Un politicien albertain admet avoir piraté le système de passeport vaccinal en utilisant l’anniversaire de Jason Kenney

0

Thomas Dang, qui a démissionné du caucus du NPD et siège maintenant en tant qu’indépendant, a déclaré dans une interview exclusive à Postmedia qu’il l’avait fait pour mettre en évidence les failles de sécurité du système.

Date de publication :

22 mars 2022Il ya 3 jours4 minutes de lecture 42 commentaires

Le député provincial d’Edmonton-Sud, Thomas Dang, lors d’une conférence de presse à l’Assemblée législative de l’Alberta à Edmonton, le vendredi 1er octobre 2021. Photo de Ian Kucerak /Postmédia

Le député provincial d’Edmonton-Sud, Thomas Dang, a admis avoir piraté le système d’enregistrement des vaccins COVID-19 du gouvernement de l’Alberta l’année dernière en utilisant l’anniversaire du premier ministre Jason Kenney.

Dans une interview exclusive avec Postmedia, Dang, qui a démissionné du caucus du NPD en décembre et siège maintenant en tant qu’indépendant, a déclaré qu’il l’avait fait pour mettre en évidence les vulnérabilités en matière de sécurité et a immédiatement transmis ce qu’il avait découvert au gouvernement afin que le problème puisse être résolu.

Il veut maintenant que l’Alberta établisse des lignes directrices afin que les développeurs et les experts en cybersécurité puissent alerter le gouvernement s’ils trouvent d’autres failles en ligne et créer un nouveau bureau axé sur la sécurité numérique.

« Je pense que ce que j’ai fait était une obligation dans le cadre de mon rôle de député de l’opposition », a-t-il déclaré.

«Je pense que ce que j’ai fait, c’est aider le gouvernement à combler une faille de sécurité critique, et franchement, je pense que le gouvernement aurait dû mettre en place des mesures et avoir un programme en place… pour que ce type de problème puisse être traité. correctement. »

Un mandat de perquisition a été exécuté l’année dernière au domicile de Dang, mais il n’a pas été inculpé d’un crime.

« Bien dans les compétences d’un amateur »

En septembre 2021, le gouvernement de l’Alberta a lancé un site Web permettant aux résidents d’accéder à leur dossier de vaccination contre la COVID-19 en utilisant leur numéro de carte Santé, leur date de naissance et le mois où ils ont été vaccinés.

Il y a eu des critiques quand il a été révélé que les cartes pouvaient être téléchargés sous forme de PDF modifiables ce qui les rend faciles à forger.

Ce problème a été résolu, mais à peu près au même moment, Dang, qui est certifié en «sécurité offensive», qui implique des tests de systèmes informatiques, a déclaré avoir entendu quelqu’un avec des préoccupations supplémentaires.

« Il est très courant dans l’industrie que nous devions prouver qu’il y a un problème avant de pouvoir faire un rapport », a-t-il déclaré.

Selon une explication publiée sur son site mardi matinDang a d’abord tenté d’utiliser des anniversaires aléatoires, des numéros de soins de santé hypothétiques et des dates de vaccination pour voir s’il pouvait accéder au site.

Après cinq tentatives, son adresse de protocole Internet (IP) a été exclue. Mais en utilisant un programme largement disponible, il a pu contourner ce blocage et faire maintenant plusieurs requêtes par seconde..

Dang a déclaré qu’il avait essayé d’utiliser ses propres informations personnelles, mais avait décidé qu’essayer d’accéder aux informations d’un étranger était un meilleur test pour prouver que le site pouvait être piraté.

Il a dit qu’il avait choisi Kenney parce que l’anniversaire et la date de vaccination du premier ministre étaient déjà publics.

Le script a pu deviner le numéro de carte Santé d’un Albertain qui n’était pas Kenney mais qui correspondait à l’anniversaire du premier ministre et au mois où il a été vacciné. Dang a pu utiliser ces informations pour accéder au PDF du passeport vaccinal de la personne.

« Dès que j’ai su qu’un enregistrement avait été trouvé, j’ai immédiatement arrêté le script. J’ai ensuite vérifié que le dossier était valide en demandant le dossier sur le site Web », a écrit Dang dans son explication en ligne.

« Quand j’ai vu que le dossier appartenait à une personne qui n’était pas le premier ministre et qui m’était également inconnue, j’ai immédiatement quitté le site Web et n’ai enregistré aucune information. »

Dang a défendu sa décision d’utiliser les informations du premier ministre, arguant qu’une personnalité publique comme Kenney est plus susceptible d’être ciblée par des pirates informatiques pour ce type de tentative de violation.

«Je peux voir pourquoi certaines personnes pourraient penser que (choisir Kenney) était une mauvaise idée. Mais je vous demanderais de juger mes actions plus que toute autre chose », a-t-il déclaré.

« Parce que si le but était d’accéder aux informations sur la santé d’autres députés ou de l’UCP, j’aurais continué à exécuter le script jusqu’à ce que j’obtienne ces informations. »

Il a qualifié son hack de « quelque chose qui correspondait bien aux compétences d’un amateur ».

Mandat de perquisition exécuté en décembre

Dang a déclaré que la décision de pirater le système était la sienne, mais après avoir réussi à accéder aux informations de l’étranger, il a contacté le personnel du caucus du NPD et les informations ont été transmises à Alberta Health.

En quelques semaines, le gouvernement avait fermé l’échappatoire.

En décembre, la GRC a exécuté un mandat de perquisition pour le domicile de Dang et il a démissionné du caucus du NPD pour siéger en tant qu’indépendant.

Dang a déclaré à Postmedia qu’il avait fourni à la police des détails sur ce qu’il avait fait.

Lorsqu’on lui a demandé s’il était prêt à faire face aux conséquences de la police pour ses actions, Dang a répété que les entreprises embauchaient souvent des experts en sécurité pour tester leurs systèmes.

« Je n’ai été accusé ou arrêté d’aucune infraction et j’ai hâte de voir le résultat de leur enquête et je suis assuré qu’ils le traiteront de manière appropriée », a-t-il déclaré.

Un projet de loi d’initiative parlementaire cible la cybersécurité

Dang prévoit de déposer un projet de loi d’initiative parlementaire en septembre qui créerait un bureau de la sécurité de l’information et de la défense traitant des problèmes de cybersécurité, un programme de divulgation des vulnérabilités permettant aux personnes de signaler leurs préoccupations et rendrait obligatoire un rapport annuel sur l’état de l’infrastructure de l’information de l’Alberta.

« Fondamentalement, toutes les grandes organisations, ou du moins les organisations technologiques dans le monde, ont un programme public de divulgation des vulnérabilités. … Ces programmes sont conçus pour garantir que les personnes qui découvrent des vulnérabilités sont en mesure de signaler correctement les détails techniques afin qu’ils puissent être corrigés sans exposer potentiellement des informations supplémentaires », a-t-il déclaré.

Dang a déclaré qu’il avait prouvé que l’Alberta n’était pas préparée au genre de violation qu’il a pu orchestrer.

« Il s’agit d’une préoccupation urgente pour les habitants de l’Alberta en ce moment », a-t-il déclaré.

[email protected]

Twitter.com/ashleyjoannou

commentaires

Postmedia s’engage à maintenir un forum de discussion animé mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu’à une heure pour être modérés avant d’apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail. Vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, s’il y a une mise à jour d’un fil de commentaires que vous suivez ou si un utilisateur vous suivez des commentaires. Visitez notre Règles de la communauté pour plus d’informations et de détails sur la façon d’ajuster votre e-mail réglages.

Source link-46