Des milliers de québécois voient leurs données au tribunal administratif exposées en ligne
Récemment il a été observé une exposition de centaines millions de données appartenant à des québécois près du tribunal administratif du logement québécois.
Selon un expert informatique, par ailleurs cofondateur donne un événement annuel qui rassemble des programmeurs informatiques, ses données contiennent suffisamment d’informations pour permettre à des pirates informatiques d’initier une campagne d’hameçonnage ou de pouvoir extorquer de l’argent à ses personnes.
Cet article va aussi vous intéresser : Traçage mobile : le gouvernement Québécois rassure sur la fiabilité la sécurité de l’application
« Un locataire qui conteste une hausse de loyer auprès du Tribunal administratif du logement du Québec n’est pas le seul à pouvoir consulter son dossier sur le site Web de l’organisme. En fait, n’importe qui armé d’un tableur Excel et d’un peu de patience peut récupérer à partir du site du tribunal des milliers de dossiers de locataires actuels et passés, laissés sans aucune protection. » explique Alain McKenna.
« Une personne un tant soit peu mal intentionnée peut faire beaucoup de dommages avec ce qu’on trouve sur ce site », note Patrick Mathieu, expert en informatique et l’autre cofondateur du Hackfest. « Si on veut s’en prendre à quelqu’un, ce qu’on trouve là est pas mal plus important que n’importe quelle faille de compte Facebook. » ajoute ce dernier.
En effet, il se pourrait qu’avec ces données en circulation il serait possible de bâtir toute une base de données. C’est qui peut-être facilement commercialisable sur le Darkweb. « On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur. », Explique Steve Waterhouse, spécialiste Canadien de la sécurité informatique, par ailleurs ex officier de la sécurité informatique au ministère de la Défense.
« C’est consternant, Le gouvernement néglige des questions simples de sécurité des données en omettant de protéger ces documents. Ils contiennent de l’information confidentielle de locataires et de gens qui peuvent facilement devenir des victimes d’hameçonnage ou de vol d’identité. ».
« Quand le locataire et son propriétaire ont un différend, ils demandent au Tribunal administratif du logement — l’ex-Régie du logement du Québec — de trancher pour eux. Le tribunal bâtit ensuite un dossier comportant le nom, l’adresse postale et le courriel des parties impliquées. Le dossier peut contenir plusieurs autres documents de nature personnelle, des avis d’audition et le procès-verbal de ces auditions. Le plaignant reçoit un numéro à six chiffres qu’il peut ensuite utiliser pour retrouver sur le site du tribunal son dossier numérisé. Une recherche à l’aide de ce numéro renvoie un sommaire des actions prises par le tribunal, et se termine sur un document PDF à télécharger. Il suffit d’entrer à répétition l’adresse Web menant à ce document, en altérant le numéro de dossier, pour récupérer les fichiers PDF relatifs à d’autres dossiers. Devant Le Devoir, une source a pu, à l’aide d’un simple script programmé dans un classeur Excel, repérer en moins de deux minutes plus d’un millier de ces fichiers PDF qui ne se trouvent protégés par aucune mesure de sécurité. » explique Patrick Mathieu.
Un ensemble de dossier suffisamment riche pour permettre d’amorcer une campagne d’attaque informatique. Les possibilités dans ces conditions sont plurielles. En effet, on peut envisager ici compagne d’usurpation d’identité du tribunal, dans le but de soutirer de l’argent justiciable en échange de l’étude d’un dossier par exemple.
Pour un pirate informatique, ces données représentent beaucoup de valeur. La possibilité de pouvoir les collecter en grand nombre rend la chose beaucoup plus intéressante pour eux. Et le fait qu’ils proviennent d’une source de l’administration publique les rend encore beaucoup plus fiable.
« On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur. Comme ce sont des informations vérifiées, elles iraient chercher un très bon prix… », estime M. Waterhouse.
Pourtant on apprend d’un autre côté tous les tribunaux de logement du Québec n’avait pas le choix que de rendre ses données informatiques publique. En effet selon quelques dispositions de la loi, l’ensemble des informations et des renseignements personnels qui ont pu être récolté dans l’exercice d’une fonction juridictionnelle sont des natures publiques et les dossiers doivent aussi être accessible à tous « comme cela est d’ailleurs le cas dans les tribunaux de l’ordre judiciaire comme la Cour du Québec », tenait à rappeler le tribunal.
Par ailleurs il faut préciser que les recherches extensives des informations personnelles d’autrui à travers les documents et tribunal sont interdites. « C’est assurément un enjeu important dans un contexte où le gouvernement est en plein virage numérique », souligne Pierre Trudel, professeur en droit du cyberespace. « Il est plus facile de commettre un acte illégal. Il y a probablement une précaution que pourrait prendre le tribunal — ou le gouvernement — pour empêcher une telle possibilité. », ajoute ce dernier.
Accédez maintenant à un nombre illimité de mot de passe :