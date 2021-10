Le Centre gouvernemental de cyberdéfense a annoncé jeudi une nouvelle initiative visant à encourager les gens à signaler des vulnérabilités susceptibles d’être exploitées lors des cyberattaques qui pourraient porter atteinte aux systèmes et aux infrastructures des ministères et organismes de Québec.

Ceci est une excellente nouvelle, selon Patrick Mathieu, cofondateur du Hackfest, surtout que par le passé, certains cyberpirates qui signalaient des failles se sont fait poursuivre par le gouvernement.

«Ça suit ce qui s’est passé il y a environ un mois avec l’histoire de ''Louis'', où on a annoncé que c’était inacceptable que le gouvernement ait la possibilité de poursuivre certaines personnes qui sont là pour les aider», a expliqué M. Mathieu.

«On est contents que ça se soit retourné de côté très rapidement. À l’intérieur d’un mois, on est une quinzaine de cyberpirates bienveillants à avoir été invités et consultés sur la nouvelle page qui a été mise en ligne, donc c’est une excellente étape de franchie», a-t-il poursuivi.

Un canal de communication direct

Le nouveau portail de divulgation de vulnérabilité informatique s’adresse à tout le monde, mais particulièrement aux cyberpirates bienveillants qui peuvent découvrir des failles dans le système.

«La communauté du Hackfest et autres communautés ont à cœur la sécurité de notre gouvernement, que ce soit du Québec, du Canada et autres, et quand il y a des vulnérabilités qui sont trouvées, c’est communiqué avec le gouvernement», a-t-elle précisé.

Avant cette annonce, les cyberpirates bien intentionnés communiquaient de façon privée et directe avec des contacts qu’ils avaient au gouvernement, mais le problème, c’est que certains de ces contacts n’y travaillaient plus, notamment parce qu’ils démissionnaient ou prenaient leur retraite.

«Si la communication était interrompue, il n’y avait donc plus de porte d’entrée vers le gouvernement, et c’est ce que ce portail-là vient régler», a souligné M. Mathieu.

Les cyberpirates qui signalent des vulnérabilités au gouvernement travaillent en bonne partie dans le domaine de la cybersécurité, alors que d’autres sont des étudiants qui veulent aller dans ce domaine ou des personnes intéressées à donner un coup de pouce.

«Notre communauté est très grande et on n’est pas les seuls. Il y a des milliers de personnes qui ont la possibilité de faire ça maintenant et sans le potentiel de se faire poursuivre, donc c’est important», a ajouté M. Mathieu.

Pour l’instant, le projet du gouvernement est sur le banc d’essai et les cyberpirates bienveillants ne sont pas rémunérés pour leur travail.

«Ce qui est intéressant, c’est qu’ils veulent faire une version deux», a continué M. Mathieu. «En ce moment, c’est un rodage si on peut dire, et ils veulent mettre une page de remerciements, où tout le monde va avoir son nom.»

Un processus à l’interne

Le gouvernement s’est également doté d’un processus à l’interne pour gérer les vulnérabilités qui sont trouvées dans les systèmes informatiques.

«Donc, s’il y a une vulnérabilité qui est considérée comme très critique, comme des accès à des données citoyennes ou autres, bien le gouvernement a des mesures en place pour empêcher que ces données-là se transmettent, et ils vont peut-être couper les serveurs, corriger ça dans un délai très rapide», a mentionné le cofondateur du Hackfest.