Sans connaître un seul mot de passe, il était possible de se connecter comme administrateur du site web et, ainsi, d’accéder à la base de données personnelles des abonnés.

Dans le jargon des connaisseurs, il s’agit d’une faille de type «injection SQL». Pour ceux qui s’y connaissent moins, il s’agit d’un problème qui ne peut plus avoir sa place en 2017, disent les experts en sécurité informatique.

Le responsable et fondateur du site, Guy Leduc, n’a pas minimisé les risques lorsque l’expert en sécurité l’a informé du problème qui lui permettait d’accéder aux informations personnelles des 3500 abonnés.

Les renseignements pouvaient notamment permettre de connaître la véritable identité des abonnés, qui préfèrent souvent utiliser des pseudonymes sur ce site et qui doivent payer pour s’inscrire.

Guy Leduc n’a pas perçu l’alerte de notre source comme de l’extorsion. «Ce n’est pas un hacker, c’est une personne qui teste la sécurité. Il a trouvé une faille que je ne connaissais pas et a offert de nous aider. La personne s’est bien identifiée», explique celui qui a lancé le site il y a six ans.

Une firme de sécurité qui n’a aucun lien avec notre source a ensuite travaillé pendant trois semaines afin de revoir la sécurité du site et réparer la faille. Tous les membres ont été informés.

«Je n’aime pas la méthode utilisée, mais je vais lever mon chapeau à cette personne, ajoute M. Leduc. Elle a exposé une faille et, en tant qu’entreprise responsable, on fait le maximum pour assurer la plus grande sécurité.»