Leurs mots de passe piratés
Certains sont même accessibles gratuitement sur des sites clandestins, a constaté notre Bureau d’enquête
Des milliers de mots de passe d’élus et de fonctionnaires, dont certains liés à Justin Trudeau et à des députés de l’assemblée nationale, ont été piratés et sont disponibles sur le dark web. Ces fuites pourraient mettre des informations sensibles à risque.
Même des directeurs de la Sûreté du Québec et un sous-ministre fédéral de la Justice ont été victimes du vol, a constaté notre Bureau d’enquête au cours des dernières semaines.
Ces fuites ne signifient pas nécessairement que les systèmes informatiques des gouvernements ont été directement infiltrés.
Ils pourraient cependant faciliter le travail de criminels qui voudraient accéder à des réseaux gouvernementaux.
INFORMATIONS VOLÉES
Le ministère de l’éducation vient justement d’annoncer qu’un mot de passe dérobé a servi à voler les informations de 360 000 enseignants.
Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils proviennent de fuites déjà connues, comme celles qui ont frappé Linkedin, Dropbox et le site de rencontres coquines Ashley Madison.
Dans ces cas-là, les victimes du vol de mots de passe ont utilisé leur courriel professionnel pour se connecter à leurs comptes sur ces sites.
Or, les internautes ont tendance à utiliser des mots de passe similaires d’un site à l’autre, et mettent donc leur code d’accès professionnel à risque.
« Ça facilite la vie des hackers, explique Mathieu Jacques, fondateur du consultant en cybersécurité Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un robot pour l’avoir au complet ! »
S’ils réussissent, les pirates peuvent ensuite revendre l’information à des spécialistes du vol d’identité, de l’espionnage ou des cyberattaques.
Des experts s’inquiètent et croient que les organismes gouvernementaux n’en font pas suffisamment pour avertir les victimes de ces vols de mots de passe lorsqu’ils sont détectés sur internet ( voir en page 6).
TENUS DANS L’IGNORANCE
La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.
« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journaldemontréal est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme François Daigle, sous-ministre délégué de la Justice, dont un mot de passe a fuité.
Plusieurs organisations concernées sont réticentes à expliquer ce qui s’est passé. Certaines assurent qu’elles étaient déjà au courant.
Tous les organismes publics affectés disent s’être dotés de politiques d’utilisation sécuritaire des courriels. Ils interdisent l’utilisation de l’adresse professionnelle sur des sites tiers et prévoient des changements réguliers de mots de passe.
– Avec la collaboration d’andrea Valeria