La Coalition avenir Québec a dû réagir rapidement pour protéger les données d'électeurs sur un de ses sites après que Radio-Canada lui eut appris l'existence d'une faille.
Un site créé par la Coalition avenir Québec (CAQ) pour aider les Québécois à aller voter a malencontreusement exposé les noms et les codes postaux d’au moins 2800 utilisateurs à quiconque voudrait les épier, a pu constater Radio-Canada.
Après que Radio-Canada eut contacté la CAQ pour lui poser des questions à ce sujet vendredi dernier, le site Planifiezvotrevote.org a été mis à jour et la faille a été réparée. La CAQ assure n’avoir aucune indication selon laquelle une personne malveillante aurait eu accès à ces données.
C’est une situation qui préoccupe néanmoins un expert en cybersécurité à qui nous avons raconté l'existence de cette faille. Le fait qu’il s’agisse d’informations en lien avec une élection rend le cas encore plus délicat, sachant que l’ingérence étrangère ciblant les électeurs est un phénomène très sérieux et en forte croissance, a souligné Alexis Dorais-Joncas, expert en cybersécurité chez Proofpoint.
Cet expert note d’ailleurs que la loi 25, qui porte sur la protection des données privées, est justement entrée en vigueur la semaine dernière au Québec.
- https://www.quebec.ca/nouvelles/actuali ... dhui-43212
- https://www.canlii.org/fr/qc/legis/lois ... -c-25.html
Une des caractéristiques importantes de la loi 25, c'est qu’elle protège les renseignements qui peuvent identifier non seulement de façon directe mais également de façon indirecte la personne concernée. Dans ce cas-ci, on est en droit de se demander si la combinaison d’un nom, d'un prénom et d'un code postal peut être recoupée avec d’autres sources d’informations pour arriver à identifier précisément les personnes concernées, affirme M. Dorais-Joncas.
Nous tenons à rassurer les personnes qui ont rempli ce formulaire que nous avons pris toutes les mesures nécessaires afin que la situation, dès qu’elle nous a été soulignée, soit corrigée immédiatement. Nous sommes désolés de cette [situation], a réagi la directrice des communications de la CAQ, Claude Potvin.
La firme spécialisée avec laquelle la CAQ a fait affaire pour la conception du site prend l'entière responsabilité de cette faille, a dit la directrice des communications du parti.
Des données personnelles facilement accessibles
Le site Planifiezvotrevote.org est hébergé sur la même adresse IP que les sites officiels de la CAQ, selon l’outil d’analyse DomainTools. On y invite l’internaute à entrer son nom et son code postal. Le site vérifie que les renseignements sont valides, puis il indique à l’utilisateur les endroits où il aura le droit d’aller voter.
On propose ensuite des dates où ce sera possible de le faire ainsi que l’achalandage prévu aux bureaux de vote. L’utilisateur peut inscrire son numéro de téléphone ou son adresse courriel pour recevoir un rappel afin d'aller voter. Il peut même demander de l’aide pour le transport jusqu'au bureau de vote.
C'est un expert en cybersécurité qui n’a pas voulu être nommé qui a signalé la faille dans ce site à Radio-Canada la semaine dernière. À l’aide de quelques manipulations de base que peut effectuer tout internaute sans outils spécialisés, il était possible, jusqu’à vendredi après-midi, de consulter le nom et le code postal de toutes les personnes qui s’étaient inscrites auprès de Planifiezvotrevote.org.
Selon nos constatations, quelque 20 000 dossiers étaient disponibles sur ce site web, mais la CAQ affirme que seulement 2800 personnes se sont inscrites.
Radio-Canada ne dévoilera pas la méthode utilisée par souci de protéger les données des personnes concernées. Il nous a toutefois été possible de vérifier de façon indépendante l'existence de cette faille et la facilité avec laquelle il était possible d’accéder aux données personnelles des utilisateurs avant que le site ne soit mis à jour.
Alexis Dorais-Joncas souligne qu’il s’agit d’un type de faille très courant.
Toutes proportions gardées, c’est tout de même moins sérieux que beaucoup d’autres fuites, mais ça demeure un type de faille très bien connu et pour lequel il existe des méthodes et de bonnes pratiques pour éviter de l’introduire dans un nouveau système en premier lieu, juge-t-il.
Un site qui vise surtout les partisans de la CAQ
La directrice des communications de la CAQ assure que Planifiezvotrevote.org est une plateforme qui s’adresse à tous les électeurs du Québec.
Toutefois, les seuls comptes à en avoir fait la promotion sur les réseaux sociaux sont ceux de candidats ou d’organisateurs du parti, selon l’outil d’analyse CrowdTangle. De plus, le site arbore le logo de la CAQ et contient une mention selon laquelle il s’agit d’une dépense autorisée par l’agente officielle de la CAQ.
Bien que les utilisateurs puissent entrer leur adresse courriel et leur numéro de téléphone, rien n’indique pour le moment que ces données étaient accessibles au grand public. Seuls le nom et le code postal pouvaient être consultés.
Nous n’avons à ce stade aucune raison de croire qu’une autre personne [que le journaliste de Radio-Canada] aurait accédé à ces informations, soutient la directrice des communications de la CAQ.
Néanmoins, ces données auraient pu être utilisées à mauvais escient par une personne malveillante, estime Alexis Dorais-Joncas. De plus, le fait que les noms et le code postal soient potentiellement associés à une intention de vote accroît le risque, estime-t-il.
[Éditeur: en effet, ça peut présenter un risque.]
Tout devrait être fait pour protéger l’information des électeurs et rendre la tâche beaucoup plus difficile à ceux qui tentent de s’ingérer dans les processus démocratiques, croit M. Dorais-Joncas.
Source: Radio-Canada
-- -- --