/investigations
Navigation

Des mots de passe d’élus disponibles sur le web

Certains sont même accessibles gratuitement sur des sites clandestins, a constaté notre Bureau d’enquête

Coup d'oeil sur cet article

Des milliers de mots de passe d’élus et de fonctionnaires, dont certains liés à Justin Trudeau et à des députés de l’Assemblée nationale, ont été piratés et sont disponibles sur le dark web. Ces fuites pourraient mettre des informations sensibles à risque. 

• À lire aussi: Tous vulnérables  

Même des directeurs de la Sûreté du Québec et un sous-ministre fédéral de la Justice ont été victimes du vol, a constaté notre Bureau d’enquête au cours des dernières semaines.                  

Ces fuites ne signifient pas nécessairement que les systèmes informatiques des gouvernements ont été directement infiltrés.                  

Ils pourraient cependant faciliter le travail de criminels qui voudraient accéder à des réseaux gouvernementaux.                  

Informations volées 

Le ministère de l’Éducation vient justement d’annoncer qu’un mot de passe dérobé a servi à voler les informations de 360 000 enseignants.                  

Plusieurs pirates qui diffusent ces mots de passe déclarent qu’ils proviennent de fuites déjà connues, comme celles qui ont frappé LinkedIn, Dropbox et le site de rencontres coquines Ashley Madison.                  

Dans ces cas-là, les victimes du vol de mots de passe ont utilisé leur courriel professionnel pour se connecter à leurs comptes sur ces sites.                  

Or, les internautes ont tendance à utiliser des mots de passe similaires d’un site à l’autre, et mettent donc leur code d’accès professionnel à risque.                  

« Ça facilite la vie des hackers, explique Mathieu Jacques, fondateur du consultant en cybersécurité Microfix. Quand on a 90 % d’un mot de passe, c’est facile d’utiliser un robot pour l’avoir au complet ! »                  

S’ils réussissent, les pirates peuvent ensuite revendre l’information à des spécialistes du vol d’identité, de l’espionnage ou des cyberattaques.                  

Des experts s’inquiètent et croient que les organismes gouvernementaux n’en font pas suffisamment pour avertir les victimes de ces vols de mots de passe lorsqu’ils sont détectés sur internet.                  

Tenus dans l’ignorance 

La majorité des victimes qu’a contactées notre Bureau d’enquête ignoraient avoir été la cible de piratage.                  

« Je vais aller poser la question à savoir pourquoi, si un journaliste du Journal de Montréal est capable de trouver ça, on [ne] m’a pas informé plus tôt », affirme François Daigle, sous-ministre délégué de la Justice, dont un mot de passe a fuité.                  

Plusieurs organisations concernées sont réticentes à expliquer ce qui s’est passé. Certaines assurent qu’elles étaient déjà au courant.                  

Tous les organismes publics affectés disent s’être dotés de politiques d’utilisation sécuritaire des courriels. Ils interdisent l’utilisation de l’adresse professionnelle sur des sites tiers et prévoient des changements réguliers de mots de passe.                  

- Avec la collaboration d’Andrea Valeria 

Notre démarche  

Nous avons utilisé un moteur de recherche conçu pour détecter les données piratées qui se trouvent sur le dark web. Ce logiciel ne révèle que les quatre premiers caractères des mots de passe qu’il peut trouver. Nous avons ensuite retrouvé certains mots de passe complets sur un forum de voleurs d’identité.         

Éric Caire 

Photo d'archives, Simon Clark
  • Ministre délégué à la Transformation numérique gouvernementale                         

Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                  

Ce qu’il avait à dire : Son attachée de presse Nathalie Saint-Pierre indique que son patron ne se souvient pas d’avoir utilisé ce mot de passe.                  


François Daigle  

  • Sous-ministre délégué de la Justice                         

Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                  

Ce qu’il avait à dire : « Merci de l’avoir porté à mon attention. Je ne l’aurais jamais su autrement », souligne le deuxième plus haut fonctionnaire au ministère de la Justice à Ottawa. La fuite de son mot de passe semble liée à la brèche majeure ayant frappé LinkedIn en 2016.                  


Une greffière du palais de justice de Montréal 

Ce que nous avons trouvé : Un mot de passe avec lequel elle accédait jusqu’à l’été 2019 au système informatique du ministère de la Justice.                  

Ce qu’elle avait à dire : Le mot de passe servait notamment à prendre ses courriels et démarrer l’enregistrement sonore dans les salles de cour. « C’était le mot de passe pour accéder à tout », soutient l’ancienne fonctionnaire, qui vient de quitter son emploi et demande à conserver l’anonymat. Elle non plus n’avait pas été avisée de la fuite.                  


Guy Ouellette 

Photo d'archives, Simon Clark
  • Député indépendant                         

Ce que nous avons trouvé : Deux mots de passe associés à l’une de ses adresses de l’Assemblée nationale.                  

Ce qu’il avait à dire : L’ancien libéral a déjà utilisé l’un des deux codes d’accès pour consulter des courriels reçus sur le réseau de l’Assemblée nationale. L’autre mot de passe a vraisemblablement servi à se connecter sur le réseau LinkedIn. Personne ne l’a avisé de la situation, même si la fuite semble dater de plusieurs années. « Il va falloir vérifier s’ils font vraiment une veille là-dessus, note-t-il. Je vais faire certaines vérifications en ce qui me concerne. »                  


Justin Trudeau 

Photo d'archives, AFP
  • Premier ministre du Canada                         

Ce que nous avons trouvé : Quatre mots de passe associés à autant d’adresses courriel de la Chambre des communes. L’un d’eux se trouve sur le web clandestin depuis au moins 2012 sous forme non encryptée. Certaines données semblent liées aux brèches ayant touché Dropbox, un site de partage de fichiers, et myheritage.com, spécialisé dans les recherches généalogiques.                  

Ce qu’il avait à dire : « Ce sont des adresses de député, pas des adresses du bureau du premier ministre. Ceux qui les utilisent, ce sont des employés dans la circonscription », dit Ann-Clara Vaillancourt, attachée de presse au cabinet de Trudeau.                  


Paul Crépeau  

  • Directeur exécutif du Conseil de la magistrature ; Ancien procureur de la commission Charbonneau                         

Ce que nous avons trouvé : Un mot de passe associé à une ancienne adresse gouvernementale.                  

Ce qu’il avait à dire : Il s’en servait pour plusieurs comptes, jusqu’à notre appel. Le code est associé à son ancienne adresse du Directeur des poursuites criminelles et pénales, qu’il a quitté en 2012. Après notre discussion, M. Crépeau a communiqué avec son ancien employeur. « Je leur ai dit : “Je sens que vous avez peut-être un problème au niveau de la sécurité !” »                  

♦ Notre Bureau d’enquête a aussi trouvé des mots de passe associés à deux autres procureurs, qui n’avaient pas été avertis non plus. 


Pascal Bérubé 

Photo d'archives, Simon Clark
  • Chef intérimaire du Parti québécois                         

Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                  

Ce qu’il avait à dire : Le député de Matane s’en servait pour se connecter à des sites tiers. La sécurité de l’Assemblée nationale ne l’a jamais avisé. « Si mon mot de passe circule avec un courriel, ce n’est pas très rassurant ! lance-t-il. Merci au Journal de nous avertir, on va prendre des mesures. »                  


François Croteau 

Capture d’écran d’un forum
  • Maire de l’arrondissement de Rosemont–Petite-Patrie, à Montréal                         

Ce que nous avons trouvé : Un mot de passe associé à son adresse courriel de la Ville.                  

Ce qu’il avait à dire : « C’est le mot de passe que j’avais jusqu’en 2018 pour me connecter à mon logiciel Lotus Notes de la Ville ! » Messagerie électronique, connexion au réseau Wi-Fi, téléchargement d’ordres du jour... Le code servait à toutes ces fonctions, jusqu’à ce que la Ville passe à un système plus sécuritaire, à double authentification.                   


Filomena Rotiroti  

Photo courtoisie
  • Députée de Jeanne-Mance–Viger                        

Ce que nous avons trouvé : Un mot de passe associé à l’une de ses adresses courriel de l’Assemblée nationale.                 

Ce qu’elle avait à dire : La députée croit qu’elle utilisait ce mot de passe pour accéder au site de mise en forme myfitnesspal.com. Personne ne l’a jamais avisée.                 


Denis Audet  

  • Directeur de la gestion des contrats au ministère de la Justice du Québec                        

Ce que nous avons trouvé : Un mot de passe associé à son adresse gouvernementale.                 

Ce qu’il avait à dire : Le haut fonctionnaire utilisait encore le code d’accès dont nous avons retrouvé les quatre premières lettres pour se connecter à des systèmes du gouvernement. « Je vais devoir vérifier ça », affirme-t-il. Denis Audet se dit surpris de n’avoir jamais été averti de la fuite.                  


La Sûreté du Québec et la police de Montréal 

Ce que nous avons trouvé :  

  • 258 mots de passe d’employés de la Sûreté du Québec, dont certains hauts gradés des enquêtes criminelles.                  
  • 110 mots de passe associés à la police de Montréal. On y retrouve des codes de chefs de postes de quartier. Des adresses sont associées au site de rencontres extraconjugales Ashley Madison, ce qui pourrait permettre de faire chanter des agents.                                    

Ce qu’ils avaient à dire :  

  • À la Sûreté du Québec, le porte-parole Hugo Fournier assure que l’organisation est au courant de ces fuites de mots de passe depuis janvier 2018.                                    

L’organisation n’a reçu aucune plainte à ce sujet et a donc décidé de ne pas enquêter. Elle croit que ces fuites proviennent des données d’un site tiers ayant subi une brèche informatique.                                   

  • « Une enquête a permis de démontrer qu’aucune information sensible n’avait été compromise, déclare de son côté la police de Montréal. Un ensemble de mesures a également été mis en place pour empêcher que ces adresses courriel puissent être utilisées à mauvais escient. »                              

Lexique  

Web clandestin (dark web)  

Partie du web non répertoriée par les moteurs de recherche comme Google, où se concentrent les activités illicites (distribution et revente de drogue, pornographie juvénile, données personnelles volées, etc.).                 

Encryption (ou chiffrement)  

Modification dans le codage numérique d’une information pour la rendre illisible par quelqu’un qui ne détient pas la clé de décryption.                 

Double authentification  

Système où l’utilisateur doit entrer un code apparaissant sur un autre appareil, comme un téléphone, en plus de son mot de passe, avant de pouvoir se connecter à un réseau.               

Des experts s’inquiètent  

Des experts en cybersécurité croient que les gouvernements doivent redoubler de vigilance pour détecter les fuites de mots de passe qui pourraient compromettre leurs informations et celles de leurs employés.                  

« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.                 

Selon lui, les autorités devraient systématiquement informer leurs employés de la présence de mots de passe leur étant associés sur le web clandestin, même s’ils ont été changés et qu’ils sont associés à des fuites déjà connues.                 

« Tous les utilisateurs devraient être notifiés pour leurs propres problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui aide les entreprises à colmater leurs vulnérabilités informatiques.                 

Plusieurs façons 

Comment ces données sont-elles arrivées entre les mains de pirates ?                  

La réponse varie énormément selon les cas, disent les experts.                                   

  • La victime peut avoir utilisé son adresse courriel professionnelle comme identifiant pour se connecter à un autre site qui s’est fait pirater, comme LinkedIn, Dropbox ou Ashley Madison.                                    

« C’est généralement la source d’information piratée la moins valide, ne serait-ce que parce que l’information sur ces brèches est connue et les usagers diligents ont déjà changé leur mot de passe », explique M. Jacques.                                   

  • Quelqu’un peut avoir utilisé un ordinateur à la maison ou ailleurs, infecté par un virus, pour se connecter à son compte professionnel, et s’être alors fait voler l’information.                                    

Pour ce faire, les pirates peuvent utiliser le keylogging : un logiciel espion qui transmet les touches sur lesquelles tape la victime, et enregistre son activité.                                   

  • La victime peut avoir été « hameçonnée » (phishing) : au téléphone, par texto, par courriel ou à l’aide d’un faux site, le pirate l’a convaincue de partager son mot de passe en se faisant passer pour un interlocuteur légitime.                  
  • Pire scénario : l’organisme lui-même peut avoir directement été victime d’une attaque ou d’un vol d’informations, comme Desjardins et le ministère de l’Éducation.                                    

Grave problème 

Chose certaine, le vol de mots de passe est un grave problème dans les organisations, publiques ou privées, assure Damien Bancal, spécialiste en cyberintelligence.                 

« Des fuites, il y en a à profusion, dit-il. Après le vol, les pirates peuvent utiliser les informations pendant des années, les revendre plusieurs fois... »                 

Les gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas surveiller chaque employé. »                 


À quoi ça peut servir ?  


Un mot de passe valide peut être d’une grande utilité pour un pirate qui veut voler une identité afin de commettre des méfaits.                 

Attaque par force brute 

Utiliser un réseau d’ordi-nateurs qui teste rapidement des milliers de mots de passe pour pénétrer dans un système informatique public. Une fois entré, le pirate peut :                                   

  • Crypter les données et exiger une rançon pour les déchiffrer ;                  
  • Accéder à des dossiers secrets pour faire de l’espionnage ou voler des informations confidentielles.                                    

Hameçonnage  

Se faire passer pour un technicien informatique ou un autre interlocuteur légitime en utilisant des données personnelles comme un identifiant et un mot de passe.                 

Soutirer ensuite d’autres informations personnelles, comme d’autres codes d’accès, qui permettront de commettre des fraudes.                 

Atteinte à la réputation 

Pénétrer une boîte courriel ou un compte LinkedIn pour envoyer des menaces ou insulter d’autres personnes.                 

Fraude, extorsion  

  • Se cacher derrière l’adresse courriel d’un autre pour frauder ou extorquer.                  
  • Trouver une adresse servant d’identifiant pour un site de rencontres extraconjugales comme Ashley Madison, contacter la victime de la fuite et exiger une rançon pour garder le silence.                    

► Contactez-moi en toute confidentialité au 438‐396‐5546 (signal, cellulaire) ou à hjoncas@protonmail.com