Accès illégal aux données vaccinales : un député canadien plaide coupable

En septembre 2021, au Canada, Services santé Alberta (AHS) lance un portail hébergeant les dossiers de vaccination contre le Covid-19 des Albertains, qui recèle des données comme l’historique de vaccination, le numéro de carte d’assurance maladie ou la date de naissance.

Une source anonyme révèle alors à Thomas Dang, un député d’Edmonton-Sud, que le portail est insuffisamment sécurisé. Fort d’une formation en cybersécurité, il décide de tester la robustesse du site web, en tentant de le pirater avec un système de chiffrement, entre le 19 et le 23 septembre 2021.

Le député cherche à obtenir un numéro d’assurance maladie à partir d’une date de naissance et d’une date de vaccination, en utilisant son propre cas et celui du premier ministre albertain Jason Kenney – les dates de naissance et de vaccination de ce dernier étant publiques.

Le système de défense du portail finit par bloquer son adresse IP, après cinq tentatives. Il utilise ensuite un autre programme pour contourner ce blocage. Mais le système de cyberdéfense du portail identifie Thomas Dang et, très vite, une information judiciaire est lancée contre lui. Il quitte dans la foulée le Nouveau Parti démocratique (NPD), mais continue de siéger comme député indépendant.

En ce début novembre 2022, convoqué au tribunal, Thomas Dang a annoncé qu’il plaidait coupable de ce piratage. Il encourt une amende comprise entre 4 000 et 10 000 dollars canadiens.

Le procureur de la Couronne, Craig Krieger, estime que l’intrusion de Thomas Dang ne procédait pas d’une intention malveillante, visant sans doute à alerter sur la sécurité du portail, mais « de la pire façon possible ».

Pour autant, les failles mises à jour par Thomas Dang étaient bien réelles : une enquête indépendante s’attache d’ailleurs à déterminer comment un portail traitant des données aussi sensibles a pu être mis en ligne avec de telles faiblesses de sécurité.