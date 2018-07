Un logiciel d’inscription utilisé par près de 200 organismes de loisirs de partout au Québec a rendu disponibles les données personnelles d’au moins 130 000 utilisateurs, dont des numéros d’assurance sociale.

C’est une carte de crédit flambant neuve reçue par la poste qui a d’abord sonné l’alerte chez une famille de la Montérégie. Celle-ci a contacté l’équipe numérique de notre Bureau d’enquête pour rapporter le vol d’identité.

Une visite à la banque a confirmé qu’une ouverture de compte au nom de l’épouse avait été effectuée en ligne à l’aide d’une adresse courriel inconnue.

Les informations personnelles utilisées pour ouvrir le compte (adresse postale et numéro d’assurance sociale) étaient exactes.

Inquiet, le couple s’est mis à passer au peigne fin son historique web afin de déterminer l’origine de ce présumé vol d’identité.

Après des vérifications, ils ont trouvé que le seul site web sur lequel ils avaient inscrit le numéro d’assurance sociale était la plateforme Sports-Plus, que la famille avait utilisée pour inscrire sa fille à un camp de jour, en avril dernier.

Que l’URL à modifier

En quelques clics, le père de famille et développeur web de métier a réussi à exposer la faille de sécurité et à avoir accès aux données personnelles de dizaines de milliers d’utilisateurs.

Il lui suffisait de modifier l’URL dans la barre d’adresse en haut de la page.

Malgré sa simplicité, cet exercice peut tout de même être considéré comme un piratage, et c’est pourquoi le principal intéressé a demandé à notre Bureau d’enquête de ne pas révéler son identité.

Un numéro d’assurance sociale, «c’est vraiment dans le pire des données qu’on pourrait voler à quelqu’un, et il y a beaucoup de mal qui pourrait être fait avec ça», se désole le père, qui ne peut confirmer que cette faille est à l’origine de la tentative de vol d’identité de sa femme, mais qui a effectué des démarches afin que la brèche soit colmatée.

Il envisage de porter plainte

Il considère de porter plainte auprès de la Commission d’accès à l’information du Québec, l’organisme gouvernemental qui s’occupe de ce genre d’enjeu. «J’imagine qu’il y a des lois en place pour garantir que nos données sont protégées. Mais je pense qu’éventuellement la législation devrait être plus stricte, on pourrait exiger que les entreprises qui font affaire avec des données confidentielles soient auditées.»

Sports-Plus est un logiciel d’inscription utilisé dans plus de 140 municipalités et 180 entreprises québécoises (voir plus bas).

Notre Bureau d’enquête a obtenu une vidéo des tests de sécurité effectués sur le site, qui, en moins de cinq minutes, nous ont exposé les données personnelles de trois différents utilisateurs.

Les victimes seront avisées par l’entreprise

Après avoir colmaté la brèche, l’entreprise Sport-Plus s’engage maintenant à contacter les utilisateurs si leurs données personnelles ont été volées.

Contacté par notre Bureau d’enquête, le directeur Robert Martin dit qu’il a eu vent de la vulnérabilité, qui serait selon lui associée à une nouvelle version du logiciel, il y a deux mois.

Son équipe a pourtant attendu plusieurs semaines avant de réparer la faille, «car on voulait attraper les personnes».

M. Martin confirme que les informations personnelles de certains utilisateurs étaient accessibles par cette faille. Il précise toutefois que seule une parcelle des utilisateurs avaient eu à fournir leurs numéros d’assurance sociale.

La compagnie s’applique maintenant à vérifier tous les registres du site, mais le chef d’entreprise déclare qu’une évaluation préliminaire n’avait identifié aucun trafic anormal.

M. Martin planifie maintenant d’avoir recours à une compagnie externe pour tester la sécurité de son système. «Nous, on ne veut pas le cacher, s’il y a eu une brèche, il y a eu une brèche.»

Vulnérabilité

Sylvie Guérin, experte en cybersécurité et enseignante à Polytechnique Montréal, a confirmé à partir de la vidéo la vulnérabilité de la plateforme Sports-Plus.

«Quand on se connecte pour se créer un compte, premièrement, le gros problème, c’est que ça ne valide rien, tu peux rentrer n’importe quoi, tu n’as même pas de courriel de retour qui valide ce que tu as inscrit, dit-elle. Un coup connecté dans le système, c’est là qu’on est capable de changer l’identifiant [dans l’URL] et de se faire retourner des données qui ne sont pas à nous.»

Faille assez commune

Elle ajoute qu’il s’agit d’une faille informatique assez commune. «Ça arrive à plusieurs entreprises, à plusieurs applications web, et ça devrait être quelque chose que les gens pensent à faire vérifier par défaut quand ils font du développement.»

Touchés par la faille

Communautés, municipalités et villes

Communauté de Mashteuiatsh

CSUQ (COMMUNAUTÉ SÉPHARADE UNIFIÉE DU QUÉBEC)

Municipalité d’Albanel

Municipalité d’Ange-Gardien

Municipalité d’Hébertville

Municipalité de Beaumont

Municipalité de Cantley

Municipalité de Dégelis

Municipalité de Papineauville

Municipalité de Notre-Dame des Pins

Municipalité de Rougemont

Municipalité de la Guadeloupe et St-Évariste

Municipalité de Laurier-Station

Municipalité de La Doré

Municipalité de Saint-Alexandre

Municipalité de Saint-Antoine-de-Tilly

Municipalité de Saint-Ambroise-de-Kildare

Municipalité de Saint-Anselme

Municipalité de Saint-Cyprien

Municipalité de Saint-Damien

Municipalité de Saint-Denis-sur-Richelieu

Municipalité de Saint-Léonard-D'Aston

Municipalité de Saint-Jean-de-Matha

Municipalité de Saint-Jean- Baptiste

Municipalité de Sainte-Sophie

Municipalité de Saint-Stanislas-de-Kostka

Municipalité de St-Benoit

Municipalité de St-Ephrem

Municipalité de St-Honoré

Municipalité de St-Ubalde

Municipalité de St-Victor

Municipalité de St-Martin

Municipalité St-René

Municipalité de St-Théophile

Municipalité de Saint-Henri

Municipalité de Saint-Joseph-du-Lac

Municipalité de Saint-Philippe

Municipalité du Village de North Hatley

Municipalité du Village de Val-David

Ville d’Alma

Municipalité d’Adstock

Ville d’Asbestos

Ville Baie-Saint-Paul

Ville de Beauceville

Ville de Beauharnois

Ville de Beloeil

Ville de Bonaventure

Ville de Boisbriand

Ville de Boischatel

Ville de Bois-des-Filion

Ville de Bromont

Ville de Carleton-sur-Mer

Ville de Charlemagne

Ville de Château-Richer

Ville de Chandler

Ville de Chibougamau

Ville de Clermont

Ville de Coaticook

Ville de Crabtree

Ville de Deux-Montagnes

Ville de Dolbeau-Mistassini

Ville de Dollard-des-Ormeaux

Ville d’Edmundston

Ville de Huntingdon

Ville de Joliette

Ville de Kingsey Falls

Ville de Lac-Brome

Ville de Lac-Mégantic

Ville de Lachute

Ville de Lanoraie

Ville de L’Assomption

Ville de la Malbaie

Ville de La Tuque

Ville de Lavaltrie

Ville de L’Épiphanie

Ville de Lorraine

Ville de Louiseville

Ville de Magog

Ville de Mascouche

Ville de Matane

Ville de Mercier

Ville de Mirabel

Ville de Mont-Joli

Ville de Montréal (Arr. Dollard-des-Ormeaux/Roxboro)

Ville de Montréal (Arr. Montréal-Nord)

Ville de Morin-Heights

Ville de Neuville

Ville de New-Richmond

Ville de Notre-Dame-des-Prairies

Ville de Pincourt

Ville de Pointe-Calumet

Ville de Prévost

Ville de Rawdon

Ville de Rigaud

Ville de Rimouski

Ville de Rivière-Rouge

Ville de Roberval

Ville de Saint-Augustin-de-Desmaures

Ville de Saint-Basile-le-Grand

Ville de Saint-Charles-Borromée

Ville de Saint-Donat

Ville de Saint-Ours

Ville de Sainte-Adèle

Ville de Sainte-Agathe-des-Monts

Ville de Sainte-Anne-des-Lacs

Ville de Sainte-Anne-des-Plaines

Ville de Sainte-Julie

Ville de Sainte-Julienne

Ville de Sainte-Marie-de-Beauce

Ville de Saint-Félicien

Ville de Saint-Félix-de-Valois

Ville de Saint-Georges-de-Beauce

Ville de Saint-Hippolyte

Ville de Saint-Isidore-de-Beauce

Ville de Saint-Jérôme

Ville de Saint-Joseph-de-Sorel

Ville de Saint-Lazare

Ville de Saint-Liboire

Ville de Saint-Lin-Laurentides

Ville de Saint-Paul-de-Joliette

Ville de Saint-Pie

Ville de Saint-Placide

Ville de Saint-Prime

Ville de Saint-Prosper

Ville de Saint-Roch-de-l’Achigan

Ville de Saint-Sauveur

Ville de Saint-Thomas

Ville de St-Tite

Ville de Salaberry-de-Valleyfield

Ville de Senneterre

Ville de Sept-Iles

Ville de Shawinigan

Ville de Stoneham-et-Tewkesbury

Ville de Témiscouata-sur-le-Lac

Ville de Thetford Mines

Ville de Trois-Rivières

Ville de Trois-Pistole

Ville de Valcourt

Ville de Varennes

Ville de Vaudreuil-sur-le-Lac

Ville de Verchères

Ville de Waterloo

Ville d’Oka

Centres communautaires et sportifs, organismes et camps de jour

Académie des jeunes sportifs

Académie Les petits as

Accès-Cible Jeunesse Rosemont

Amusement Action Directe

Aventure plein-air Inukshuk inc.

Ali et les princes de la rue

Arénas Repentigny – Le Gardeur

Association sportive et communautaire Centre-Sud

Association de hockey mineur de Montmagny

Association de soccer des Premières-Seigneuries

Association Régional de Football Laurentides Lanaudière

Base de plein air Jean-Jeune

Cache-à-l’eau

Camp Académie

Camp de Jour Croque-Sourire

Camp de jour Dollard-des-Ormeaux

Camp de jour Le phoénix de Lachine

Camp de Jour Sindbad

Camp Keno

Camp Multisports de St-Léonard

Camp Portneuf

Camp Tékakwitha

Cardio-Gym

Carrefour accès loisirs

Carrefour communautaire de Rosemont l’Entre-Gens

CCSE Maisonneuve

CDL St-Denis-de-Brompton

Centre aquatique de Chambly

Centre culturel et communautaire Henri-Lemieux

Centre communautaire Champfleury

Centre communautaire Jean-Guy Drolet

Centre de conditionnement physique Memphrémagog

Centre Hamann

Centre de loisirs St-Denis/Relance de loisirs tout 9 inc.

Centre de Yoga Ste-Foy

Centre des loisirs Saint-Sacrement

Centre d'escalade de Chicoutimi (Bêta Crux)

Centre d’excellence Sport-Rousseau

Centre du Plateau

Centre Loisir Multi-Plus (Trois-Rivières)

Centre Multi-sports de Warwick

Centre Père Sablon (Marcel de la Sablonnière)

Centre Pierre-Charbonneau

Centre Récréatif, Culturel et Sportif St-Zotique

Centre récréatif de Repentigny

Centre récréatif en Équilibre

Centre récréatif et communautaire CRC St-Donat

Centre sportif de la Petite Bourgogne

Centre sportif et communautaire de Brandon

Centre sportif Notre-Dame de Grâce (Sogep)

C.E.S.A.M.E. Deux-Montagnes

Cheval Défi

Cité des arts & des sports de Salaberry-de-Valleyfield

Club Aquatique de l’Est de Montréal

Club aquatique Rivière-des-Prairies

Club aquatique Sainte-Agathe

Club de conditionnement physique de Boucherville

Club d’activités physiques de Varennes

Club d’activités physiques de St-Amable

Club de Canoë de course de Lachine

Club de Canotage d’Otterburn

Club de Curling de Rosemère

Club de gymnastique artistique Gadbois

Club de gymnastique Gymbly

Club de gymnastique Gymnamic

Club de gymnastique Les hirondelles de Granby

Club de Gymnastique Sagym

Club de Nage Synchronisée de Québec

Club de natation Hippocampe

Club de Natation Montréal-Nord

Club de soccer de Boucherville

Club Fadoq L’Assomption

Club Flipgym de Montréal

Club Rikigym

Colonie des Grèves de Contrecoeur

Complexe aquatique de Minganie

Complexe Olympia (Deux-Montagnes)

Complexe sportif multidisciplinaire de L’Ancienne-Lorette

Complexe sportif Saint-Lazare

Complexe Sportif St-Raphael

Complexe sportif Trane

Coopérative de Solidarité le Chez-Nous du Communautaire des Moulins

Corporation des Loisirs Saint-Joseph

District Athlétique JP Inc.

District Danza

Domaine de Maizerets

Sport-Loisirs l'Ormière

Éclat Conception

Ecole de danse July

École de danse Quatre-Temps

Éco-Nature/Parc de la Riv.-des-Mille-Îles

Enkdanse

Équipe RDP

Espace Loisirs Brompton

Gym CMS

Fondation Le terrier

Habitation Bordeleau

Karaté Taikido Longueuil

L’Oasis des Enfants de Rosemont

La Coopérative de Solidarité Le Chez-Nous du Communautaire des Moulins

La Saison du Passeur

Le Regroupement des 4 Loisirs de Ste-Foy

Le relais du bout

Les camps Torpille

Loisirs-Action Val-Bélair

Loisirs Bourg-Joli

Loisirs Côte-des-Neiges, Notre-Dame de Grâce

Loisirs du Faubourg (Québec)

Loisirs de l’Acadie de Montréal

Loisirs de St-Gervais inc.

Loisirs des Hauts-Sentiers

Loisirs & Culture Sud-Ouest

Loisirs Fleuri-Est

Loisirs Gentilly

Loisirs La Providence

Loisirs Montcalm

Loisirs Pessamit

Loisirs récréatifs et communautaires de Rosemont

Loisirs Saints-Martyrs-Canadiens

Loisirs St-Bruno de Laval

Loisirs Ste-Dorothée

Loisirs St-Rodrigue inc.

Maison des aînés de Lévis

MégaFun Centre d’amusement

Ministère du cricket & autres sports orphelins

Nora Gym

Parc du Domaine Vert

Paroisse Assomption-de-Notre-Dame et Ste-Rosalie

Patro le Prévost

Patro Roc-Amadour

Pavillon du Cœur Beauce-Etchemin

Pavillon Saint-Arnaud

Piscine St-Roch

Ranch Anne-Marie Lussier

Régie Intermunicipale de l’aréna régional de la Rivière-du-Nord

Rival Gym

RND Elite Allstars

Service des loisirs Angus-Bourbonnière

Service des Loisirs St-Clément

Service des loisirs St-Fabien

Services Récréatifs Demsis inc.

Shérifville

Société des Amis du Biodôme de Montréal

Société Ressources-Loisirs P.A.T.Inc. (Centre Roussin et Centre Édouard-Rivet)

Spirix Athletics Montréal

Sportplex de l’Énergie

Viomax

Zone Famille

* Source : liste de clients sur le site internet de l’entreprise Logiciels Sport-Plus inc.