La Coopérative Enfance Famille, l’organisme responsable du guichet unique La Place 0-5 pour une place en garderie du ministère de la Famille, utilise une plateforme logicielle fournie par la société InMedia Technologies, la même qui est utilisée ailleurs au sein du gouvernement. Celle-ci comporte des fonctions d’exportation qui, selon nous sources, ont miné la sécurité des données qu’elle contient, et qui ont vraisemblablement facilité la fuite de quelque 5000 dossiers survenue plus tôt ce mois-ci.

Lancée en juin 2018 par le ministère de la Famille, qui était pressé de remplir une promesse relative au nombre de places dans les Centres de la petite enfance (CPE) de la province, La Place 0-5 a été créée par l’éditeur montréalais de logiciels InMedia Technologies, à partir d’une plateforme qu’il possédait déjà. L’éditeur a personnalisé son logiciel pour le conformer aux demandes de la coopérative et y aurait inclus, entre autres, des outils facilitant l’accès et l’exportation en lot des dossiers pourtant confidentiels stockés sur cette plateforme, selon ce qu’a appris Le Devoir.

Normalement, ce type d’accès « n’aurait pas passé une inspection de sécurité normale », assure Eric Parent, p. d.-g. de la firme d’audit EVA Technologies. M. Parent a lui-même procédé à un audit de sécurité « sommaire » de la plateforme au moment de sa conception en 2018 et dit avoir décelé plusieurs lacunes à ce moment, suffisamment pour recommander des tests plus poussés et plus coûteux.

L’expert en cybersécurité a réévalué la plateforme ces derniers jours à la suite de la découverte d’une importante fuite de données et a constaté que ses recommandations n’ont vraisemblablement pas été suivies. « Le fournisseur [du logiciel] a fait des mises à jour de son côté, mais elles n’ont pas été installées pour La Place 0-5. C’était donc une vieille plateforme. Normalement, quand on fait des tests de sécurité, on obtient des rapports des tests précédents et dans ce cas-ci, il n’y en avait pas non plus. »

Intervenants multiples

 

En plus de la coopérative qui s’occupait du portail au nom du gouvernement provincial, La Place 0-5 était un produit créé par une société tierce sous la supervision d’autres entreprises expertes et spécialistes en sécurité et en développement Web. Les données sont pour leur part contenues à Beauharnois, sur les serveurs de la société française OVHcloud.

C’est beaucoup d’intervenants pour un guichet unique et cela crée une situation où, effectivement, la responsabilité des uns et des autres peut être mal comprise, déplore Estelle Azemard, vice-présidente Canada et Amérique latine chez OVHcloud. « De notre côté, nous mettons à la disposition de nos clients un espace avec tous les outils de sécurité nécessaires. Mais à la fin, c’est à l’utilisateur de s’en servir », mentionne-t-elle.

Si un expert en sécurité avait été impliqué tout au long du processus, [la fuite de données] ne serait jamais arrivée. Il n’y avait clairement aucune supervision.

— Eric Parent

 

M^me Azemard ajoute que les firmes-conseils dont le rôle était d’établir la sécurité de La Place 0-5 auraient dû recommander un encadrement plus restreint à la plateforme. « Les données gouvernementales sont des données sensibles. On y trouve l’adresse des gens, de l’information sur leur état de santé ou sur leurs revenus et peut-être même leur numéro d’assurance sociale », dit-elle. « À la fin, ces données sont hautement confidentielles. »

Eric Parent ne s’explique pas non plus l’absence d’un conseiller ou d’un analyste en sécurité informatique mandaté par le gouvernement pour s’assurer que des sites Web comme celui de la Coopérative Enfance Famille, même s’il est géré à l’externe, répondent à des critères de sécurité plus élevés.

« Normalement, on doit effectuer des tests de vulnérabilité tous les mois et mettre les logiciels à jour régulièrement. Ça n’a pas été fait ici, conclut-il. Si un expert en sécurité avait été impliqué tout au long du processus, [la fuite de données] ne serait jamais arrivée. Il n’y avait clairement aucune supervision. »

La coopérative détaille son fonctionnement

 

La Coopérative Enfance Famille a réagi samedi dans un message au Devoir en précisant que la plateforme derrière La Place 0-5 est la propriété de la société InMedia Technologies et que les modifications apportées le sont à la demande du ministère de la Famille.

Elle ajoute que des tests de sécurité qui lui sont fournis par EVA Technologies sont effectués tous les mois.

 

Rappelons que le 14 mai, le gouvernement du Québec a demandé un examen complet de tous les sites gouvernementaux qui utilisent cette plateforme en raison de la brèche découverte sur Place 0-5, qui a entretemps été colmatée.

La Coopérative Enfance Famille s’est toutefois dite « optimiste » que La Place 0-5 pourrait réouvrir au début du mois de juin, dans un communiqué transmis vendredi.

---

Ce texte a été mis à jour pour inclure la réaction de la Coopérative Enfance Famille. De plus, une version précédente de ce texte indiquait que La Place 0-5 avait été lancée en juin 2018 dans le cadre d’une promesse électorale de la CAQ et que la Coopérative Enfance Famille était une OBNL. Ces deux informations erronées ont été corrigées.