Canada : des données d’électeurs disponibles sur un site de la CAQ

Un chercheur en cybersécurité souhaitant rester anonyme a découvert une faille de sécurité béante dans Planifiezvotrevote.org, une plateforme du parti canadien Coalition Avenir Québec (CAQ).

En y indiquant son nom et son code postal, un utilisateur peut y obtenir les dates des élections à venir, et savoir où il doit se rendre pour aller voter. Il peut aussi communiquer son numéro de téléphone ou son adresse mail pour recevoir un rappel.

Or, le chercheur a révélé à Radio Canada qu’une manipulation simple, ne nécessitant pas de connaissance technique, permettait de récupérer tous ces couples noms / code postal. La rédaction de Radio Canada a vérifié que cette manœuvre permettait d’accéder aux données, avant de signaler la faille à la CAQ.

« Toutes proportions gardées, c’est tout de même moins sérieux que beaucoup d’autres fuites, mais ça demeure un type de faille très bien connu et pour lequel il existe des méthodes et de bonnes pratiques pour éviter de l’introduire dans un nouveau système », estime Alexis Dorais-Joncas, un autre expert en cybersécurité.

La CAQ a depuis corrigé la faille, et indique que seules 2 800 personnes s’étaient inscrites, et que ni les téléphones, ni les mails n’ont été exposés. Pour autant, associer un nom, un code postal et une intention de vote (le site étant utilisé à une très large majorité par des électeurs de la CAQ) reste une donnée particulièrement sensible.

« Tout devrait être fait pour protéger l’information des électeurs et rendre la tâche beaucoup plus difficile à ceux qui tentent de s’ingérer dans les processus démocratiques », défend Alexis Dorais-Joncas.