C’est par la plateforme de «prime aux bogues» que le premier volet du Service québécois d’identité numérique (SQIN) fera ses dents dès la fin juin, a confirmé le ministre de la Cybersécurité et du Numérique, Éric Caire, en entrevue avec Les Affaires. Un déploiement officiel du premier volet est prévu à la fin de l’été.
«C’est très important pour nous de tester [le premier volet] le plus possible pour s’assurer que le produit soit robuste», dit-il. Dans le cas où le budget du projet pilote serait déjà épuisé avec les actifs présentement disponibles sur yeswehack.com, Éric Caire s’est dit ouvert à bonifier les fonds.
La présence du SQIN sur la plateforme de «prime aux bogues» devrait durer de quatre à six semaines. «On s’attend à ce que dans le premier mois, les chercheurs et les chercheuses en sécurité de l’information aient trouvé ce qu’ils ont à trouver», estime Éric Caire.
Conjugué aux tests faits à l’interne, l’outil ne sera déployé qu’une fois que les analyses internes et provenant de Yeswehack ne détectent plus rien.
Éric Caire s’est aussi montré rassurant au sujet de l’identité numérique, concédant au passage avoir «entendu le cri du cœur» de la communauté, qui demandait davantage de transparence dans ce dossier. Il a aussi profité de notre appel pour revenir sur certaines craintes formulées par les experts en cybersécurité sondés par Les Affaires.
Une fragmentation du projet
Le projet SQIN a été «découpé» en différentes étapes pour faciliter sa livraison. L'objectif principal est de simplifier «l’accès à l’ensemble des services gouvernementaux», précise Éric Caire. À cela vont s’ajouter différentes couches, comme le portefeuille numérique, où l’idée est de pouvoir confirmer son identité et payer «d’un seul geste».
Le premier volet permettra d’asseoir les bases de l’identité numérique. «Avec le premier module, [le but est] de mettre en place l’infrastructure de soutènement de l’identification et de l’authentification», détaille Éric Caire.
Grosso modo, cette mise à jour, qui doit «moderniser la solution d’authentification gouvernementale actuelle» de clicSÉQUR pour ultimement l’éliminer, ne sera pas bien différente de ce à quoi les gens sont déjà habitués. «Le visuel ne sera pas le même, mais la façon de faire va rester la même jusqu’à tant qu’on puisse aller vers le portefeuille numérique», poursuit le ministre.
Les changements de ce premier volet seront davantage en arrière-plan du produit. Les accès se feront donc toujours par l’entremise d’un identifiant et d’un mot de passe, jusqu’à ce que la biométrie offerte et développée par Québec soit offerte. Pour accéder au service, le citoyen sera invité à se créer un compte en ligne et effectuer une vérification d’identité. L’accès par l’entremise d’un partenaire de connexion, comme sur le site Revenu Québec, sera aussi proposé.
Cette nouvelle «infrastructure de soutènement» facilitera le déploiement des prochaines étapes du projet SQIN dont celle sur les «échanges sécuritaires de données». Le gouvernement prévoit de sécuriser les échanges entre le demandeur et celui qui fournit le service en utilisant la chaîne de blocs.
«À ce jour, car évidemment tout change rapidement avec la technologie, c’est clairement le mode de transmission le plus sécuritaire que le domaine numérique peut nous offrir», argue Éric Caire. Il mentionne que cette technologie a fait ses preuves dans le domaine bancaire et légal.
Des produits faits maison et «open-source»
Le député de La Peltrie l’a certifié: toutes les solutions permettant de construire l’identité numérique des Québécois sont et seront développées à l’interne et tous les postes névralgiques sont et seront tenus par des employés du ministère.
«Tout ce qui touche les informations des Québécois ou les infrastructures névralgiques doivent et vont rester dans le périmètre du gouvernement», assure Éric Caire. Il nuance toutefois que le recours aux consultants est inévitable, considérant les difficultés d’embauche et qu’une expertise doit être développée.
Il précise d’ailleurs que tous les contrats avec l’externe comprennent un «volet pour le transfert de connaissances», comme pour la mise sur pied d’une chaîne de bloc propre au gouvernement.
La raison de développer localement la solution est simple, selon Éric Caire: cela permettra d’offrir une garantie sur les façons de faire, car le produit sera «open-source». «Ça veut dire que toute la communauté des développeurs est capable d'aller voir à l'interne comment ça fonctionne et comment on fait les choses», assure-t-il.
Aucune surveillance des Québécois
Le ministre de la Cybersécurité et du Numérique a été catégorique tout au long de l’entrevue: en aucun cas, le gouvernement va recueillir les données des citoyens lors de transactions avec le portefeuille numérique. «Il n’y a aucune raison pour que le gouvernement enregistre ça, certifie-t-il. Il ne faut pas que ça soit le cas.»
C’est donc dire que lors d’un achat par l’entremise de l’identité numérique, le gouvernement ne gardera pas de registre. «Tout ce que le gouvernement devrait faire, c’est d’authentifier la personne et certifier qu’elle a plus de 18 ans dans le cas d’une transaction [le demandant].»
Concernant ses déclarations passées entourant la monétisation des données personnelles des citoyens, le ministre croit avoir été cité hors contexte. «Ce que j’ai dit, c’est que le gouvernement du Québec devrait pouvoir, à l’intérieur de centres spécialisés, mettre à disposition les données gouvernementales, comme on le fait pour la recherche publique, pour la recherche privée», nuance-t-il. Éric Caire ajoute que la vente d’information possédée par le gouvernement est illégale.
Un «FaceID» québécois
Parmi les chantiers à venir, il y a celui entourant la certification de l’identité du citoyen qui utilise les services en ligne. «Ça représente un défi», concède le ministre.
Pour résoudre cela, un système de reconnaissance faciale semblable au FaceID d’Apple est dans les livres du gouvernement. Ce sont les bases de données que possède déjà le ministère par l’entremise du permis de conduire et de la carte d’assurance maladie qui permettront de nourrir la fonction.
Bien que l’outil d’Apple, par exemple, soit «théoriquement» cybersécuritaire et que les visages sont enregistrés localement sur les appareils, le ministre explique que «dans les faits, [il ne peut] absolument pas certifier aux Québécois que c'est vrai. En théorie, c’est vrai, [mais] en pratique, […] Apple est une boîte noire.» C’est pour éviter que les Québécois «doivent faire un acte de foi» qu’Éric Caire veut une solution interne.
Néanmoins, en essayant d’avoir plus de détails sur le développement de l’outil, le ministre admet que certains éléments ne sont pas encore décidés. «Est-ce qu’on serait obligé de reprendre la photo des Québécois de façon plus précise, je ne peux pas répondre avec certitude. […] C’est possible qu’on soit appelé [à le faire]», précise Éric Caire.
Même chose concernant le fonctionnement de la confirmation de la majorité lors d’un achat d’alcool, de cannabis, dont le désir du ministre réside dans le fait que tout se fasse dans un seul et même geste. «On est en phase exploratoire, admet-il. On est en train de regarder dans le marché […] à savoir si c’est faisable, [car] ça implique un certain changement [dans les terminaux transactionnels].»
En plus de tous les blocs énumérés ci-haut, le ministère prévoit dans ses différentes étape de déploiement, «la représentation pour agir au nom d’une autre personne», «diminuer les effets de la fracture numérique» et «alimenter le registre d’identité numérique», ce qui comprend l'ajout de documents non gouvernementaux comme la carte de crédit et les papiers d’assurance.