Nouvelles et opinions de la communauté de sécurité informatique
11 May 2021
Il n’est jamais agréable d’apprendre que nos renseignements sensibles ont été publiés sur le Web. En janvier dernier, un groupe criminel a diffusé des documents confidentiels qu’ils disent avoir volés à la compagnie Ventilabec. Pour confirmer l’authenticité de ces renseignements, nous avons contacté des personnes qui ne sont plus à l’emploi de cette entreprise, mais qui figurent malheureusement dans cette fuite de données.
Le groupe de rançongiciel qui a revendiqué cette cyberattaque a publié 1140 documents. On y retrouve des formulaires d’autorisation d’enquête, des « fiches d’accueil » de chantier avec les allergies et la médication prise et des cartes de compétence émises par la Commission de la construction du Québec. Les cartes qui datent de 2010 et 2011 affichent le numéro d’assurance sociale du travailleur. Selon un compteur affiché sur la page Web, celle-ci a été consultée plus de 25 000 fois.
Sabrina DesOrmiers a travaillé pour Ventilabec jusqu’en 2012. Par la suite, elle a « continué à faire de la consultation pour eux pendant deux ans environ ». Elle confirme avoir signé une autorisation d’enquête des antécédents judiciaires pour un projet au Casino de Montréal. Avant notre appel, personne ne l’avait avisée de cette brèche de données.
Contactée par téléphone, Caroline (nom fictif) confirme qu’elle a également travaillé pour cette compagnie. Elle n’est plus à l’emploi de cette entreprise depuis plusieurs années. Elle demande de garder l’anonymat.
Nous lui apprenons qu’un formulaire se trouve sur un site Web accessible sur le Web caché. « Personne ne m’a avisée », nous dit-elle. Elle confirme avoir signé cette autorisation. Ce document comporte des renseignements comme sa date de naissance, son numéro d’assurance sociale et son numéro de permis de conduire.
Ventilabec, basée à Laval, est spécialisée en installation et entretien de systèmes de ventilation, réfrigération et chauffage. Selon son site Web, elle a plus de 10 000 projets réalisés à son actif dans les secteurs industriel, commercial, institutionnel et pharmaceutique.
Rejoint au téléphone, le président Éric Ladouceur a préféré ne pas commenter cette affaire.
Selon Steve Waterhouse, ancien officier de sécurité à la défense nationale, lorsqu’on archive ce genre de renseignement, il est important de prendre conscience de la sensibilité de celui-ci.
La meilleure pratique pour conserver les données dont on n’a pas activement besoin consiste « à ne jamais mettre cela en ligne ». Il conseille d’entreposer les données sensibles de manière chiffrée. « Il existe plusieurs logiciels et outils pour crypter les fichiers ». Les documents « en repos » devraient être sur un disque dur externe, chiffré, et remisé en lieu sûr.
L’expert en cybersécurité rappelle qu’une entreprise devrait avoir une politique de rétention des données et détruire celles-ci dès qu’elles ne sont plus utiles. Pour les détruire de manière sécuritaire, il recommande de les chiffrer avant de les supprimer. Cela va les rendre plus difficiles à récupérer.
La Commission d’accès à l’information du Québec (CAI) confirme que la loi n’oblige pas les entreprises à détruire un renseignement. Son porte-parole nous rappelle que de conserver des documents dont on n’a plus besoin augmente l’impact quand il y a un incident de sécurité.
« Pour l’instant, au Québec, il n’y a pas d’obligation légale de déclarer les incidents de sécurité, ni à la Commission ni aux personnes concernées », nous répond la CAI. Les déclarations sont faites sur une base volontaire.
« Cependant, nous recommandons fortement aux entreprises de faire cette démarche. » Selon la Commission, « les personnes concernées devraient être avisées sans tarder si la perte ou le vol de renseignements personnels présente un risque de préjudice pour elles. Cela peut leur permettre de prendre les mesures pertinentes pour protéger leurs renseignements personnels. »
La CAI nous explique qu’en vertu de l’article 27 de la Loi sur la protection des renseignements personnels dans le secteur privé, toute personne à le « droit d’accéder aux renseignements personnels qui la concernent et qui sont détenus par une entreprise. » Une demande écrite doit être présentée.
L’article 40 du Code civil du Québec permet également à une personne de demander la destruction d’un renseignement personnel « périmé ou non justifié par l’objet du dossier ».
Dans ces deux cas, il possible de communiquer avec la CAI afin d’en savoir plus sur les modalités et les restrictions détaillées dans la loi.
Selon Patrick Mathieu, cofondateur de Hackfest Communication — un événement annuel et une communauté de cybersécurité — dans les cas comme celui-ci, les gens peuvent se protéger :
crédit photo: spDuchamp - licence CC BY