/investigations/techno
Navigation

Un pirate dans les réunions du PLQ

Notre source a réussi à s’introduire «facilement» dans deux salles de la permanence du parti

Man with hood hacking notebook
Photo courtoisie Une capture d’écran transmise par notre source montre qu’elle avait accès, comme un véritable invité, au système de vidéoconférence des employés du Parti libéral du Québec.

Coup d'oeil sur cet article

Une faille de sécurité dans les systèmes informatiques de la permanence du Parti libéral du Québec (PLQ) a permis à un internaute d’observer et d’entendre les discussions stratégiques du parti dans ses locaux de Montréal et de Québec.

Il devenait donc possible d’assister en temps réel aux vidéoconférences tenues dans les locaux de la permanence, à l’insu du parti.

Celui qui a découvert la brèche est une source anonyme de notre Bureau d’enquête qui voulait alerter le PLQ, les autorités et la population sans être identifiée. Il nous a montré sur l’écran d’un téléphone intelligent des exemples de discussions qui se tenaient à la permanence du parti.

Il activait les caméras

L’accès au système ne permettait pas seulement d’assister aux vidéoconférences entre Québec et Montréal, mais donnait un accès, en tout temps, à la caméra des deux salles de réunion. Il était donc possible d’observer toutes les discussions. Nous avons communiqué au PLQ des exemples précis de discussions qui se sont déroulées dans les locaux, pour faire valider l’intrusion.

Aucune information stratégique n’a été exposée lors des échanges qui ont été montrés à notre Bureau d’enquête. Au moment d’écrire ces lignes, notre source assure avoir fermé la brèche et mis un terme à son intrusion.

«Trop facile»

Selon ce qu’on a appris, la brèche de sécurité utilisée pour pirater le PLQ était du même type que celle qui a permis à deux jeunes de 14 ans de pirater un guichet automatique de la Banque de Montréal, la semaine dernière. C’est-à-dire en inscrivant un mot de passe simple et couramment utilisé, par défaut.

«C’était juste trop facile. C’est comme s’ils avaient collé leur NIP sur leur carte de crédit», lance notre source, qui voulait mettre en lumière le manque de sécurité du système pour conscientiser les responsables.

«Ils ne sont pas prudents [...] Si ça tombe entre les mains de quelqu’un d’autre, qui sait ce qui peut arriver», ajoute notre informateur.

Plus de 30 millions de comptes Twitter ont récemment été piratés et le site spécialisé LeakedSource a révélé que plus de 120 000 d’entre eux avaient comme mot de passe: 123456.

«Malheureusement, ce type de faille arrive encore trop souvent. Des organisations ne font pas attention», explique Marco Estrela, vice-président de l’entreprise spécialisée en sécurité informatique Gardien virtuel.

«Il faut modifier nos mots de passe, c’est la base et c’est tout simple», précise celui qui souligne que, malgré la sophistication de techniques d’intrusion, «le maillon faible reste l’humain» qui ne change pas ses mots de passe.

Le parti prend les informations au sérieux

Secouée, la permanence du Parti libéral du Québec (PLQ) prend «très au sérieux» la faille de sécurité qui permettait à un intrus d’écouter leurs discussions internes.

«On prend très au sérieux ces informations», a lancé le directeur des communications, Maxime Roy.

Le parti a été prompt à réagir. Notre Bureau d’enquête lui a prouvé l’intrusion en lui communiquant des exemples de discussions concrètes qui se sont tenues dans leurs salles de réunion lors des derniers jours.

«Les exemples portent à croire que c’est exact», a souligné M. Roy.

«Nous avons déjà une équipe de spécialistes qui travaillent à comprendre ce qui s’est passé et colmater la brèche informatique sur le système de vidéoconférence le plus rapidement possible», poursuit-il.

Système fermé

Il assure que le système de vidéoconférence a été complètement fermé.

«Pour l’instant, l’important, c’était de sécuriser et de comprendre ce qui s’est passé [...] On travaille avec un fournisseur».

En fin d’après-midi, jeudi, le PLQ s’affairait toujours à tenter d’identifier la cause précise.

M. Roy n’a pas voulu préciser si l’utilisation d’un mot de passe trop générique a ouvert la porte.

Rappelons qu’au printemps érable, en 2012, le site internet du Parti libéral et celui de plusieurs ministères avaient été la cible de pirates informatiques, ce qui avait forcé la remise en question de la gestion de la sécurité informatique dans la fonction publique québécoise.