•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les données de milliers d’utilisateurs de Portpass possiblement compromises

Un montage photo montre à quoi ressemble l'application Portpass ainsi qu'une photo d'un permis de conduire et d'une carte Nexus.

CBC/Radio-Canada a été capable d'accéder aux données personnelles de nombreux utilisateurs de l'application Portpass.

Photo : Radio-Canada / Portpass

Radio-Canada

Les données personnelles de centaines de milliers d’utilisateurs de l'application privée de vérification de preuve vaccinale Portpass pourraient avoir été compromises.

Lundi soir, CBC/Radio-Canada a reçu une information selon laquelle les comptes utilisateurs de l’application étaient accessibles au public.

Le diffuseur public confirme avoir pu consulter les profils de douzaines de personnes et avoir accédé aux adresses courriel, aux noms, aux groupes sanguins, aux dates de naissance ainsi qu’aux photos de cartes d’identité telles que des permis de conduire et des passeports de ces dernières.

L’information n’était pas sauvegardée sous forme cryptée et pouvait être consultée sous forme de texte.

Selon le président-directeur général de l’entreprise, Zakir Hussein, Portpass compte plus de 650 000 utilisateurs enregistrés à travers le Canada.

L’entreprise se défend

Plus tôt dans la journée de lundi, le président-directeur général de l’entreprise calgarienne, Zakir Hussein, a nié les problèmes de sécurité de l’application et accusé les personnes ayant émis des inquiétudes à ce sujet d’enfreindre la loi.

CBC/Radio-Canada a contacté l’homme d'affaires lundi soir et a accepté de retarder la publication de cet article jusqu’à tard mardi avant-midi afin de permettre à l’entreprise de verrouiller le site Internet de l’application et de protéger les informations personnelles des utilisateurs.

Mardi, Zakir Hussein a affirmé que la brèche de sécurité n’a duré que quelques minutes, même après que CBC/Radio-Canada l'eut informé avoir pu accéder aux profils des utilisateurs pendant plus d’une heure.

Quelqu’un essaie de nous détruire alors que nous essayons de construire quelque chose de bon pour les gens, a déclaré Zakir Hussein.

Il y a des lacunes et je me rends compte que certaines choses doivent être corrigées. Nous tentons de nous rattraper et de comprendre où se trouvent ces lacunes, ajoute-t-il.

Sécurité et confidentialité

Zakir Hussein affirme que les données ont été retirées du serveur et que ses développeurs enquêtent sur la brèche. Il croit que seuls les comptes en attente de vérification ont été touchés. CBC/Radio-Canada n’a cependant pas été en mesure de vérifier cette information.

L'expert en cybersécurité Ritesh Kotak dit avoir été choqué, mais pas surpris par la nouvelle.

Dans le passé, j’ai déjà fait part de ce genre d’inquiétudes en matière de sécurité et en ce qui concerne l'utilisation d’applications tierces, dit-il.

Il faut se demander où les données sont logées, qui y a accès et si elles sont cryptées. Si elles tombent entre les mains des mauvaises personnes [...] les gens peuvent être victimes de fraude, de vols d’identité et faire face à toutes sortes de problèmes, explique l’expert.

Utilisation en Alberta?

Pour l’instant, l’Alberta n’a pas encore d’application de preuve de vaccination. Le gouvernement a toutefois indiqué qu’il prévoyait mettre sur pied un code QR.

De son côté, la Calgary Sports and Entertainment Corporation (CSEC), qui est propriétaire des Flames, a recommandé l’utilisation de l’application Portpass afin de vérifier les preuves vaccinales des spectateurs désirant assister aux parties de hockey de l’équipe à l’aréna Scotiabank Saddledome.

Lundi, avant la découverte de la brèche de sécurité, CSEC a déclaré par courriel être au courant des inquiétudes soulevées par certains experts et travailler avec les développeurs de l’application.

Il semble que des éléments de base aient leur aient échappé. Je me demande pourquoi les Flames de Calgary ont recommandé l’utilisation de cette application. Il faut faire ses devoirs, affirme Ritesh Kotak.

CBC/Radio-Canada a recontacté CSEC avant la publication de cet article.

Quels recours possibles?

La présidente du Conseil du Canada de l'accès et la vie privée, Sharon Polsky, explique que les personnes qui craignent que leurs informations personnelles aient été compromises peuvent contacter le Commissariat à la protection de la vie privée du Canada.

Selon elle, Portpass devrait répondre à plusieurs questions, notamment concernant le temps pendant lequel les données ont été accessibles et combien d’utilisateurs ont été touchés par la brèche de sécurité.

Feront-ils une vérification judiciaire? Feront-ils appel à un auditeur tiers indépendant?, demande-t-elle.

Zakir Hussein affirme que sa compagnie informera le Commissariat à la protection de la vie privée du Canada et le Commissariat à l'information et à la protection de la vie privée de l'Alberta.

Dans une déclaration par courriel, l’agence albertaine dit ne pas encore avoir reçu de rapport de la part de l’entreprise. Elle ajoute avoir contacté Portpass pour lui rappeler que l’incident doit être déclaré au commissariat s’il comporte de réels risques de préjudice envers les utilisateurs concernés.

Avec les informations de Sarah Rieger

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !