LES DONNÉES DE 130 000 QUÉBÉCOIS EXPOSÉES
Des centaines d’organismes de loisirs et plus de 140 municipalités de la province sont concernés
Un logiciel d’inscription utilisé par près de 200 organismes de loisirs de partout au Québec a rendu disponibles les données personnelles d’au moins 130 000 utilisateurs, dont des numéros d’assurance sociale.
C’est une carte de crédit flambant neuve reçue par la poste qui a d’abord sonné l’alerte chez une famille de la Montérégie. Celle-ci a contacté l’équipe numérique de notre Bureau d’enquête pour rapporter le vol d’identité.
Une visite à la banque a confirmé qu’une ouverture de compte au nom de l’épouse avait été effectuée en ligne à l’aide d’une adresse courriel inconnue.
Les informations personnelles utilisées pour ouvrir le compte (adresse postale et numéro d’assurance sociale) étaient exactes.
Inquiet, le couple s’est mis à passer au peigne fin son historique web afin de déterminer l’origine de ce présumé vol d’identité.
Après des vérifications, ils ont trouvé que le seul site web sur lequel ils avaient inscrit le numéro d’assurance sociale était la plateforme Sports-Plus, que la famille avait utilisée pour inscrire sa fille à un camp de jour, en avril dernier.
QUE L’URL À MODIFIER
En quelques clics, le père de famille et développeur web de métier a réussi à exposer la faille de sécurité et à avoir accès aux données personnelles de dizaines de milliers d’utilisateurs.
Il lui suffisait de modifier l’URL dans la barre d’adresse en haut de la page.
Malgré sa simplicité, cet exercice peut tout de même être considéré comme un piratage, et c’est pourquoi le principal intéressé a demandé à notre Bureau d’enquête de ne pas révéler son identité.
Un numéro d’assurance sociale, « c’est vraiment dans le pire des données qu’on pourrait voler à quelqu’un, et il y a beaucoup de mal qui pourrait être fait avec ça », se désole le père, qui ne peut confirmer que cette faille est à l’origine de la tentative de vol d’identité de sa femme, mais qui a effectué des démarches afin que la brèche soit colmatée.
IL SONGE PORTER PLAINTE
Il considère de porter plainte auprès de la Commission d’accès à l’information du Québec, l’organisme gouvernemental qui s’occupe de ce genre d’enjeu. « J’imagine qu’il y a des lois en place pour garantir que nos données sont protégées. Mais je pense qu’éventuellement la législation devrait être plus stricte, on pourrait exiger que les entreprises qui font affaire avec des données confidentielles soient auditées. »
Sports-Plus est un logiciel d’inscription utilisé dans plus de 140 municipalités et 180 entreprises québécoises (voir encadré).
Notre Bureau d’enquête a obtenu une vidéo des tests de sécurité effectués sur le site, qui, en moins de cinq minutes, nous ont exposé les données personnelles de trois différents utilisateurs.