Québec paiera des pirates éthiques pour identifier des failles informatiques

Les montants des primes varient entre 50 $ et 7500 $, en fonction de l’aspect critique et de l’importance de la faille informatique qui sera détectée.
Damian Dovarganes Associated Press Les montants des primes varient entre 50 $ et 7500 $, en fonction de l’aspect critique et de l’importance de la faille informatique qui sera détectée.

Le gouvernement du Québec fait appel à des pirates informatiques et des chercheurs pour trouver des failles qui peuvent compromettre la sécurité des données des Québécois dans les systèmes informatiques du gouvernement.

Ces chercheurs seront payés à la pièce, entre 50 $ et 7500 $ chaque fois qu’ils identifient un problème de sécurité informatique sur un site du gouvernement. Les montants des primes varient en fonction de l’aspect critique et de l’importance de la faille informatique qui sera détectée.

Le ministre de la Cybersécurité et du Numérique, Éric Caire, en a fait l’annonce lors d’une conférence de presse jeudi après-midi.

« Le gouvernement du Québec est la première administration publique au Canada à rendre disponible un programme de cette nature-là », a indiqué le ministre Caire, en précisant que l’initiative ne va pas se substituer aux mécanismes de sécurité qui sont déjà en place.

« C’est une couche de plus qu’on rajoute pour s’assurer que les systèmes que nous allons déployer sont cybersécuritaires », a indiqué le ministre.

Le « Programme de prime aux bogues » invite les chercheurs à s’inscrire et s’identifier formellement sur une plateforme sécurisée appelée Yeswehack, un leader européen en la matière selon le gouvernement.

Les montants des primes varient en fonction de l’aspect critique et de l’importance de la faille informatique qui sera détectée. Dans la phase pilote du programme, 64 000 $ seront disponibles aux chercheurs.

« Le projet se poursuit tant que la cagnotte ne sera pas épuisée », a expliqué le ministre Caire, après quoi un rapport sera rédigé pour déterminer si le projet doit devenir permanent « pour éventuellement en arriver à aller en appel d’offres ».

Aucun renseignement personnel ne sera accessible aux chercheurs qui analyseront les systèmes, selon le ministère de la Cybersécurité et du Numérique, qui a précisé dans un communiqué que les programmes analysés « seront copiés dans des environnements de tests ».

Le pirate, ou chercheur, qui trouve une vulnérabilité, verra sa « cote » augmenter sur la plateforme.

« Donc, pour les chercheurs, c’est une source, une double source de motivation. Évidemment, il y a la rémunération, mais il y a aussi de voir sa cote augmenter, parce que ça augmente la crédibilité du chercheur et donc les opportunités qui s’offrent à lui », a mentionné le ministre de la Cybersécurité.

La plateforme Yeswehack est déjà accessible aux chercheurs et le ministre Caire a précisé que « c’est toute la communauté de la planète qui a accès au programme », ce qui permettra au gouvernement « d’avoir accès à un très haut niveau de compétence à moindre coût ».

Les montants octroyés, le nombre de failles détectées et les niveaux critiques de ces problèmes pourront être rendus publics, a mentionné le ministre, mais les détails des rapports ne seront pas publiés pour des raisons de confidentialité.

« Les chercheuses et chercheurs n’ont pas intérêt à s’en vanter parce qu’il y a une relation de confiance qui doit s’installer et d’avoir un comportement comme celui-là aurait pour effet de diminuer la cote de crédibilité du chercheur ou de la chercheuse en question », a ajouté le ministre.

Plusieurs failles dans les derniers mois

En décembre dernier, le gouvernement du Québec a fermé de manière préventive presque l’entièreté de ses 3992 sites Internet à la suite de la découverte d’une faille de sécurité majeure touchant des serveurs à travers le monde. Certains des sites avaient été fermés pendant quelques jours.

Selon le ministre Éric Caire, « c’est avec des actions comme celle-ci » (le Programme de prime aux bogues) que « le niveau de sécurité des services publics et des échanges électroniques gouvernementaux au sein du gouvernement du Québec » pourra être augmenté.

 
 

Ce texte a été modifié après sa publication pour retirer la mention d’une récente fuite de données confidentielles au Conseil du trésor. Il ne s’agissait pas d’un cas de faille de sécurité informatique.

À voir en vidéo