Commission Charbonneau: des courriels auraient été piratés

France Charbonneau
Photo: - Le Devoir France Charbonneau

La commission Charbonneau aurait été la cible de pirates informatiques bien intentionnés la semaine dernière. Sept courriels auraient ainsi été interceptés afin de démontrer les failles du système mis en place et surtout, la nécessité de les corriger, a appris Le Devoir.

Quatre des sept courriels concernent la Ville de Montréal. Les informations délicates qui s'y trouvent recoupent partiellement celles transmises au Devoir au cours des derniers mois et touchent principalement un service municipal. On y parle notamment de circulation de «valises de cash» en précisant un lieu, d'une carte de débit offerte à un fonctionnaire, d'une entreprise de construction qui aurait soudoyé une employée afin de connaître le «prix plancher» établi par la Ville pour certaines transactions. Des personnes sont identifiées.

Dès vendredi dernier, Le Devoir a été alerté de façon anonyme sur les problèmes de sécurité informatique de la commission Charbonneau, qui se poursuivraient. Depuis le lancement du site Web de la commission, mardi de la semaine dernière, plusieurs experts ont soulevé des problèmes de sécurité au moment de transmettre des informations à la juge France Charbonneau et à son équipe d'enquêteurs.

L'informateur anonyme invite Le Devoir à comparer avec d'autres sites de dénonciation mis en place au cours des dernières années par certains corps publics. On note que l'adresse de la commission (info@ceic.gouv.qc.ca) «n'est vraiment pas sécuritaire». Il faut que la commission prévienne la population, estime l'expéditeur anonyme. Et pour l'illustrer, cette personne envoie le début de trois «courriels reçus [...] à la commission Charbonneau».

Lorsque Le Devoir a tenté de joindre l'informateur anonyme qui a vraisemblablement des habiletés informatiques, il a été dirigé vers l'adresse courriel d'une agence de communication.

QuébecLeaks comme intermédiaire

Samedi, c'était au tour de QuébecLeaks, une organisation de diffusion de documents délicats s'inspirant du modèle WikiLeaks, d'être contacté. Sept courriels qui auraient été envoyés à l'origine à la commission Charbonneau et qui auraient été interceptés par un pirate ont été acheminés à QuébecLeaks. Trois d'entre eux correspondent à ceux déjà reçus par Le Devoir.

«Les courriels sont sans en-tête. On ne peut donc pas avoir la certitude qu'ils sont authentiques. En fait, ce n'est pas très clair comment ils ont été obtenus: de quelqu'un à l'intérieur de la commission ou d'une tierce personne. C'est pour ça que nous ne les avons pas diffusés sur notre site», a expliqué hier Luc Lefebvre, cofondateur de QuébecLeaks.

M. Lefebvre penche toutefois pour la thèse d'un «hacker» qui a pénétré le réseau de la commission Charbonneau pour aider cette dernière à sécuriser son site Web et son courriel. Il s'appuie sur le message qui accompagnait les courriels. On y affirme que la commission doit instruire la population sur la nécessité d'utiliser d'abord le réseau TOR (The Onion Router) permettant à un expéditeur de faire transiter son courriel par des centaines d'ordinateurs dans le monde et ainsi brouiller les pistes, et puis, le logiciel PGP (Pretty Good Privacy) qui assure le cryptage des courriels, c'est-à-dire une façon de protéger le message des regards indiscrets.

«Ce n'est pas un document envoyé de façon malveillante, car la personne a des connaissances informatiques. Ça m'apparaît être le geste d'un chapeau blanc [White Hat], quelqu'un qui fait du piratage pour le bien», estime Luc Lefebvre qui croit que la commission devrait prendre cela au sérieux. «La semaine dernière, la commission a pris cela à la légère. En riant, ils se sont attiré les foudres de plein de monde. Mais si on est critiques, c'est parce que l'on veut que cela fonctionne», a ajouté M. Lefebvre.

La commission doute

Lundi, la commission Charbonneau a été informée que certains des courriels qu'elle avait reçus sont entre d'autres mains. Mais le directeur des communications, Richard Bourdon, doute de la véracité de la situation étant donné que la boîte de courriels a été mise hors service quelques heures après le lancement de la semaine dernière. Depuis, la commission travaille à augmenter la sécurité informatique de son site Web ainsi que de son courriel.

Chose certaine, l'appel à la collaboration de la population lancé par la juge Charbonneau connaît des ratés à l'heure actuelle. Pour transmettre des informations, il faut utiliser les moyens traditionnels: poste ou téléphone.

«Qui vous dit que ces courriels-là ont vraiment été envoyés à la commission et que ce n'est pas quelqu'un qui essaie de discréditer la commission? Je commence à avoir un doute parce que depuis le début, on parle de la sécurité de notre site. Il est très sécuritaire, mais peut-être pas au niveau auquel, aujourd'hui, on veut l'avoir», a affirmé M. Bourdon.

Des vérifications ont été entreprises par une équipe de sécurité informatique. Quant à la nature des courriels, M. Bourdon a refusé de se prononcer. Il a été impossible de savoir si les informations concernant la Ville de Montréal déclencheront une enquête.

En début de soirée hier, Le Devoir apprenait qu'une autre adresse électronique utilisée par la commission pour les personnes désireuses de témoigner ou de participer aux travaux de la commission présenterait également des problèmes de sécurité (greffe@ceic.gouv.qc.ca). Après vérification, la commission a immédiatement mis hors service ce courriel. M. Bourdon a précisé que le public peut communiquer avec la commission par télécopieur puisqu'il est sécurisé, ou par courrier recommandé.

Chez QuébecLeaks, rien de tout cela n'étonne. «Le gros problème, c'est que le site de la commission est hébergé par le gouvernement. Je sais qu'il y a une réalité administrative, mais il reste que cela soulève des questions. La commission doit enquêter sur le gouvernement, mais elle utilise les ordinateurs du gouvernement qui laissent des traces», soulève Luc Lefebvre. Selon ce dernier, la commission Charbonneau devrait garder une saine distance avec le pouvoir.

À voir en vidéo