Un site de la CAQ a rendu accessibles des données de milliers d’électeurs

Répondre
Avatar du membre
cgelinas
Administrateur
Messages : 7780
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

26 septembre 2022


La Coalition avenir Québec a dû réagir rapidement pour protéger les données d'électeurs sur un de ses sites après que Radio-Canada lui eut appris l'existence d'une faille.


Un site créé par la Coalition avenir Québec (CAQ) pour aider les Québécois à aller voter a malencontreusement exposé les noms et les codes postaux d’au moins 2800 utilisateurs à quiconque voudrait les épier, a pu constater Radio-Canada.

Après que Radio-Canada eut contacté la CAQ pour lui poser des questions à ce sujet vendredi dernier, le site Planifiezvotrevote.org a été mis à jour et la faille a été réparée. La CAQ assure n’avoir aucune indication selon laquelle une personne malveillante aurait eu accès à ces données.

C’est une situation qui préoccupe néanmoins un expert en cybersécurité à qui nous avons raconté l'existence de cette faille. Le fait qu’il s’agisse d’informations en lien avec une élection rend le cas encore plus délicat, sachant que l’ingérence étrangère ciblant les électeurs est un phénomène très sérieux et en forte croissance, a souligné Alexis Dorais-Joncas, expert en cybersécurité chez Proofpoint.

Cet expert note d’ailleurs que la loi 25, qui porte sur la protection des données privées, est justement entrée en vigueur la semaine dernière au Québec.


Une des caractéristiques importantes de la loi 25, c'est qu’elle protège les renseignements qui peuvent identifier non seulement de façon directe mais également de façon indirecte la personne concernée. Dans ce cas-ci, on est en droit de se demander si la combinaison d’un nom, d'un prénom et d'un code postal peut être recoupée avec d’autres sources d’informations pour arriver à identifier précisément les personnes concernées, affirme M. Dorais-Joncas.

Nous tenons à rassurer les personnes qui ont rempli ce formulaire que nous avons pris toutes les mesures nécessaires afin que la situation, dès qu’elle nous a été soulignée, soit corrigée immédiatement. Nous sommes désolés de cette [situation], a réagi la directrice des communications de la CAQ, Claude Potvin.

La firme spécialisée avec laquelle la CAQ a fait affaire pour la conception du site prend l'entière responsabilité de cette faille, a dit la directrice des communications du parti.

Des données personnelles facilement accessibles

Le site Planifiezvotrevote.org est hébergé sur la même adresse IP que les sites officiels de la CAQ, selon l’outil d’analyse DomainTools. On y invite l’internaute à entrer son nom et son code postal. Le site vérifie que les renseignements sont valides, puis il indique à l’utilisateur les endroits où il aura le droit d’aller voter.

On propose ensuite des dates où ce sera possible de le faire ainsi que l’achalandage prévu aux bureaux de vote. L’utilisateur peut inscrire son numéro de téléphone ou son adresse courriel pour recevoir un rappel afin d'aller voter. Il peut même demander de l’aide pour le transport jusqu'au bureau de vote.

C'est un expert en cybersécurité qui n’a pas voulu être nommé qui a signalé la faille dans ce site à Radio-Canada la semaine dernière. À l’aide de quelques manipulations de base que peut effectuer tout internaute sans outils spécialisés, il était possible, jusqu’à vendredi après-midi, de consulter le nom et le code postal de toutes les personnes qui s’étaient inscrites auprès de Planifiezvotrevote.org.

Selon nos constatations, quelque 20 000 dossiers étaient disponibles sur ce site web, mais la CAQ affirme que seulement 2800 personnes se sont inscrites.

Radio-Canada ne dévoilera pas la méthode utilisée par souci de protéger les données des personnes concernées. Il nous a toutefois été possible de vérifier de façon indépendante l'existence de cette faille et la facilité avec laquelle il était possible d’accéder aux données personnelles des utilisateurs avant que le site ne soit mis à jour.

Alexis Dorais-Joncas souligne qu’il s’agit d’un type de faille très courant.

Toutes proportions gardées, c’est tout de même moins sérieux que beaucoup d’autres fuites, mais ça demeure un type de faille très bien connu et pour lequel il existe des méthodes et de bonnes pratiques pour éviter de l’introduire dans un nouveau système en premier lieu, juge-t-il.

Un site qui vise surtout les partisans de la CAQ

La directrice des communications de la CAQ assure que Planifiezvotrevote.org est une plateforme qui s’adresse à tous les électeurs du Québec.

Toutefois, les seuls comptes à en avoir fait la promotion sur les réseaux sociaux sont ceux de candidats ou d’organisateurs du parti, selon l’outil d’analyse CrowdTangle. De plus, le site arbore le logo de la CAQ et contient une mention selon laquelle il s’agit d’une dépense autorisée par l’agente officielle de la CAQ.

Bien que les utilisateurs puissent entrer leur adresse courriel et leur numéro de téléphone, rien n’indique pour le moment que ces données étaient accessibles au grand public. Seuls le nom et le code postal pouvaient être consultés.

Nous n’avons à ce stade aucune raison de croire qu’une autre personne [que le journaliste de Radio-Canada] aurait accédé à ces informations, soutient la directrice des communications de la CAQ.

Néanmoins, ces données auraient pu être utilisées à mauvais escient par une personne malveillante, estime Alexis Dorais-Joncas. De plus, le fait que les noms et le code postal soient potentiellement associés à une intention de vote accroît le risque, estime-t-il.

[Éditeur: en effet, ça peut présenter un risque.]

Tout devrait être fait pour protéger l’information des électeurs et rendre la tâche beaucoup plus difficile à ceux qui tentent de s’ingérer dans les processus démocratiques, croit M. Dorais-Joncas.



Source: Radio-Canada



-- -- --
Fichiers joints
https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212
https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212
loi-25-vie-privee-depuis-le-22-septembre-2022.jpg (94.43 Kio) Vu 290 fois
Payé et autorisé par Roxanne Rinfret, agente officielle de la CAQ
Payé et autorisé par Roxanne Rinfret, agente officielle de la CAQ
planifiez-votre-vote.jpg (113.11 Kio) Vu 290 fois
Sur ce site de la CAQ, on invite l'utilisateur à entrer son nom et son code postal. On vérifie si les renseignements sont valides, puis on indique à l’utilisateur les endroits où il aura le droit d’aller voter.<br /><br />PHOTO: PLANIFIEZVOTREVOTE.ORG
Sur ce site de la CAQ, on invite l'utilisateur à entrer son nom et son code postal. On vérifie si les renseignements sont valides, puis on indique à l’utilisateur les endroits où il aura le droit d’aller voter.

PHOTO: PLANIFIEZVOTREVOTE.ORG
planifiez-vote-caq.jpg (50.75 Kio) Vu 290 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Avatar du membre
cgelinas
Administrateur
Messages : 7780
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

La nouvelle qui retient l'attention est qu'un site de la CAQ a rendu accessibles des données de milliers d’électeurs.

viewtopic.php?t=4433

Mais...

Saviez-vous que la loi 25, qui porte sur la protection des données privées, est justement entrée en vigueur la semaine dernière au Québec?

https://www.quebec.ca/nouvelles/actuali ... dhui-43212

En résumé, la Commission d'accès à l'information (CAI) du Québec rappelle aux entreprises et aux organismes publics l'entrée en vigueur, le 22 septembre 2022, de certaines dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée Loi 25 (via le Projet de loi 64).

https://www.canlii.org/fr/qc/legis/lois ... -c-25.html

https://oppq.qc.ca/membres/politiques-e ... nts/loi25/

https://www.quebec.ca/gouvernement/mini ... personnels

http://www.assnat.qc.ca/fr/travaux-parl ... ppelant=MC

Cette réforme "modernise" les règles protégeant les renseignements personnels au Québec afin qu'elles soient mieux adaptées aux nouveaux défis posés par l'environnement numérique et technologique actuel.

Et la faille du site web de la CAQ qui sort, à ce moment précis.

Ça justifie l'utilité de la loi caquiste... via un exemple patent manufacturé à la CAQ. C'est probablement une faille que la personne qui a créé le site web ne connaissait pas mais ça reste que la faille devient publique, le lundi suivant l'entrée en force de la Loi 25.

Croyez-vous qu'il s'agit d'une coïncidence?

--

Pourquoi faut-il prendre acte de l'entrée en force de la Loi 25?

Pour plusieurs raisons mais pour la présidente, Me Diane Poitras, « cette importante réforme touche chaque entreprise, chaque organisme public et chaque citoyen. Une protection accrue des renseignements personnels et de nouveaux droits pour le citoyen, une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises : voilà les principales promesses de ces changements. »

Les principales nouvelles obligations

En plus de respecter les obligations actuelles en matière de protection des renseignements personnels, les entreprises doivent notamment :

Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l'entreprise;
En cas d'incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques;
Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d'une transaction commerciale ou encore à des fins d'étude, de recherche ou de productions de statistiques.

En plus de ces obligations, les organismes publics devront aussi former un comité sur l'accès à l'information et la protection des renseignements personnels.

Rappelons que les modifications apportées par la Loi 25 entrent progressivement en vigueur sur une période de trois ans, jusqu'en 2024. La prochaine date à retenir est le 22 septembre 2023.

Comme vous pouvez le constater, ça change plusieurs règles en matière de protection des renseignements personnels.

Il est possible que des millions de Québécois ne soient pas encore au courant de cette nouvelle loi alors ce serait important d'en parler, aussi largement que possible.

--

Si vous appréciez mes efforts soutenus, veuillez, s'il-vous-plaît et si vous le pouvez, participez à ma campagne de financement d'octobre 2022 car plus que jamais, j'ai besoin de votre aide.

https://donorbox.org/campagne-d-octobre ... es-efforts

Sans vous, rien n'est possible.

--

Pour consulter mes plateformes:

https://forum.chaudiere.ca/

https://forum.libertes.ca/

--

Si vous préférez m'aider via Interac:

Courriel: [email protected]
Réponse: Claude

Merci de rayonner en conscience, jusqu'à moi et de continuer à m'appuyer.



Source: Ma publication, dans Substack


Extrait facile à partager...

Du PL-64 à la Loi 25 qui vient d'entrer en force — ça "modernise" la protection des renseignements personnels, au Québec et des millions de Québécois ne l'ont pas (encore) remarqué...

https://claudegelinas.substack.com/p/du ... nt-dentrer


-- -- --
Fichiers joints
loi-25-vie-privee-depuis-le-22-sept-2022.jpg
loi-25-vie-privee-depuis-le-22-sept-2022.jpg (88.69 Kio) Vu 276 fois
pl-64-qui-a-mene-a-la-loi-25.jpg
pl-64-qui-a-mene-a-la-loi-25.jpg (151.13 Kio) Vu 288 fois
modernisation-de-la-protection-des-renseignements-personnels.jpg
modernisation-de-la-protection-des-renseignements-personnels.jpg (148.93 Kio) Vu 288 fois
le-pl-de-loi-64-c-25.jpg
le-pl-de-loi-64-c-25.jpg (71.62 Kio) Vu 288 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Répondre