Le bottin de l’Union des artistes (UDA), accessible au public sur l’internet, est un véritable panier percé de renseignements personnels depuis plus d’un an.

Derrière les fiches officielles à l’adresse bottin.uda.ca, La Presse a constaté, par un simple clic à la portée de tout internaute, qu’on pouvait aisément trouver l’adresse à la maison, la date de naissance, le courriel et le numéro de téléphone privés de la plupart des quelque 14 000 artistes, acteurs, musiciens, danseurs et animateurs québécois qui y figurent.

Des recherches ultérieures ont confirmé, à plus d’une centaine de reprises, que ces informations personnelles étaient exactes.

Informée de cette faille mercredi en début de matinée, l’UDA a rapidement corrigé la situation. Vers 12 h 30, La Presse a pu confirmer que les informations délicates n’étaient plus accessibles.

« Je ne prends pas ça à la légère : c’est important, c’est grave, a reconnu Alexandre Curzi, directeur général de l’UDA. Ce qui me rassure, c’est que ce ne sont pas des informations bancaires. »

Rien n’indique que ces informations aient pu servir à des fins malveillantes, précise M. Curzi. Il évoque une « erreur humaine » à la firme responsable de la refonte du site à partir de 2022, la Web Shop.

C’est depuis la mise en ligne de cette nouvelle version du site, en avril 2023, que ces informations personnelles sont accessibles.

« Pas de mauvaise intention »

Le président de cette firme informatique fondée à Alma en 2010, Keyven Ferland, assure que des tests de sécurité ont pourtant été effectués, mais n’ont jamais signalé cette erreur.

Essentiellement, a-t-il expliqué, ces informations auraient dû être réservées à des utilisateurs autorisés, pas au grand public. Il a suffi de quelques minutes pour colmater la faille.

« Il n’y a aucune mauvaise intention là-dedans, assure le président de la Web Shop. Au contraire : on a toujours eu l’objectif de respecter les plus hauts standards de sécurité. »

Éric Parent, PDG de la firme Eva Technologies et expert en cybersécurité, a pu consulter la version indiscrète du bottin avant qu’il soit corrigé. Il en était estomaqué. « C’est la première fois que je vois quelque chose comme ça. C’est 2000 % pas correct, ce n’est pas acceptable, il n’y a rien de normal là-dedans. »

Mal cachées dans le code

Le bottin de l’UDA contient précisément 13 912 fiches d’artistes, que l’on peut trier selon un mot-clé par un moteur de recherche. Les fiches que l’on peut alors consulter présentent des informations publiques comme la photo officielle, l’agence de l’artiste avec les coordonnées des bureaux, les spécialités, parfois un curriculum vitæ.

CAPTURE D’ÉCRAN LA PRESSE

Le code source d’une page web est l’ensemble des commandes informatiques permettant son affichage dans un navigateur.

Avant les correctifs, on pouvait toutefois facilement faire apparaître d’autres informations cachées. Il suffisait de demander l’affichage de l’architecture de la page web, son « code source », une commande disponible dans tout navigateur (voir capsule « Qu’est-ce que le code source ? »).

En cherchant par mot-clé dans ce code, on trouvait, sans cryptage, le courriel privé de l’artiste, parfois l’adresse de sa résidence et son numéro de téléphone. Toutes les fiches comportaient en outre, dans le code, la date de naissance de l’artiste.

Précision importante, La Presse n’a recouru à aucune expertise informatique poussée ou à une technique de piratage pour trouver ces informations.

C’est le professeur de journalisme à l’Université du Québec à Montréal Jean-Hugues Roy qui a fait cette découverte. Pour son cours sur le journalisme de données, il a été amené à analyser le bottin de l’Union des artistes dans le cadre du travail d’un étudiant. C’est en scrutant le code source des fiches d’artistes qu’il s’est aperçu que des informations cachées y figuraient. Ce code source permet souvent d’automatiser de la cueillette d’informations dans des sites web publics, ce qu’on appelle du « moissonnage ».

« Ça fait 12 ans que je fais du moissonnage de données, je n’ai jamais vu un cas comme ça, explique le professeur Roy. J’en regarde, des sites web donnant un paquet d’informations, mais je ne m’attendais pas à en avoir autant. La firme qui a fait ce site n’aurait jamais dû laisser passer ces informations personnelles en clair [non cryptées]. »

Loi 25 et sanctions

L’UDA pourrait avoir enfreint des dispositions de la loi 25 en matière de protection des renseignements personnels, entrée en vigueur en septembre 2022. Cette loi oblige notamment les organisations à appliquer « le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée », et celles-ci « doivent obtenir un consentement formulé de manière expresse avant d’utiliser un renseignement personnel sensible à une fin autre que celles pour lesquelles il a été recueilli ».

Elles doivent en outre aviser la Commission d’accès à l’information (CAI) « et les personnes concernées » de tout incident de confidentialité impliquant un renseignement personnel qu’elles détiennent.

La loi 25 prévoit une sanction administrative maximale de 10 millions de dollars, ou de 2 % du chiffre d’affaires.

À la CAI, on refuse d’indiquer si un cas comme celui du bottin de l’UDA constituerait une violation de la loi 25. On a tout au plus accepté de donner par courriel des précisions théoriques autour de tels dossiers.

« Les renseignements personnels sont confidentiels, écrit-on. De leur collecte à leur destruction, les renseignements personnels doivent être rigoureusement protégés. »

La CAI, indique-t-on, peut mener des enquêtes à la suite d’une plainte anonyme ou de sa propre initiative.

Qu’est-ce que le code source ?

Le code source est l’ensemble des commandes informatiques qui, lues par un navigateur comme Safari, Chrome ou Edge, permettront l’affichage lisible d’une page web. Le code source indique par exemple le texte, les photos et les hyperliens qui apparaîtront pour l’internaute. Tous les navigateurs disposent d’une commande permettant, à partir de ce qui est affiché publiquement, d’accéder à ce code.

Dans le cas du bottin de l’UDA, des tonnes d’informations personnelles s’y cachaient, plus précisément à la ligne 108. On y retrouve, par exemple, la date de naissance de l’artiste simplement en recherchant le mot-clé « birthday ». En recherchant le caractère @, plusieurs adresses courriel peuvent être trouvées, la plupart officielles et publiques, mais parfois personnelles.

Il suffisait d’effectuer une recherche basée sur les codes régionaux comme 514 ou 450 pour trouver le numéro de téléphone privé de l’artiste. Enfin, plus inquiétant, la recherche de l’expression « street_line » a donné dans la majorité des cas une adresse qui n’était pas celle de l’agence. Vérification faite, dans une vingtaine d’exemples, il s’agissait de la résidence de l’artiste.