Le site Clic Santé victime d’une fuite de données
Une fuite de données a récemment été découverte sur le site Clic Santé que les Québécois utilisent pour prendre leurs rendez-vous de vaccination contre la COVID-19, a appris l’agence QMI.
C’est un membre de la communauté du Hackfest (un événement annuel de cybersécurité) qui a dévoilé cette brèche le soir du 13 mai sur le serveur Discord de l’organisation, une application servant à communiquer entre internautes intéressés par la cybersécurité et autres sujets connexes.
L’individu à l’origine de cette révélation, qui a demandé à garder l’anonymat, a découvert cette vulnérabilité en explorant le site de Clic Santé. Il a réalisé qu’il était possible de télécharger des documents relatifs aux rendez-vous pour la vaccination contre la COVID-19, sans qu’il ait besoin de s’authentifier.
Nous avons pu nous faire confirmer ces informations par le ministère de la Santé et des Services sociaux (MSSS).
ENVIRONNEMENT COLLABORATIF
« [U]n fichier contenant certaines informations sur les rendez-vous, dont le numéro d’assurance maladie, a été exceptionnellement mis en circulation par le MSSS auprès des centres de vaccination du Québec », a expliqué Noémie Vanheuverzwijn, porte-parole pour le MSSS.
Ces documents étaient divisés par régions et servaient à « vérifier des doublons qui devaient être annulés », a-t-elle ajouté.
Sur l’un de ces documents dont nous avons obtenu copie, nous avons également noté des dates, heures et lieux de vaccination, en plus de numéros d’assurance maladie. En faisant des recoupements, il serait possible d’identifier certaines personnes.
Ces informations étaient entreposées « sur un environnement collaboratif appartenant au fournisseur utilisé à une fin de consultation pour les centres de vaccination du Québec », a indiqué Mme Vanheuverzwijn.
Le fournisseur, Trimoz Technologies, n’a pas donné suite à nos demandes d’information. Le ministère aurait rapidement été mis au courant de la situation. Dès le lendemain matin, il n’était plus possible d’accéder aux documents.
ERREUR HUMAINE
Mme Vanheuverzwijn a expliqué qu’« il s’agit d’une erreur humaine, un oubli d’effacer le fichier après le transfert de l’information aux régions ». Selon la porte-parole, « aucune autre brèche de sécurité n’a été détectée ».
Bien qu’aucun préjudice ne semble avoir été causé par cet incident, le ministère a décidé de modifier sa façon de communiquer avec les centres de vaccination.
« Un canal sécurisé sur une plateforme du MSSS et partagé au [réseau de la Santé et des Services sociaux] sur l’infrastructure sécurisée gouvernementale [...] a déjà été mis en place pour assurer un transfert. Dorénavant, tout transfert devra utiliser ce canal même si les données ne sont pas jugées sensibles », a dit la porte-parole.