabinet prenait très au sérieux cette situation et qu’ils avaient commencé à établir des vérifications nécessaires à ce niveau. « Toute falsification ou tout vol de code QR est un acte passible d’amende, voire [un acte] criminel », souligne la porte-parole, Nathalie Saint-Pierre.

À titre de rappel, dès le 1er septembre, les QR codes fournis par le ministère de la Santé et des Services sociaux de servir de passeport vaccinal. Pour obtenir ses QR code tous les Québécois qui se sont vaccinés doivent s’inscrire sur un portail en ligne du gouvernement. Bien évidemment lors de l’inscription ils doivent y ajouter certaines informations telles que :

– leurs noms et prénoms ;

– leur date de naissance ;

– la date de leur première vaccination contre le covid-19 :

– le type de vaccin reçu ;

– le numéro de l’assurance maladie.

Ce qui a d’ailleurs faciliter la tâche au pirate informatique c’est parce que les personnes qu’il a réussi à cibler avec eux même déjà médiatisé la date de leur vaccination. Tout ce qu’il avait à faire c’est de faire des confirmations.

Selon Monsieur Patrick Mathieu le cofondateur de Hackfest, le système pointé du doigt a été très mal conçu et cela d’A à Z. Le souci majeur c’est que la sécurité des systèmes est fondée sur des informations facilement collectable de sorte à ce que tout le monde peut être sources de compromission pour tout le monde. En fait, la technologie utilisée n’est pas conçue pour être utilisée à grande échelle. « Nous l’avons dit à plusieurs reprises au gouvernement que c’était un mauvais choix de technologie », affirme-t-il.

Selon la députée libérale Marwah Rizqy, la question est de savoir pour quelle raison le gouvernement n’a pas essayé de mettre en place une autre couche de sécurité pour protéger les données disponibles sur le portail. Elle met en évidence le risque d’usurpation d’identité dans une situation ou plusieurs personnes peuvent avoir les mêmes noms. « Heureusement, il n’y a qu’une seule Marwah Rizqy au pays, ça m’étonnerait que quelqu’un essaie de se faire passer pour moi. Mais si j’avais un nom plus commun, comme Réjean Tremblay, ça serait peut-être plus facile d’utiliser un faux code QR, et c’est ça qui est préoccupant », explique cette dernière. « Ça fait depuis le mois de mai que le gouvernement nous parle du passeport vaccinal. Ils avaient le temps de s’assurer que la sécurité soit au point, mais ils ont minimisé tous les problèmes qui ont été soulevés par les gens qui s’y connaissent en sécurité. C’est triste », souligne la députée.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’arnaque aux dinosaures : qu’est-ce que c’est ?

Un événement qui devrait avoir lieu en principe au Québec, du nom de Jurassic Fest fait sensation auprès de 92 000 citoyens québécois.

Le problème, c’est que les organisateurs se cachent.

Comment peut-on expliquer que l’événement dont on ignore tout des organisateurs peut attirer autant de fougue. Certaines personnes déjà intéressées ont commencé à acheter les tickets à savoir Catherine Giroux, âgé de 28 ans, qui s’est récemment procurée 4 billets pour ce festival. Apparemment, elle commence déjà à regretter son geste.

Cet article va aussi vous intéresser : Top 7 des arnaques en ligne

Elle n’est malheureusement pas seule dans ce cas. Plusieurs internautes se sont aussi bien précipité pour se procurer les billets de cet événement qui consistera apparemment à une exposition de dinosaures mécanique grandeur nature. Il est censé avoir lieu dans le stationnement du quartier Dix30, vers la fin du mois d’octobre à Brossard.

« Une occasion unique de se retrouver face à face avec diverses créatures préhistoriques gigantesques et en mouvement, de voir leurs dents, de les voir cligner des yeux, de voir leur file d’attente se balancer e », publiaient les organisateurs assez mystérieux, sur la page Facebook de l’événement en anglais.

Le souci c’est qu’après vérification, aucune entreprise n’est liée à cette page.

« Nous avons mis fin lundi soir à notre collaboration avec ce promoteur », déclarait le porte-parole du Dix30, Patrice Perron. Ce dernier a ajouté qu’il avait entamé des enquêtes à cause de plusieurs inquiétudes sur lever par des clients.

La semaine dernière, les organisateurs de Jurassic Fest avaient publié sur leur page qu’ils cherchaient un autre endroit pour organiser leurs événements.

« Je suis assez vigilante d’habitude. On pouvait payer par PayPal, ce qui est toujours bon signe. Mais j’aurais dû faire plus de vérifications », reconnaît Katherine Giroux, la femme de 28 ans, qui réside à la Rive-Sud de Montréal. Cette dernière affirme qu’elle a tenté d’écrire aux organisateurs.  Cependant aucune réponse jusqu’à présent, surtout quand elle a exigé le remboursement de ses tickets. « Mon émetteur de carte de crédit me dit qu’effectivement, leur site semble louche. Ils veulent attendre une semaine avant d’annuler la transaction, le temps de voir si les organisateurs vont me répondre », Explique la Québécoise.

Selon certaines informations qui ont pu être obtenues, c’est l’entreprise australienne Festival Ignite Ltd, qui serait derrière les événements du Jurassic Fest. Elle existe depuis le 29 juin 2020.

Un autre événement semble assez curieux. En effet, aucune taxe n’a été facturée lors de l’achat du ticket en ligne. Par ailleurs, il n’y a jusqu’à présent aucune trace du promoteur dans le courriel de confirmation d’achat qui s’élève à 89 dollars.

Les personnes étaient qui étaient intéressées sur Facebook était dirigée vers un site web uniquement rédigé en anglais. Sûrement dans l’intention de les motiver, il mettait en évidence le manque de tickets disponibles, et l’impossibilité de les vendre le jour de l’événement.

Un autre souci, l’entreprise australienne censé être derrière l’événement n’a laissé que très peu de traces. Et cela même lors de l’enregistrement de son nom de domaine jurrassicfestivalmontreal.com a été enregistré de façon anonyme, décrit Alexis Dorais-Joncas, de la Société de cybersécurité ESET.

Selon ce dernier, il existe en ligne près de 55 sites internet du même genre, qui promeut des événements Edmonto, à Calgary à Adélaïde et Sydney en Australie et à Brisbane.

L’expert en cybersécurité indique que 55 sites identiques existent, pour des événements du même genre à Calgary, à Edmonton ainsi qu’à Brisbane, à Adélaïde et à Sydney, en Australie.

« Tout ça en 12 mois d’opération seulement. Ça soulève certainement des questions de légitimité », lance l’expert en cybersécurité et renseignement de ESET.

Ayant attiré son attention, le réseau social Facebook à déclaré qu’il était en train de vérifier l’événement. « L’équipe de vérification regarde l’événement et verra si les politiques de Facebook sont respectées », note un porte-parole.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage