/misc
Navigation

Bordel informatique: je change de métier!

ets
Photo Archives / Agence QMI

Coup d'oeil sur cet article

Je suis devenu enseignant en génie à l’université... sans le vouloir. De futurs ingénieurs m’attendent en classe cette semaine à l’École des technologies supérieures (ÉTS) afin que je leur transmette mon savoir-faire.

Mais je ne suis pas ingénieur, même pas proche. Je n’arrive même pas à comprendre la description du cours que je dois donner durant la prochaine session, soit Vision artificielle. C’est un cours du Département de génie de la production automatisé.

Si le début de ce billet semble manquer implacablement de cohérence, c’est pourtant exactement ce qui s’est produit.

Le s de trop

Cet imbroglio est de nature administrative. Mon nom «Jean-Nicolas Blanchet» a été confondu avec un certain «Jean-Nicola Blanchet». C’est ce dernier, qui existe réellement après vérification, qui est en fait le véritable chargé de cours.

Étant très similaires, nos deux adresses de courriel se sont mélangées, et ce même si je n’ai jamais étudié à cette école. J’ai donc reçu plusieurs courriels qui ne devaient pas m’être adressés.

Pas un poisson d’avril

Le 5 décembre, une agente de gestion des études de l’ÉTS me transmet le plan de cours pour la prochaine session. On me demande d’envoyer «les modifications s’il y a lieu».  La même journée, je retourne un message mentionnant que je ne comprenais pas pourquoi avoir reçu le message.

Avril était loin pour croire qu’il s’agissait d’un poisson. Il devenait ironique de constater qu'un des lieux d’enseignement qui doit former des génies québécois de l’informatique se trompait et nommait par erreur comme chargé de cours un journaliste affecté à la couverture du bordel informatique. La coïncidence était particulière.

Mais ce n’était pas une blague puisque durant les Fêtes, d’autres courriels ont été acheminés même si l’on avait alerté l’ÉTS. Ces messages donnaient des renseignements beaucoup plus sensibles :

« Voici les informations concernant votre compte d’usager à utiliser pour vos activités d’enseignement à l’ÉTS». Tout y était: nom d’usager, mot de passe, domaine, courriel à utiliser, façon de s’identifier aux différents systèmes informatiques, utilisation du site web pour les cours, façon de se connecter à distance au réseau de l’établissement.

Un autre message m’indiquait où aller chercher une carte d’accès pour les locaux de cours et de laboratoires. L’information pour les cahiers d’examens et leurs photocopies m’a aussi été fournie.

Dès le retour du congé, nous avons évidemment rejoint l’ÉTS pour signaler que de l’information sensible avait visiblement été envoyée par erreur. Nous avons demandé à l’ÉTS de modifier les mots de passe.

Au-delà de l’anecdote, cette histoire est symptomatique d’un aspect préoccupant du bordel informatique: l’information sensible et personnelle circule partout et parfois n’importe comment.

Jamais mineur

L’erreur de l’ÉTS est mineure, mais ce sont souvent des erreurs mineures qui occasionnent des conséquences importantes en sécurité de l’information.

Quand l’université qui forme des futurs spécialistes en sécurité informatique effectue une telle bourde de sécurité informatique, il y a matière à réflexion.

Qu’est-ce qu’une personne mal intentionnée aurait pu faire de tous ces renseignements? 

La protection des renseignements sensibles et personnels est, en théorie, une vertu défendue par toutes les organisations publiques et privées. Mais concrètement, des gaffes se répètent et rappellent aux internautes d’être prudents en partageant leur information privée en ligne. La faille Heartbleed, le printemps dernier, a été un bon exemple, alors que plusieurs organisations ont refusé de reconnaître le problème. Neuf cents numéros d’assurance sociale ont d’ailleurs été volés chez Revenu Canada.