Les données de milliers de Québécois au Tribunal administratif du logement laissées sans protection

Il y a «tout ce qu’il faut» dans ces documents pour amorcer une campagne d’hameçonnage ou extorquer de l’argent à quelqu’un, affirme Patrick Mathieu, expert en informatique et cofondateur du Hackfest.
Photo: Olivier Zuida Le Devoir Il y a «tout ce qu’il faut» dans ces documents pour amorcer une campagne d’hameçonnage ou extorquer de l’argent à quelqu’un, affirme Patrick Mathieu, expert en informatique et cofondateur du Hackfest.

Un locataire qui conteste une hausse de loyer auprès du Tribunal administratif du logement du Québec n’est pas le seul à pouvoir consulter son dossier sur le site Web de l’organisme. En fait, n’importe qui armé d’un tableur Excel et d’un peu de patience peut récupérer à partir du site du tribunal des milliers de dossiers de locataires actuels et passés, laissés sans aucune protection.

« Une personne un tant soit peu mal intentionnée peut faire beaucoup de dommages avec ce qu’on trouve sur ce site », constate Patrick Mathieu, expert en informatique et cofondateur du Hackfest, un événement regroupant chaque année des centaines de programmeurs informatiques. « Si on veut s’en prendre à quelqu’un, ce qu’on trouve là est pas mal plus important que n’importe quelle faille de compte Facebook. »

On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur.

« C’est consternant », ajoute l’expert en cybersécurité et ancien officier de sécurité informatique au ministère de la Défense, Steve Waterhouse. « Le gouvernement néglige des questions simples de sécurité des données en omettant de protéger ces documents. Ils contiennent de l’information confidentielle de locataires et de gens qui peuvent facilement devenir des victimes d’hameçonnage ou de vol d’identité. »

Vol d’identité 101

Quand le locataire et son propriétaire ont un différend, ils demandent au Tribunal administratif du logement — l’ex-Régie du logement du Québec — de trancher pour eux. Le tribunal bâtit ensuite un dossier comportant le nom, l’adresse postale et le courriel des parties impliquées. Le dossier peut contenir plusieurs autres documents de nature personnelle, des avis d’audition et le procès-verbal de ces auditions.

Le plaignant reçoit un numéro à six chiffres qu’il peut ensuite utiliser pour retrouver sur le site du tribunal son dossier numérisé. Une recherche à l’aide de ce numéro renvoie un sommaire des actions prises par le tribunal, et se termine sur un document PDF à télécharger. Il suffit d’entrer à répétition l’adresse Web menant à ce document, en altérant le numéro de dossier, pour récupérer les fichiers PDF relatifs à d’autres dossiers. Devant Le Devoir, une source a pu, à l’aide d’un simple script programmé dans un classeur Excel, repérer en moins de deux minutes plus d’un millier de ces fichiers PDF qui ne se trouvent protégés par aucune mesure de sécurité.

Pourtant, il y a « tout ce qu’il faut » dans ces documents pour amorcer une campagne d’hameçonnage ou extorquer de l’argent à quelqu’un, dit Patrick Mathieu. À partir de cette information et de ce qu’on peut trouver sur les réseaux sociaux à propos des personnes ciblées, une personne mal intentionnée peut faire « beaucoup de mauvaises choses ». Il serait entre autres possible de se faire passer pour un représentant du tribunal et d’exiger un montant d’argent pour étudier le dossier.

Pour un cyberpirate, la valeur de ces documents est encore plus importante du fait qu’ils peuvent être collectés en grand nombre et qu’ils proviennent d’une source gouvernementale fiable. « On peut bâtir toute une base de données à partir de ces données. Un pirate pourrait ensuite les revendre sur les sites spécialisés du Web obscur. Comme ce sont des informations vérifiées, elles iraient chercher un très bon prix… », estime M. Waterhouse.

Possible « précaution »

Le Tribunal du logement du Québec n’a pas le choix de rendre ces données personnelles publiques : la loi l’y oblige. Les renseignements personnels obtenus dans l’exercice de fonctions juridictionnelles sont publics et les dossiers doivent être accessibles et consultables en ligne, « comme cela est d’ailleurs le cas dans les tribunaux de l’ordre judiciaire comme la Cour du Québec », tient à rappeler l’organisme.

La loi interdit par ailleurs la « recherche extensive » par des tiers d’informations personnelles dans des documents comme ceux du tribunal.

Toutefois, la loi n’avait pas prévu que la technologie rendrait cette recherche aussi simple. « C’est assurément un enjeu important dans un contexte où le gouvernement est en plein virage numérique », croit le professeur en droit du cyberespace Pierre Trudel. « Il est plus facile de commettre un acte illégal. Il y a probablement une précaution que pourrait prendre le tribunal — ou le gouvernement — pour empêcher une telle possibilité. »

Les responsables des sites Web gouvernementaux devraient à tout le moins pouvoir détecter le téléchargement massif des données qu’ils surveillent, suggère Pierre Trudel. En effet, en cybersécurité, la prévention est la clé. Une fois qu’elles ont eu lieu, que ce soit sur Facebook, chez Desjardins ou au Tribunal administratif du logement, les fuites de données sont à peu près impossibles à colmater.

Avec la collaboration de Guillaume Levasseur

À voir en vidéo:

5 commentaires
  • Danielle Leblanc - Abonnée 29 avril 2021 08 h 22

    Données sans protection

    Eh bien maintenant, tous les fraudeurs sont au courant!

  • André Bastien - Abonné 29 avril 2021 09 h 45

    SVP informer le gouvernement avant de publier!

    L'article ne dit pas qu'ils ont informé le gouvernement avant de publier ce trou de sécurité: une erreur grave pour quelqu'un qui fait la morale sur la confidentialité...

    • Michel Petiteau - Abonné 29 avril 2021 12 h 47

      Informer le gouvernement? Mais le Tribunal administratif du logement - tal - loge à l'adresse suivante: https://www.tal.gouv.qc.ca/

      gouv.qc.ca, c'est le Gouvernement du Québec.

      Ce que je trouve grave dans cette affaire, c'est que le maître de la maison ignore, ou feint d'ignorer, ce qui se passe sous son toit.

  • Mathieu Lacoste - Inscrit 29 avril 2021 11 h 59

    « Données sans protection à la Régie du logement»



    La leçon à tirer est qu'il importe d'être propriétaire dans la Belle province, parce qu'ici le locataire compte pour des prunes

  • Guillaume Demers - Inscrit 29 avril 2021 12 h 22

    L'accès au plumitif a été retiré aujourd'hui

    Développement intéressant, l'accès est bloqué aujourd'hui le 29 avril 2021, probablement en réaction à l'article.