L’Agence des services frontaliers du Canada (ASFC) fait enquête pour évaluer les répercussions « sur [ses] opérations et sur les Canadiens » d’un vol majeur de données personnelles de voyageurs ayant passé la frontière entre le Canada et les États-Unis par la route dans les derniers mois, a appris Le Devoir.

L’acte de piratage a été déclaré au début de la semaine par le Service des douanes et de la protection des frontières des États-Unis et a touché les informations personnelles de 100 000 automobilistes ayant récemment circulé entre les deux pays.

Le Canada et les États-Unis utilisent non seulement la même technologie, mais également le même fournisseur, une compagnie américaine, pour la surveillance des véhicules et de leurs passagers traversant leur frontière commune.

 

La photo du conducteur ainsi que le numéro de plaque d’immatriculation et l’adresse d’enregistrement de la voiture sont, entre autres, au nombre des données piratées. Selon le site The Registrer, ces informations personnelles ont été offertes gratuitement sur le Dark Web, cet espace de l’Internet moins policé, à la fin du mois de mai.

Les services douaniers américains estiment qu’une mauvaise manipulation des données par le sous-traitant a ouvert cette faille de sécurité. Un employé aurait transféré ces données gouvernementales dites « sensibles » sur un serveur non sécurisé, et ce, en contravention complète avec les termes du contrat, ont précisé les autorités américaines, sans nommer toutefois la compagnie.

Il s’agit dans les faits de la firme Perceptics, qui a pignon sur rue à Farragut, au Tennessee. Elle se présente comme « le seul fournisseur de lecteurs fixes de plaques d’immatriculation installés à tous les postes-frontières pour le contrôle des véhicules privés entre les États-Unis et le Canada ».

Perceptics dit « sécuriser » des milliers de postes-frontières au Canada, aux États-Unis et même au Mexique, en assurant « l’inspection automatisée » de 200 millions de véhicules annuellement.

Selon les données publiques sur les contrats fédéraux, l’Agence des services frontaliers du Canada (ASFC) a versé plusieurs dizaines de millions de dollars à Perceptics depuis 2015 pour l’acquisition de lecteurs de plaques d’immatriculation aux postes-frontières canadiens. Le contrat entre le gouvernement et la compagnie américaine est actif jusqu’en juillet prochain.

Joint par Le Devoir, Perceptics n’a pas voulu donner plus de détails sur les origines et les conséquences de ce piratage sur les données canadiennes.

« Faille de sécurité majeure »

L’ASFC précise qu’à ce stade de l’enquête, « cet incident ne présente pas de vulnérabilité pour les systèmes et la sécurité », a indiqué Nicholas Dorion, porte-parole de l’Agence. Elle reste toutefois évasive sur le volume et la nature des informations d’origine canadiennes atteintes par cet acte de piratage.

Les autorités américaines n’ont pas précisé non plus si les données volées par les pirates informatiques concernaient uniquement des citoyens américains ou également des étrangers étant passés par un poste frontalier routier.

Mis au parfum de ce piratage, le président du Comité sur la sécurité nationale de la Chambre des représentants aux États-Unis, Bennie Thompson, l’a qualifié de « faille de sécurité majeure » en déplorant le fait qu’il s’agit de la deuxième révélée en peu de temps sur des systèmes relevant du département de la Sécurité intérieure des États-Unis.

« Pour le gouvernement, les données biométriques et personnelles n’ont de la valeur que lorsqu’elles sont utilisées convenablement, a-t-il indiqué par voie de communiqué plus tôt cette semaine. Nous devons nous assurer que cet usage ne se fait pas au détriment de la protection de la vie privée. »

En mars dernier, l’Agence fédérale des situations d’urgence, un autre service du département, a reconnu avoir transmis par accident à un tiers privé les informations personnelles de 2,3 millions d’Américains victimes d’ouragans ou d’incendies de forêt en 2017, les exposants ainsi à un risque élevé d’intrusion et de fraudes.

Depuis plusieurs mois, au Canada comme aux États-Unis, les groupes de défense des libertés civiles s’inquiètent de la multiplication des systèmes de lecture automatique de plaques d’immatriculation et de photographie pour reconnaissance faciale, déplorant la faiblesse des cadres entourant la sécurité et l’utilisation des données ainsi récoltées par les gouvernements. Les services des douanes, de police et d’immigration sont ciblés par ces critiques.