Une faille informatique majeure dans un organisme provincial a permis l'accès à des dizaines de milliers de renseignements personnels et confidentiels de Québécois, a découvert notre Bureau d'enquête.
Après Heartbleed qui a mené au vol de 900 numéros d'assurance sociale au Canada, cette autre faille a eu le potentiel de gaver les pirates informatiques d'informations hautement confidentielles.
La faille relevée par notre source concerne une brèche de sécurité sur le portail web des Offices jeunesse internationaux du Québec (LOJIQ). L'organisme gouvernmental chapeaute les échanges et projets étudiants des Québécois de moins de 35 ans à l'étranger.
Les données sensibles sont nombreuses: passeport, date de naissance, adresse, téléphone, courriel, nom des parents, documents d'assurance, billet d'avion. Même les dates de séjour à l'étranger y était affichées, une information précieuse pour les pirates qui s'adonnent aussi au cambriolage. Chaque pirate pouvait piger 25 dossiers confidentiels parmi les milliers de l'organisme.
«Pas de limite»
Ces données doivent pourtant être «en aucun cas transmises à des tiers et ne peuvent être consultés que par le personnel dûment autorisé», selon la politique de confidentialité de l'organisme.
Ces données permettent «amplement» à des pirates d'usurper des identités et d'obtenir les numéros d'assurance sociale, explique l'expert en protection des renseignements Pierrot Péladeau. «Avec tout ça, il n'y a pas de limite», dit-il.
Les données peuvent permettent «l'ouverture de compte bancaire, de compagnies fictives ou de faux passeport».
La faille a été découverte par hasard par notre source. Très inquiète devant les risques de fraude, elle a avisé LOJIQ, il y a un an. Personne ne l'a rappelée. Un mois plus tard, il rappelle. La brèche ne sera colmatée que quatre mois plus tard.
Mal colmatée
Après vérification, il apparaît que cela n'a pas été fait correctement, puisque notre source avait récemment toujours accès à une partie des données après le correctif de l'organisme.
Toute la planète avait accès. Même si le portail est uniquement destiné aux candidats de LOJIQ, il suffit de se créer un compte sur le portail. Il a été possible de le faire en quelques clics.
Ironiquement, LOJIQ a reçu un OCTAS (prix d'excellence en technologie) en 2013 pour la qualité de son portail informatique, notamment pour sa sécurité.
- Avec la collaboration de Jean-Nicolas Blanchet
Pour assurer que son seul but était l'intérêt public, notre source a effectué une déclaration assermentée assurant qu'elle n'a pas communiqué d'informations à des tiers, ni s'être servi des renseignements à des fins illégales.
Incorrect or missing Brightcove Settings
