Ministères et services publics doivent fermer l’accès à leurs données «sensibles»

Cette directive survient en réponse à l’importante fuite de données qui a affecté la plateforme Place 0-5, qui sert de guichet unique pour obtenir une place dans un service de garde au Québec.
Photo: Capture d'écran Cette directive survient en réponse à l’importante fuite de données qui a affecté la plateforme Place 0-5, qui sert de guichet unique pour obtenir une place dans un service de garde au Québec.

Le gouvernement du Québec invite ses ministères et organismes publics qui utilisent des systèmes informatiques s’apparentant à ceux utilisés par la plateforme Place 0-5 de fermer l’accès à leurs services numériques afin de prévenir une nouvelle fuite de données. Une décision judicieuse, selon un expert en cybersécurité.

Cette directive survient en réponse à l’importante fuite de données qui a affecté la plateforme Place 0-5, qui sert de guichet unique pour obtenir une place dans un service de garde au Québec. Plus tôt cette semaine, les données personnelles de milliers de parents et d’enfants, incluant celles du ministre de la Famille, Mathieu Lacombe, ont fait l’objet d’une fuite pilotée par un individu malveillant. La brèche aurait été colmatée dès lundi soir, tandis qu’une enquête a été ouverte par la Sûreté du Québec et la Gendarmerie royale du Canada pour faire la lumière sur cette affaire.

Parmi les informations téléchargées se trouvaient notamment le nom de parents, leur numéro de téléphone, leur adresse courriel et leur numéro d’inscription au registre de l’état civil. Ces données étaient hébergées par un fournisseur privé, OVH cloud.

« Cette attaque aurait été rendue possible par certaines vulnérabilités des systèmes du fournisseur technologique responsable de la gestion du site », a indiqué vendredi soir le Conseil du trésor, par voie de communiqué.

« Par mesure préventive, il a été demandé à tous les ministères et organismes publics qui utilisent des systèmes [informatiques] s’apparentant à celui en cause de fermer immédiatement l’accès à leurs services numériques si ceux-ci contiennent des données jugées sensibles », peut-on lire.

En fin de soirée, Bibliothèque et Archives nationales du Québec, qui gère notamment la Grande Bibliothèque, située au centre-ville de Montréal, a d’ailleurs annoncé avoir interrompu une partie de ses services informatiques afin de protéger les données personnelles de ses abonnés.

« Cette décision entraîne la fermeture de la Grande Bibliothèque et la suspension de certains services en ligne jusqu’à mardi matin, le temps que les correctifs nécessaires soient apportés », indique un communiqué émis par l’organisme. Ce dernier assure cependant qu’il s’agit d’une mesure préventive, puisqu’aucune fuite de données des usagers de la Grande bibliothèque « ou de tout autre service » géré par l’organisme n’a eu lieu. Le site web de l’organisme demeure par ailleurs fonctionnel.

Apporter des « correctifs »

Le gouvernement précise n’avoir eu écho pour le moment d’aucune autre fuite de données personnelles provenant de ses services. Pendant que ces différents services numériques seront fermés, le centre gouvernemental de cyberdéfense et le réseau gouvernemental de cyberdéfense procéderont à l’analyse de ceux-ci afin de vérifier si des « correctifs » sont nécessaires pour rendre ceux-ci plus étanches avant de procéder à leur « réouverture ».

« C’est une bonne nouvelle. Ça montre que le gouvernement a fait son évaluation de risques et a conclu qu’il doit prévenir le pire pour éviter une autre fuite d’informations », a réagi au Devoir l’expert en cybersécurité et ancien officier de sécurité informatique au ministère de la Défense, Steve Waterhouse. Ce dernier constate qu’il est particulièrement difficile pour le gouvernement d’assurer la protection des données personnelles des Québécois lorsque ses services font affaire avec des entreprises privées pour gérer celles-ci.

« Les données citoyennes, le gouvernement est très malhabile pour les gérer », laisse-t-il tomber.

Le Tribunal administratif du logement a d’ailleurs dû bloquer temporairement l’accès aux dossiers du plumitif sur son site Web à la fin du mois d’avril, après que Le Devoir ait soulevé le manque de protection entourant les données personnelles de milliers de locataires sur plateforme de l’organisme.

« La cybersécurité des données gouvernementales est prise très au sérieux et des actions sont en cours afin d’éviter que d’autres incidents semblables ne surviennent », assure le gouvernement Legault.

À voir en vidéo