•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les failles de sécurité seraient fréquentes dans les concours en ligne

Un informaticien soutient que le jeu Roche papier cadeaux de Couche-Tard comportait une telle faille.

Un contenu vidéo est disponible pour cet article
Lignes de code sur un écran d'ordinateur.

Le reportage d'Éric Plouffe

Photo : iStock / scanrail

Est-il risqué de partager ses données personnelles en participant à des concours en ligne? C'est ce qu'a voulu vérifier un jeune informaticien de Québec après s'être inscrit à un jeu-concours sur le site de la compagnie Couche-Tard. Il a découvert une faille dans la protection de données personnelles de milliers de participants, qui rendait disponibles leurs numéros de téléphone et des informations sur leurs activités dans le jeu.

En juillet dernier, Marc-Alexandre Paquet participe au jeu Roche papier cadeaux de Couche-Tard. Scientifique des données, il en profite pour tester la sécurité des informations personnelles, comme les numéros de téléphone, laissées sur le site de l'entreprise.

En l'espace de six jours, le programme que j'ai écrit a permis de ramasser au-dessus de 100 000 numéros de téléphone, seulement pour le Québec, raconte-t-il. Je voulais voir si j'allais me faire bloquer. Je n'ai utilisé aucun mécanisme de contournement. Tout partait d'ici [NDLR : de sa résidence] : adresse IP, un proxy, des choses comme ça.

Ils auraient pu facilement me bloquer au nombre de requêtes qui étaient effectuées. Ça n'a jamais été bloqué.

Marc-Alexandre Paquet, scientifique des données

Marc-Alexandre Paquet s'empresse alors d'alerter la compagnie en lui envoyant des messages électroniques où il indique clairement que le concours comporte des failles de sécurité.

Je me suis dit : "Je vais leur envoyer l'information et j'imagine qu'ils vont soit corriger le bogue ou me contacter pour voir exactement comment la brèche de données arrivait", précise-t-il. Je n'ai eu aucune réponse de leur part.

Nous avons communiqué avec la compagnie, qui a d'abord assuré qu'il n'y avait aucun problème de sécurité.

Le site du concours a toutefois été fermé par mesure préventive.

Puis après avoir vu un extrait de données provenant de son site, la compagnie Couche-Tard a trouvé la faille.

Cela dit, nous n'avons actuellement aucune indication qu'une exfiltration de données s'est produite, écrit dans un courriel la porte-parole de Couche-Tard, Laurence Myre Leroux.

Marc-Alexandre Paquet affirme qu'il ne s'agit pas d'un cas isolé, puisqu'il a déjà observé d'autres problèmes de sécurité sur d'autres sites.

Jean-Philippe Décarie-Mathieu, chef de la cybersécurité de Commissionnaires du Québec, une entreprise de sécurité, n'est pas surpris de la découverte du jeune informaticien.

C'est le genre de truc qui arrive beaucoup plus souvent qu'on pense, signale-t-il.

Il ne faut pas oublier que ces jeux-là, ce sont des applications développées par des êtres humains, note-t-il. Les humains font des erreurs. Ces erreurs peuvent se transformer en bogues, qui peuvent être exploités en tant que failles de cybersécurité.

Ce genre de donnée là peut devenir rapidement un système clés en main pour les fraudeurs aussi, parce que c'est de l'information nominative sur les personnes. Même si on n'a pas toutes les données, on a assez de données pour potentiellement frauder quelqu'un.

Jean-Philippe Décarie-Mathieu, chef de la cybersécurité de Commissionnaires du Québec

Il tient d'ailleurs à mettre en garde les personnes qui laissent différentes informations personnelles d'un site web à l'autre : L'information qu'on donne en ligne, même si ça peut être aussi insignifiant, entre guillemets, que de participer à un concours, assumez que ça va fuiter un jour.

Couche-Tard assure qu'il n'y a eu aucune fuite d'informations et dit mener des analyses de sécurité approfondies.

La cybersécurité est une préoccupation pour toutes les grandes entreprises, écrit sa porte-parole. Nous souhaitons rappeler à tous de toujours faire preuve de prudence dans leurs communications numériques et de signaler toute activité suspecte.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !