(Québec) L’attaque informatique contre la Place 0-5, qui a causé une fuite massive de données personnelles, entraîne d’importantes répercussions. Dans un geste rare, voire inédit, Québec a ordonné à tous les ministères et organismes publics comme parapublics qui utilisent un système informatique semblable de fermer « immédiatement » l’accès à leurs services numériques si ceux-ci contiennent des données sensibles.

Tommy Chouinard
Tommy Chouinard La Presse
Léa Carrier
Léa Carrier La Presse

Par conséquent, Bibliothèque et Archives nationales du Québec (BAnQ) a interrompu vendredi soir une partie de ses systèmes informatiques. « Cette décision entraîne la fermeture de la Grande Bibliothèque et la suspension de certains services en ligne jusqu’à mardi matin, le temps que les correctifs nécessaires soient apportés », a annoncé l’organisme par voie de communiqué.

Elle précise qu’il n’y a eu aucune fuite de données de ses usagers ou de tout autre service. Le site web de BAnQ demeurera accessible de même que les services d’information et de référence à distance par téléphone et courriel.

Il ne faut pas chercher bien loin pour mesurer l’ampleur de l’embarras à Québec : le Conseil du trésor a publié un communiqué de presse à 17 h 59 vendredi pour annoncer la « mise en place de mesures préventives et la fermeture de l’accès à certains services numériques gouvernementaux ».

Il explique que l’attaque contre la Place 0-5 « aurait été rendue possible par certaines vulnérabilités des systèmes du fournisseur technologique responsable de la gestion du site ».

La Place 0-5 est gérée par la Coopérative Enfance Famille dont le fournisseur technologique est InMedia. Dans sa directive émise vendredi, le Conseil du trésor somme, par « mesure préventive », tous ceux qui « utilisent des systèmes s’apparentant à celui en cause de de fermer immédiatement l’accès à leurs services numériques si ceux-ci contiennent des données jugées sensibles ».

BAnQ a réagi en annonçant des fermetures à 20 h 34.

Le Conseil du trésor a signalé à La Presse qu’« au moins » cinq ministères et organismes sont concernés. Revenu Québec n’en fait pas partie, a-t-on précisé dans l’espoir de rassurer le contribuable.

« Pour le moment, rien n’indique que d’autres renseignements personnels ou confidentiels ont été dérobés », selon le Conseil du trésor.

Parmi les clients d’InMedia, on compte entre autres Hydro-Québec, des villes (Laval, Longueuil et Sherbrooke par exemple) et Radio-Canada.

« Au Trésor, le premier réflexe a été de dire : oh, est-ce que cette plateforme est utilisée ailleurs ? La réponse, c’est oui. Mais pour l’instant, on ne peut pas dire quels ministères ou organismes, parce qu’on ne veut pas donner de munitions à personne », a expliqué Antoine Tousignant, chef d’équipe aux affaires publiques du Conseil du trésor.

En clair, Québec ne veut pas offrir à des pirates informatiques des cibles potentielles… que l’on peut trouver facilement sur le web par ailleurs.

« Il n’y a pas péril en la demeure, mais on est le gouvernement, donc on est prudent, et on a vraiment par mesure de précaution demandé aux gens d’investiguer rapidement et de fermer les services », a ajouté M. Tousignant. Il devait transmettre à La Presse une copie de la directive du Trésor envoyée à tous les ministères et organismes. Mais pour ce faire, il fallait une autorisation de ses supérieurs. On n’avait toujours pas de nouvelle à 22 h.

La Presse a révélé mardi que les renseignements personnels du ministre de la Famille Mathieu Lacombe et de milliers de parents et d’enfants inscrits au guichet unique pour obtenir une place en garderie, la Place 0-5, ont fait l’objet d’une fuite. La Sûreté du Québec (SQ) et la Gendarmerie royale du Canada (GRC) mènent depuis une enquête criminelle sur ce vol de données concernant les dossiers de 5000 familles.

Le pirate informatique avait « un objectif politique », soupçonne le gouvernement. Il voulait semer la confusion sur le nombre réel d’enfants en attente d’une place.

Au beau milieu de son vol samedi soir, il a envoyé les données dérobées à Myriam Lapointe-Gagnon, instigatrice d’un mouvement qui dénonce le manque de places en garderie (Ma Place au travail). La mère militante a alerté dès le lendemain les policiers qui, selon ses dires, l’ont « zéro prise au sérieux » et l’ont traitée « comme une femme conne ». Elle a contacté La Presse au sujet de cette fuite et lui a transmis lundi la totalité des documents reçus afin de mener une enquête journalistique.

Jeudi, la ministre de la Sécurité publique, Geneviève Guilbault, a demandé des explications à la SQ concernant le traitement « préoccupant » de la plainte de Mme Lapointe-Gagnon. Le même jour, le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, s’est dit catastrophé par les nombreuses failles de sécurité qui ont été découvertes sur le site web de la Place 0-5.

Le Centre gouvernemental de cyberdéfense s’est penché sur le cas. « Ça lui a pris très peu de temps pour trouver plusieurs brèches. Il y a plusieurs vulnérabilités à corriger avant » de rouvrir le site, disait M. Caire. « J’ai entendu des choses qui dépassent l’entendement. Quand on me parle d’un mot de passe générique, en aucun temps c’est une pratique qui est tolérée au gouvernement du Québec. Ça n’a aucun sens ! »

Il y a de toute évidence des lacunes en matière de sécurité avec le service informatique utilisé par la Place 0-5, signalait plus tôt cette semaine Luc Lefebvre, président de Crypto. Québec, un organisme à but non lucratif qui fait la promotion des meilleures pratiques en matière de protection des données. Il relevait par exemple qu’un panneau d’administration est offert sur le web. « Quand ça existe, il faut que ce soit sécurisé. Et dans ce cas-ci, ça ne l’était pas », expliquait-il, précisant qu’il est ainsi possible de multiplier les requêtes pour arriver à se connecter à la plateforme.