/investigations
Navigation

L’identité de 3500 porteurs d’ITS était mal protégée

Le site internet itsrencontres.com a été compromis par une brèche informatique

Une faille informatique découverte sur le site internet itsrencontres.com exposait des secrets plutôt personnels de milliers de Québécois.
Photo Fotolia Une faille informatique découverte sur le site internet itsrencontres.com exposait des secrets plutôt personnels de milliers de Québécois.

Coup d'oeil sur cet article

Une faille informatique a exposé les informations très personnelles des milliers d’abonnés du site québécois itsrencontres.com, spécialisé dans les flirts entre personnes vivant avec des infections transmises sexuellement (TS).

Sans connaître un seul mot de passe, il était possible de se connecter comme administrateur du site web et, ainsi, d’accéder à la base de données personnelles des abonnés.

Dans le jargon des connaisseurs, il s’agit d’une faille de type «injection SQL». Pour ceux qui s’y connaissent moins, il s’agit d’un problème qui ne peut plus avoir sa place en 2017, disent les experts en sécurité informatique.

La brèche a été trouvée par un internaute préoccupé par la problématique généralisée des sites internet mal protégés.

Le site a été relancé

Notre informateur a alerté le responsable du site itsrencontres.com. Le site a été fermé durant plusieurs semaines avant d’être rouvert l’automne dernier.

Le responsable et fondateur du site, Guy Leduc, n’a pas minimisé les risques lorsque l’expert en sécurité l’a informé du problème qui lui permettait d’accéder aux informations personnelles des 3500 abonnés.

Les renseignements pouvaient notamment permettre de connaître la véritable identité des abonnés, qui préfèrent souvent utiliser des pseudonymes sur ce site et qui doivent payer pour s’inscrire.

«Le site n’a malheureusement pas été conçu en pensant à la sécurité, mais à la fonctionnalité. Il a été conçu comme si, sur internet, tout le monde était gentil», explique notre source.

Guy Leduc n’a pas perçu l’alerte de notre source comme de l’extorsion. «Ce n’est pas un hacker, c’est une personne qui teste la sécurité. Il a trouvé une faille que je ne connaissais pas et a offert de nous aider. La personne s’est bien identifiée», explique celui qui a lancé le site il y a six ans.

Coup de chapeau

Une firme de sécurité qui n’a aucun lien avec notre source a ensuite travaillé pendant trois semaines afin de revoir la sécurité du site et réparer la faille. Tous les membres ont été informés.

«Je n’aime pas la méthode utilisée, mais je vais lever mon chapeau à cette personne, ajoute M. Leduc. Elle a exposé une faille et, en tant qu’entreprise responsable, on fait le maximum pour assurer la plus grande sécurité.»

La prudence est de mise

Notre source invite à la prudence concernant les sites de rencontre, «qui ne sont pas reconnus pour être les plus consciencieux concernant la sécurité informatique».

Il dit en avoir «défoncé» quelques autres, dont un site étranger pour «expériences extraconjugales» et un autre, aux États-Unis, pour des rencontres amoureuses entre passionnés d’un même parti politique.

Ces deux failles étaient aussi de type «injection SQL», permettant que l’on se connecte à des comptes sans mot de passe. Les failles ont été colmatées après qu’il eut alerté les responsables. «J’avais accès à plus de 30 000 messages entre abonnés», poursuit notre source.