La coopérative Enfance Famille dit avoir trouvé et colmaté dès lundi soir à 21 h la brèche de sécurité ayant mené au vol des données de quelque 5000 familles, dont celle du ministre Mathieu Lacombe, inscrites au guichet unique Place 0-5 pour obtenir une place dans un service de garde.

« Nous voulons rassurer les parents et les informer que nous collaborons étroitement avec la Sûreté du Québec et le ministère de la Famille », indique par communiqué Marie-Claude Sévigny, directrice générale de la coopérative Enfance Famille. « L’investigation se poursuit afin de mieux comprendre l’incident et de s’assurer que la situation ne se reproduise pas. »

L’incident en question est le téléchargement illégal des renseignements personnels liés à 5000 enfants québécois par un individu qui a obtenu un accès complet à la plateforme technologique derrière le guichet Place 0-5. L’accès à cette plateforme est normalement limité à un petit nombre d’employés de la coopérative ; rien ne dit que des employés sont impliqués dans cette fuite de données.

Le guichet unique a été fermé et le demeurera le temps d’effectuer des vérifications et des tests de sécurité informatique. Il sera rouvert à la fin de l’enquête, indique la coopérative Enfance Famille, qui ajoute que les parents des enfants concernés seront contactés personnellement « dans les plus brefs délais ».

« Si on ne fait rien, il y en aura d’autres »

L’information téléchargée par le pirate comprend le nom des parents, leur numéro de téléphone, leur adresse courriel et leur numéro d’inscription au registre de l’état civil (NIREC), un identifiant confidentiel utilisé pour s’inscrire à certains programmes gouvernementaux.

Toute cette information était hébergée par un fournisseur privé qui ne semble pas avoir chiffré ces données pour les rendre inutilisables même si elles sont dérobées, constate l’expert montréalais en cybersécurité Steve Waterhouse.

« Qu’est-ce que l’information citoyenne fait chez une entreprise privée comme OVH à Beauharnois ? C’est à se demander s’il y a une clause sur la confidentialité des données dans le contrat avec un fournisseur étranger. »

Selon M. Waterhouse, cela ramène la question de la sécurité des données à l’avant-plan du projet de transformation numérique du gouvernement québécois. « Les données citoyennes stockées chez un hébergeur privé devraient au minimum être chiffrées pour éviter qu’elles soient dérobées. »

« Normalement, avant de confier ses données à un tiers, une entreprise procède à une étude d’impact pour prévenir le risque advenant une fuite d’informations », illustre l’expert.

Selon lui, Québec aurait intérêt à rapatrier les données au sein d’un organisme centralisé qui gérerait directement les données des citoyens et qui serait en mesure d’appliquer les meilleures pratiques en matière de sécurité informatique. « Il serait temps qu’on corrige la situation, car si on ne fait rien, il y aura d’autres situations comme celle-là. »