Nouvelle fuite de renseignements personnels au Québec : les noms et coordonnées de plus de 3000 personnes ont été dévoilés sur le site Pastebin, hier. Les informations proviendraient du serveur de l’ancienne version du site internet du magazine L’actualité.

AUDREY RUEL-MANSEAU AUDREY RUEL-MANSEAU
La Presse

Vers 12 h 30, hier, une liste contenant les informations personnelles de 3177 personnes a été publiée sur le site internet Pastebin. Ladite liste contient les noms, les adresses courriel et, dans certains cas, les dates de naissance, les numéros de téléphone et les adresses domiciliaires des victimes. Les mots de passe associés aux comptes, eux, sont cryptés.

« La communauté des hackers, quand ils font un coup fumant, ils vont se servir de ce site-là pour le partager », explique Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale, aujourd’hui expert en cybersécurité.

Quand il a pris connaissance de la liste, l’expert en cybersécurité a informé le cofondateur du Hackfest.ca – un événement d’envergure qui regroupe tous les automnes, à Québec, des pirates informatiques du pays en entier –, qui a relayé l’information sur Twitter.

« Le site web de https://twitter.com/Lactualite vient tout juste d’être piraté, plus de 3000 utilisateurs, passwords, noms, courriels, etc. leaké sur Pastebin ! » a tweeté hackfest.ca en milieu d’après-midi.

Le média concerné a démenti l’information selon laquelle les données personnelles de ses abonnés avaient été piratées.

« Il n’y a pas eu de fuites de données à L’actualité. Ça ne concerne en rien nos abonnés et notre personnel ou nos activités. C’est le même genre de liste qui avait circulé plus tôt cette année et qui contient des informations périmées d’une ancienne version du site web qui n’existe plus », a expliqué à La Presse Charles Grandmont, rédacteur en chef du magazine L’actualité, en fin de journée. Quelques minutes plus tard, le média publiait la même information sur son compte Twitter.

INFORMATIONS BIEN RÉELLES

Quelques appels téléphoniques aux numéros coulés dans la liste ont permis à La Presse de constater que les informations n’étaient pas nécessairement périmées. Hackfest.ca s’est prêté au même exercice de son côté. Les victimes jointes par La Presse étaient abonnées au magazine L’actualité ou à son site internet, et elles ont toutes confirmé que les données associées à leur nom étaient encore valides. Pour la plupart contrariées et inquiètes, elles se demandaient pourquoi elles n’en avaient pas été informées autrement.

« Ça peut faire mal pour des gens dont les informations ont déjà été compromises par d’autres fuites. Ça donne une troisième source différente aux malfaiteurs, qui peuvent confirmer des données », indique Steve Waterhouse, expert en cybersécurité.

Joint de nouveau à ce sujet, le rédacteur en chef de l’entreprise visée a réitéré que les informations des abonnés du magazine n’étaient pas l’objet de la fuite.

« Tout ça concerne des comptes qui étaient actifs sur l’ancien site web de L’actualité. […] Il y avait différentes bases de données à l’époque, dont une pour les gens qui s’inscrivaient pour commenter sur les blogues. C’est cette liste-là qui circule. Les abonnés de L’actualité, c’est une autre liste complètement », a précisé M. Grandmont.

« Ils devraient aviser les gens »

N’empêche, le spécialiste en cybersécurité Steve Waterhouse estime que la responsabilité revient à l’entreprise.

« Ça vient quand même de leur serveur. Même si ça date d’il y a 10 ans. Ils ne peuvent pas dire que c’est des vieilles données. Ils devraient aviser les gens », croit M. Waterhouse, qui précise bien que son intention, « ce n’est pas d’embarrasser L’actualité, c’est qu’ils prennent action ».

« Il faut que les organisations travaillent davantage sur les informations [de leurs clients] pour qu’elles demeurent privées. Desjardins, Capital One, Revenu Québec… Les compagnies ne doivent pas prendre ça à la légère », estime l’expert, convaincu que des malfrats tentent actuellement de craquer les mots de passe cryptés. « L’actualité devrait reconnaître que ce sont ses données, prendre la responsabilité de les protéger, et offrir un service de surveillance aux victimes. »

« On va continuer nos analyses demain [aujourd’hui] pour rassurer tout le monde et prendre des mesures qui s’imposent, a répondu le rédacteur en chef de L’actualité. Je comprends que ça suscite un enjeu pour les gens qui voient leur nom sur cette liste-là. »

Il a assuré qu’aucune donnée financière n’avait été piratée. Tard en soirée, L’actualité a publié un message sur Twitter indiquant qu’elle communiquerait avec les personnes dont l’identité s’est retrouvée sur la liste, et invitant ces dernières à écrire à info@lactualite.com pour toute question.