•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Stationnement : des milliers de données personnelles compromises à Calgary

Un panneau de la Calgary Parking Authority.

L’autorité responsable des stationnements municipaux de la ville de Calgary a revu le nombre de personnes dont les données personnelles ont été compromises à la hausse après une enquête interne.

Photo : La Presse canadienne / Jeff McIntosh

Radio-Canada

Une enquête de l’autorité responsable des stationnements municipaux de Calgary (CPA) a révélé que les informations personnelles de 145 895 clients ont été exposées pendant au moins deux mois en 2021.

L’année dernière, le site TechCrunch avait montré que des données personnelles avaient été divulguées après avoir analysé les journaux du système informatique de la CPA. Ces informations concernaient notamment les dates de naissance des utilisateurs, leurs noms complets, leur adresse courriel ou encore leurs numéros de téléphone.

La CPA avait alors déclaré que seules les données de 12 de leurs utilisateurs avaient été compromises. Lundi, l’agence municipale a indiqué que ce nombre s’élève plutôt à un peu plus de 145 000.

La CPA a révélé que les données avaient été rendues publiques, car un serveur de journalisation en ligne était non sécurisé et accessible si les utilisateurs connaissaient l’adresse IP.

Ces informations auraient été compromises entre le 13 mai et le 27 juillet 2021, selon l’agence.

Le site TechCrunch avait toutefois écrit l’an dernier avoir été en mesure de consulter les journaux de la CPA au début de l’année 2021.

L’autorité municipale aurait sécurisé les informations en 20 minutes après en avoir été informée en juillet 2021. Elle ne peut affirmer si des parties externes ont accédé à ces données, mais précise qu’elles n’ont pas été utilisées jusqu’à présent.

L’enquête a déterminé qu’il s’agissait d’une erreur humaine, a expliqué Chris Blaschuk, le directeur général par intérim de la CPA lors d’une entrevue.

Il présente ses excuses auprès des clients dont les données ont été compromises.

De la négligence

Pour le directeur du programme de cybersécurité à l'Institut de technologie du nord de l'Alberta (NAIT), John Zabiuk, la CPA a été négligente.

Quelque chose comme ça ne devrait pas arriver dans les départements de services informatiques de nos jours, a-t-il dit.

Il ajoute qu’une adresse IP n’est pas si difficile à trouver. Selon lui, de nombreuses applications peuvent être utilisées afin de rechercher des adresses IP.

Ces balayages se produisent 24 heures sur 24, 7 jours sur 7 sur Internet. Tout enfant qui suit un cours [d’informatique] et télécharge un logiciel particulier peut scanner tout le web.

John Zabiuk, directeur du programme de cybersécurité au Northern Alberta Institute of Technology (NAIT).

John Zabiuk, directeur du programme de cybersécurité à l'Institut de technologie du nord de l'Alberta (NAIT).

Photo : Radio-Canada

Cela se produit tout le temps. Donc, pour ne pas être au courant de quelque chose comme ça, et de laisser un serveur exposé comme la CPA l’a fait, c’est vraiment de la négligence, précise-t-il.

Selon lui, l’exposition des données pourrait avoir de graves conséquences.

« Les gens pourraient utiliser ces informations pour immatriculer un véhicule sous votre nom … ou simplement rechercher votre numéro de plaque d'immatriculation pour savoir où vous habitez. »

— Une citation de  John Zabiuk, Institut de technologie du nord de l'Alberta

D’après les informations de Joel Dryden

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !