Le ministère de la Santé du Québec à l'origine d'une brèche informatique
Des millions de Québécoises et de Québécois ont pris rendez-vous sur Clic Santé pour obtenir leur vaccin contre la COVID-19.
Photo : Radio-Canada / Lynda Paradis
Une brèche de sécurité informatique met le ministère de la Santé dans l’embarras. Ce dernier a lui-même mis en circulation des informations compilées sur Clic Santé, dont des numéros d’assurance-maladie, sans s’assurer que le fichier soit sécurisé. L’identité des citoyens n’a en aucun cas été compromise, jure le ministère. Des experts informatiques déplorent une erreur de débutant.
C’est pour vérifier des doublons qui devaient être annulés
que le ministère de la Santé et des Services sociaux a fait circuler un fichier contenant certaines informations sur les rendez-vous, dont le numéro d’assurance-maladie
, parmi les centres de vaccination COVID du Québec. Voilà la justification donnée par coordonnatrice aux relations avec les médias du ministère, Marie-Claude Lacasse.
Une fois sorti de l’environnement informatique sécurisé du MSSS, le fichier était facilement consultable, au point où des collaborateurs en sécurité de l'information sont tombés par hasard sur le document en question
le 13 mai dernier.
Dans son courriel, le MSSS ne précise pas l'ampleur de la brèche ni le nombre de citoyens affectés.
Rectificatif
Le titre d'une précèdente version de cet article pouvait laisser croire que la plateforme Clic Santé n'était pas sécuritaire et que les données personnelles des usagers y étaient facilement accessibles. Or, la brèche en question découle bel et bien d'une erreur humaine provenant du ministère de la Santé, et non d'une brèche dans la plateforme. Nos excuses.
La faille, d’abord rapportée par l’agence QMI, n’a pas causé de préjudice
, assure le ministère, qui ajoute avoir néanmoins revu ses façons de procéder avec les centres de vaccination afin d’éviter qu’une telle situation se reproduise.
« Dorénavant, tout transfert devra utiliser [un canal sécurisé], même si les données ne sont pas jugées sensibles. »
C'est un membre de la communauté du Hackfest, un groupe de personnes intéressées par la cybersécurité, qui a fait la découverte. Ce genre de découverte est fréquent, affirme l'expert et co-fondateur de Hackfest Communication, Patrick Mathieu.
Même si aucune conséquence n'a été rapportée cette fois-ci, M. Mathieu s'interroge sur les efforts consacrés à la cybersécurité dans l'élaboration de logiciels.
Les explications de Kassandra Nadeau
Une erreur de débutant
Selon l’expert en sécurité informatique Steve Waterhouse, cette nouvelle brèche illustre la nonchalance des autorités gouvernementales quant à la manipulation des données personnelles des citoyens et des citoyennes.
Ce sont des failles de base
, insiste-t-il. Il n’y a pas de contre-vérifications quant aux meilleures pratiques à appliquer sur, dans ce cas-ci, le Clic Santé.
À son avis, le ministère de la Santé n’aurait jamais eu vent de la brèche informatique qu’il avait lui-même ouverte sans l’attention des internautes.
« Sans la vigilance de certaines personnes, il y aurait pu avoir, ici, une exploitation malicieuse et encore une fois, cela aurait causé des torts à la population, aux citoyens. »
Le MSSS assure qu’à partir des informations divulguées, il était impossible d’obtenir l’identité d’une personne, son nom ou ses coordonnées.
L'agence QMI, qui a pu consulter un des documents, assure plutôt le contraire : en faisant des recoupements entre les dates et les heures de rendez-vous, les lieux de vaccination et les numéros d'assurance-maladie, il serait possible d'identifier certaines personnes.
Avec les informations de Camille Carpentier et Kassandra Nadeau-Lamarche
