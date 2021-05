La Coopérative Enfance Famille, l’OBNL responsable du guichet unique La Place 0-5 pour une place en garderie du ministère de la Famille, a pu apporter, à l’insu du gouvernement québécois, des modifications à sa plateforme logicielle qui ont miné la sécurité des données qu’elle contient, et qui ont vraisemblablement facilité la fuite de quelque 5000 dossiers survenue plus tôt ce mois-ci.

Lancée en juin 2018 par le ministère de la Famille, qui était pressé de remplir une promesse électorale de la CAQ relative au nombre de places dans les Centres de la petite enfance (CPE) de la province, La Place 0-5 a été créée par l’éditeur montréalais de logiciels InMedia Technologies, à partir d’une plateforme qu’il possédait déjà. L’éditeur a personnalisé son logiciel pour le conformer aux demandes de la coopérative et y aurait inclus, entre autres, des outils facilitant l’accès et l’exportation en lot des dossiers pourtant confidentiels stockés sur cette plateforme, selon ce qu’a appris Le Devoir.

Normalement, ce type d’accès « n’aurait pas passé une inspection de sécurité normale », assure Eric Parent, p. d.-g. de la firme d’audit EVA Technologies. M. Parent a lui-même procédé à un audit de sécurité « sommaire » de la plateforme au moment de sa conception en 2018 et dit avoir décelé plusieurs lacunes à ce moment, suffisamment pour recommander des tests plus poussés et plus coûteux.

L’expert en cybersécurité a réévalué la plateforme ces derniers jours à la suite de la découverte d’une importante fuite de données et a constaté que ses recommandations n’ont vraisemblablement pas été suivies. « Le fournisseur [du logiciel] a fait des mises à jour de son côté, mais elles n’ont pas été installées pour La Place 0-5. C’était donc une vieille plateforme. Normalement, quand on fait des tests de sécurité, on obtient des rapports des tests précédents et dans ce cas-ci, il n’y en avait pas non plus. »

Intervenants multiples

En plus de la coopérative qui s’occupait du portail au nom du gouvernement provincial, La Place 0-5 était un produit créé par une société tierce sous la supervision d’autres entreprises expertes et spécialistes en sécurité et en développement Web. Les données sont pour leur part contenues à Beauharnois, sur les serveurs de la société française OVHcloud.

C’est beaucoup d’intervenants pour un guichet unique et cela crée une situation où, effectivement, la responsabilité des uns et des autres peut être mal comprise, déplore Estelle Azemard, vice-présidente Canada et Amérique latine chez OVHcloud. « De notre côté, nous mettons à la disposition de nos clients un espace avec tous les outils de sécurité nécessaires. Mais à la fin, c’est à l’utilisateur de s’en servir », mentionne-t-elle.

Si un expert en sécurité avait été impliqué tout au long du processus, [la fuite de données] ne serait jamais arrivée. Il n’y avait clairement aucune supervision.

Mme Azemard ajoute que les firmes-conseils dont le rôle était d’établir la sécurité de La Place 0-5 auraient dû recommander un encadrement plus restreint à la plateforme. « Les données gouvernementales sont des données sensibles. On y trouve l’adresse des gens, de l’information sur leur état de santé ou sur leurs revenus et peut-être même leur numéro d’assurance sociale », dit-elle. « À la fin, ces données sont hautement confidentielles. »

Eric Parent ne s’explique pas non plus l’absence d’un conseiller ou d’un analyste en sécurité informatique mandaté par le gouvernement pour s’assurer que des sites Web comme celui de la Coopérative Enfance Famille, même s’il est géré à l’externe, répondent à des critères de sécurité plus élevés.

« Normalement, on doit effectuer des tests de vulnérabilité tous les mois et mettre les logiciels à jour régulièrement. Ça n’a pas été fait ici, conclut-il. Si un expert en sécurité avait été impliqué tout au long du processus, [la fuite de données] ne serait jamais arrivée. Il n’y avait clairement aucune supervision. »

La Coopérative Enfance Famille s’est toutefois dite « optimiste » que La Place 0-5 pourrait réouvrir au début du mois de juin, dans un communiqué transmis vendredi.