Revenu Québec, qui administre les dossiers fiscaux des Québécois, se sert d’une soixantaine de clés cellulaires du géant chinois Huawei, accusé d’espionnage par les États-Unis.

« L’utilisation de clés cellulaires répond à un besoin ponctuel lors de déplacements. Elle ne concerne qu’une très faible minorité du personnel de Revenu Québec », a expliqué Martin Croteau, porte-parole de Revenu Québec.

« Il y en a un peu plus d’une soixantaine. Ces appareils permettent à des employés de Revenu Québec de bénéficier d’une connexion internet lors de déplacements », a-t-il précisé.

Or, ces derniers jours, les experts en cybersécurité ont critiqué l’utilisation des équipements d’une entreprise qui suscite l’inquiétude des services secrets canadiens depuis plus d’une décennie.

« Ce n’est pas une décision très éclairée », a affirmé Éric Parent, président de la firme de cybersécurité EVA Technologies.

Selon lui, Revenu Québec devrait se tenir loin de Huawei.

« Il pourrait avoir une porte dérobée, mais c’est quasiment impossible de la détecter parce qu’elle n’est pas utilisée », a-t-il dit.

« C’est inconcevable. J’espère que c’est la règle du bas soumissionnaire parce que si ça a été mis de plein gré, il y a des gestionnaires qui ne font pas leur travail », a soupiré Paul Laurier, ancien enquêteur de la Sûreté du Québec, aujourd’hui président de la firme Vigitcek.

Chez Revenu Québec, on souligne que « les clés de communication cellulaire USB ont été acquises en 2016-2017 par l’intermédiaire de l’offre d’achats regroupés du Centre des services partagés du Québec (CSPQ) ».

Aux Infrastructures technologiques Québec (ITQ), l’une des deux organisations qui remplacent le CSPQ, on dit que les ministères et organismes choisissent « eux-mêmes leurs produits, selon leurs besoins ».

ITQ utilise aussi un petit nombre de clés internet Huawei pour les employés en déplacement. Celles-ci sont toutefois « en cours de remplacement » par des équipements d’une autre marque afin « d’harmoniser les modèles utilisés à ITQ et de faciliter l’exploitation des équipements ».

Programme « classé secret »

Plusieurs équipements de Huawei sont utilisés au Canada dans les tours cellulaires par des compagnies comme Bell, Telus, Rogers et Vidéotron.

Le Centre de la sécurité des télécommunications (CST), une agence de sécurité fédérale, s’assure cependant que ces appareils n’ont pas de code malveillant avant d’autoriser leur installation.

Ce programme du CST, qui est classé secret, ne concerne cependant que « l’équipement utilisé dans l’infrastructure de télécommunication », a indiqué Evan Koronewski, relationniste au CST.

Les clés Huawei utilisées par Revenu Québec et ITQ n’ont donc pas été inspectées par les autorités canadiennes.

Jointe par Le Journal, la porte-parole québécoise de Huawei, Sabrina Chartrand, a indiqué qu’aucun incident en cybersécurité avec Huawei Canada n’a été rapporté en douze ans de présence ici.

Elle a souligné que Huawei a déposé un mémoire au comité permanent de l’industrie, des sciences et de la technologie du Parlement du Canada le 13 janvier.

« Nous voulons que les informations des Canadiennes et Canadiens soient protégées. Ainsi il est primordial qu’un cadre strict soit établi et appliqué à toutes les compagnies de manière que les données des Canadiennes et Canadiens soient protégées », a-t-elle assuré.

Revenu Québec dit que la sécurité de l’information est une priorité. « C’est pourquoi nous utilisons des technologies et des équipements qui assurent la sécurité de notre site et protègent l’intégrité ainsi que le caractère confidentiel des données qui transitent par nos services en ligne », peut-on lire sur son site web.

Le géant chinois fournit aussi la Société des infrastructures

Alors qu’éclataient les accusations d’espionnage contre Huawei, la Société québécoise des infrastructures (SQI) s’est tournée vers une firme qui lui a fourni de l’équipement du géant chinois pour stocker ses données.

« C’est vraiment imprudent. Va falloir que le gouvernement agisse », a dénoncé Karim Ganame, fondateur de StreamScan et chargé de cours en cybersécurité à Polytechnique Montréal.

Fin mars, la SQI, qui a pour mission de soutenir les organismes publics dans la gestion de leurs projets d’infrastructure, a confirmé qu’elle avait octroyé deux contrats à l’entreprise Solutions Informatiques Inso inc., qui lui a fourni des produits Huawei, que les États-Unis accusent d’espionnage.

« En 2019, à la suite d’un appel d’offres public où aucun manufacturier ni équipement n’était précisé, le plus bas soumissionnaire conforme a remporté l’appel d’offres en fournissant des équipements de marque Huawei. Comme il s’agit de l’ajout d’une unité de stockage, la SQI devait poursuivre avec le même type d’équipement », a détaillé Martin Roy, porte-parole de la SQI.

« Les données qui sont hébergées sur l’unité de stockage sont une copie secondaire des sauvegardes de la Société », a ajouté l’organisme.

Risque bien réel

D’après l’expert Karim Ganame, même si la SQI a beau dire que cette « copie de sauvegarde s’effectue dans un réseau isolé et protégé d’internet », le risque est réel.

« On doit faire des mises à jour (donc, se brancher à internet) et en cas de pépin, il faut faire un appel de service, alors le risque est là », a-t-il résumé.

Jointe par Le Journal, l’adjointe du président d’Inso, Nathalie Dubé, a renvoyé la balle à Huawei, avec laquelle ils travaillent depuis plus de cinq ans.

« Nous négocions avec des manufacturiers établis au Canada qui nous proposent de revendre des solutions adaptées, approuvées et certifiées selon les règles canadiennes », a-t-elle ajouté.

Chez Huawei, on a rejeté les accusations d’espionnage.

« Depuis notre arrivée au Canada, aucun incident en cybersécurité n’a été rapporté impliquant Huawei Canada », a assuré sa porte-parole québécoise, Sabrina Chartrand.

– Avec la collaboration de Pascal Dugas Bourdon