Des fonctionnaires fédéraux transmettent des informations gouvernementales sensibles à l'aide de leurs téléphones Blackberry, et ce, malgré des demandes répétées pour faire cesser cette pratique.
La Presse Canadienne a obtenu des versions censurées de messages PIN Blackberry qui démontrent que des employés de la fonction publique échangent sur des sujets économiques, sécuritaires et opérationnels. Des sous-ministres de Transport Canada, des Anciens Combattants et des Travaux publics ont également utilisé cette fonction pour discuter d'informations qui sont censées être sécurisées.
La commissaire à la vie privée et des responsables du Centre de sécurité des télécommunications Canada (CSTC) - l'agence fédérale responsable de la sécurité de l'information - ont explicitement déclaré que ce service de messagerie ne devrait pas être utilisé pour transmettre des informations sensibles.
La vulnérabilité des communications gouvernementales a été démontrée cette semaine, avec la révélation que des réseaux informatiques de deux ministères ont été piratés. Il n'est pas possible de connaître les cibles exactes des intrus, mais l'accès à Internet a été coupé au conseil du Trésor et au ministère des Finances.
La messagerie PIN permet aux usagers des téléphones Blackberry d'envoyer des messages directement d'un appareil à un autre, sans passer par les serveurs gouvernementaux qui possèdent des pare-feu et des antivirus. La croyance populaire veut qu'ils soient sécuritaires, puisqu'ils sont cryptés et ne sont pas enregistrés.
Ce service est toutefois considéré comme étant vulnérable, puisque la clé de cryptage utilisée pour encoder les messages est la même pour tous les appareils.
«La clé utilisée est une clé cryptographique globale utilisée pour tous les appareils Blackberry du monde», explique un bulletin du CSTC.
«Cela signifie que tout appareil de ce type peut potentiellement décrypter un message PIN, si celui-ci est intercepté et si le PIN de celui qui reçoit le message peut être copié», poursuit le document.
Aucun des ministères n'a offert d'explication au fait que la fonction PIN soit utilisée pour envoyer des informations sensibles.
Des experts en sécurité estiment que le risque est réel.
«Les ministères peuvent mettre en place toutes sortes de procédures, de systèmes et de politiques pour les courriels, l'accès à Internet ou tout le reste, mais ceci constitue une zone complètement grise», a indiqué Keith Murphy, de la firme Defense Intelligence.