/investigations
Navigation

Bar ouvert pour les voleurs

Une faille informatique aurait permis de localiser sans mot de passe les biens de valeur des Canadiens

Une faille de type injection SQL a plongé un site internet canadien dans un risque immense. Sans mot de passe ni grandes connaissances en informatique, il était possible de s’inscrire comme administrateur sur le site.  
Photo Courtoisie  Une faille de type injection SQL a plongé un site internet canadien dans un risque immense. Sans mot de passe ni grandes connaissances en informatique, il était possible de s’inscrire comme administrateur sur le site.  

Coup d'oeil sur cet article

L’organisation responsable de protéger les biens de valeur des Canadiens n’a pas sécurisé son site internet donnant les indications...pour localiser ces biens.

Mieux connu au Canada anglais, le groupe «Operation hands off» est un organisme de prévention du vol développé en partenariat avec les forces policières, surtout la Gendarmerie royale du Canada (GRC) et l’Association canadienne d’échec au crime. Il offre notamment la technologie d’identification de l’entreprise albertaine MicroDotDNA, qui permet «aux autorités policières de retrouver vos biens de valeur à l’aide d’une base de données», lit-on sur leur site web.

MicroDotDNA assure le marquage des biens de valeur avec un numéro de série. Ainsi, lorsqu’un bien volé est retrouvé, il devient plus facile de le renvoyer à son propriétaire. Les objets couramment marqués sont des vélos, des voitures, des véhicules motorisés, des ordinateurs et des tracteurs.

Des infos exposées

Le problème, c’est que le site internet d’«Operation hands off» était mal sécurisé. Un Québécois spécialiste en sécurité informatique, le même qui a soulevé les failles sur des sites de rencontre dans l’édition d’hier du Journal, a découvert qu’il était capable d’accéder à la base de données du système sans même connaître le mot de passe.

«J’avais accès à tout», balance celui qui ne veut pas se faire identifier. «C’est comme s’ils avaient laissé la clé dans la serrure et je l’ai tournée pour entrer dans le hangar de la police.»

Il nous a dit avoir pu accéder à la liste des biens, aux adresses, au nom de leur propriétaire, ainsi qu’aux adresses de courriel et aux mots de passe de policiers abonnés au système. «C’est explosif, comme renseignements», tempête celui qui est formé en gestion de réseau. Il y a des biens enregistrés partout au pays, dont au Québec.

Un risque immense

«Imaginez le risque si c’est quelqu’un de malintentionné qui tombe là dessus. Il pourrait fournir la liste à des voleurs et modifier les numéros de série de marquage. Les biens ne seraient jamais retrouvables», explique celui qui s’explique mal comment une organisation partenaire des policiers peut commettre un tel impair informatique.

Notre source se défend de jouer avec le feu avec ses méthodes? «Si c’étaient mes biens, j’aimerais savoir si c’est sécuritaire. C’est extrêmement important que des tests soient faits. On leur fait confiance...», ajoute celui qui dit tester des sites à temps perdu pour développer ses compétences.

En s’identifiant, il a rapidement écrit à l’organisation pour signaler le problème en leur soumettant que leur base de données n’est plus fiable et qu’elle aurait pu être contaminée par des intrusions. Il craint que la brèche date de quelques années.

Plainte à la GRC contre notre source

L’entreprise MicroDotDNA ne s’est pas intéressée qu’à la faille informatique, mais surtout aux motivations de notre informateur.

Avant la rédaction de notre reportage, nous nous sommes assuré que la brèche avait été colmatée. En entretien téléphonique, le président de MicroDotDNA, Pat Cowman, nous a souligné que le système avait été fermé, relancé et que les mots de passe avaient été changés.

Même si notre source a pourtant démontré que la brèche était sérieuse, M. Cowman parle de «problèmes mineurs» et qu’uniquement une fraction du système avait été touché, ce qui n’est pas l’avis de notre source.

Notre source ciblée

Le président de l’entreprise s’intéressait plutôt à notre informateur et dit s’être plaint à la GRC. M. Cowman estimait plutôt que notre contact faisait de «l’extorsion» afin de forcer l’entreprise à lui offrir du boulot. Pourtant, dans son courriel envoyé à l’entreprise, le Québécois ne demande pas de travail ni d’argent. «Franchement, je n’ai pas besoin de ça. Je fais ça à temps perdu. Je ne leur ai pas demandé une cent. Je les ai avertis et ça se réglait en deux heures. Ça ne m’aurait pas rendu riche, comme extorsion», dit-il.

«C’est juste une façon pour eux de se défendre, en disant que c’était une petite affaire et en me blâmant», ajoute notre source, qui soutient que la GRC ne lui a rien reproché.

Exemple d’objets couramment marqués

  • Des voitures
  • Des ordinateurs
  • Des vélos
  • Des tracteurs