Le Journal de Montreal

LES DONNÉES DE 130 000 QUÉBÉCOIS EXPOSÉES

Des centaines d’organismes de loisirs et plus de 140 municipali­tés de la province sont concernés

- BRIGITTE NOËL

Un logiciel d’inscriptio­n utilisé par près de 200 organismes de loisirs de partout au Québec a rendu disponible­s les données personnell­es d’au moins 130 000 utilisateu­rs, dont des numéros d’assurance sociale.

C’est une carte de crédit flambant neuve reçue par la poste qui a d’abord sonné l’alerte chez une famille de la Montérégie. Celle-ci a contacté l’équipe numérique de notre Bureau d’enquête pour rapporter le vol d’identité.

Une visite à la banque a confirmé qu’une ouverture de compte au nom de l’épouse avait été effectuée en ligne à l’aide d’une adresse courriel inconnue.

Les informatio­ns personnell­es utilisées pour ouvrir le compte (adresse postale et numéro d’assurance sociale) étaient exactes.

Inquiet, le couple s’est mis à passer au peigne fin son historique web afin de déterminer l’origine de ce présumé vol d’identité.

Après des vérificati­ons, ils ont trouvé que le seul site web sur lequel ils avaient inscrit le numéro d’assurance sociale était la plateforme Sports-Plus, que la famille avait utilisée pour inscrire sa fille à un camp de jour, en avril dernier.

QUE L’URL À MODIFIER

En quelques clics, le père de famille et développeu­r web de métier a réussi à exposer la faille de sécurité et à avoir accès aux données personnell­es de dizaines de milliers d’utilisateu­rs.

Il lui suffisait de modifier l’URL dans la barre d’adresse en haut de la page.

Malgré sa simplicité, cet exercice peut tout de même être considéré comme un piratage, et c’est pourquoi le principal intéressé a demandé à notre Bureau d’enquête de ne pas révéler son identité.

Un numéro d’assurance sociale, « c’est vraiment dans le pire des données qu’on pourrait voler à quelqu’un, et il y a beaucoup de mal qui pourrait être fait avec ça », se désole le père, qui ne peut confirmer que cette faille est à l’origine de la tentative de vol d’identité de sa femme, mais qui a effectué des démarches afin que la brèche soit colmatée.

IL SONGE PORTER PLAINTE

Il considère de porter plainte auprès de la Commission d’accès à l’informatio­n du Québec, l’organisme gouverneme­ntal qui s’occupe de ce genre d’enjeu. « J’imagine qu’il y a des lois en place pour garantir que nos données sont protégées. Mais je pense qu’éventuelle­ment la législatio­n devrait être plus stricte, on pourrait exiger que les entreprise­s qui font affaire avec des données confidenti­elles soient auditées. »

Sports-Plus est un logiciel d’inscriptio­n utilisé dans plus de 140 municipali­tés et 180 entreprise­s québécoise­s (voir encadré).

Notre Bureau d’enquête a obtenu une vidéo des tests de sécurité effectués sur le site, qui, en moins de cinq minutes, nous ont exposé les données personnell­es de trois différents utilisateu­rs.

?? PHOTO FOTOLIA ?? Des organismes de loisirs ont vu les informatio­ns personnell­es de milliers d’utilisateu­rs être rendues disponible­s. En mortaise, l’exemple d’un formulaire qui était exposé. Le code source affichait aussi le numéro d’assurance sociale.
PHOTO FOTOLIA Des organismes de loisirs ont vu les informatio­ns personnell­es de milliers d’utilisateu­rs être rendues disponible­s. En mortaise, l’exemple d’un formulaire qui était exposé. Le code source affichait aussi le numéro d’assurance sociale.
?? ??

Newspapers in French

Newspapers from Canada