/finance/homepage

Site web de la Société québécoise du cannabis

L’identité des acheteurs de pot à risque

Francis Halin | Le Journal de Montréal

photo Francis Hallin

Sans que le client le sache, l’adresse IP de l’ordinateur avec lequel il consulte le site web de la Société québécoise du cannabis (SQDC) est récupérée aux États-Unis par l’entremise du logiciel américain Imperva utilisé par la société d’État.

«À partir du moment où la donnée transite par leurs infrastructures, si le gouvernement américain, pour diverses raisons, pense que ça vaut le coût et leur donne le mandat d’intercepter les données, il a la possibilité de le faire», craint le PDG de StreamScan, Karim Ganame.

En gros, quand un client va sur le site web de la Société québécoise du cannabis (SQDC), sa requête est envoyée sur un serveur d’Imperva, dont le siège social est en Californie, avant d’être redirigée sur le site de la SQDC et les serveurs Microsoft ici.

Résultat, Imperva connaît les adresses IP de tous les visiteurs du site de la SQDC et pourrait être obligée de les montrer aux services secrets américains en vertu de la nouvelle mouture du Patriot Act appelée le Freedom Act.

Mauvais choix

«Le minimum, c’est d’éviter de faire affaire avec une compagnie aux États-Unis, avec tout ce qui existe comme le Patriot Act», déplore Karim Ganame, patron de StreamScan.

Un avis partagé par le président d’Intrasecure, Nicolas-Loïc Fortin. «Il y a un risque parce que les Américains peuvent faire ce qu’ils veulent chez eux», prévient-il.

«C’est grave. Le choix d’aller avec Microsoft Azure n’est pas idéal non plus», regrette le spécialiste en sécurité informatique Éric Parent qui estime que la société d’État «manque de maturité».

Jointe par Le Journal de Montréal, la SQDC a reconnu qu’Imperva a bel et bien toutes les adresses IP des visiteurs de son site.

«Oui, avec Imperva, il y a des enjeux américains, mais les données nominatives ne sont pas hébergées aux États-Unis», s’est défendu son porte-parole Mathieu Gaudreault, ajoutant que le site web de la SQDC et son serveur Microsoft Azure sont hébergés ici.

La SQDC offre la possibilité de créer son compte en ligne ou bien d’acheter ses produits en tant qu’invité «pour procéder avec un peu plus de confidentialité», peut-on lire sur son site.

Risqué

Pierre Trudel, professeur titulaire au Centre de recherche en droit public (CRDP) de la Faculté de droit de l’Université de Montréal.

Les services américains vont-ils consulter les données de la SQDC ?

La question se pose. On ne peut certainement pas l’exclure. Les forces de sécurité ne vont pas révéler ces choses-là. Mais, oui, la possibilité existe. Avec l’imprévisibilité du gouvernement américain actuel, ça crée une inquiétude [...] En plus, dans le nouvel accord américain, ça va encore plus loin. Il y a des clauses qui limiteraient ou interdiraient le droit du Canada d’exiger que l’information soit mise dans des clouds (infonuagiques) canadiens, donc les informations sensibles risquent de se retrouver aux États-Unis.

Négligeable

Stéphane Leman-Langlois, professeur titulaire de la Chaire de recherche du Canada sur la surveillance et la construction sociale du risque.

Les Américains vont-ils faire une banque de données d’acheteurs de pot québécois?

Ça m’apparaît d’un farfelu incroyable. C’est surtout la National Security Agency (NSA) qui fait ça. Mettre sur pied un programme qui le ferait serait vraiment important en matière de ressources. C’est tellement loin des choses qui intéressent la NSA. [...] Avant que la NSA commence à regarder pour la marijuana. On est loin. Par exemple, elle pourrait cibler les pédophiles qui vont sur des sites web, mais elle ne le fait pas, car ce n’est pas dans sa mission.

L’itinéraire des données

En une fraction de seconde, chaque visiteur du site web de la Société québécoise du cannabis (SQDC) fait sans le savoir un voyage éclair aux États-Unis et laisse des traces de sa visite à des multinationales américaines.

1. On clique au Québec sur www.sqdc.ca

Quand on clique sur l’adresse, on ne va pas tout de suite sur le site web de la Société québécoise du cannabis (SQDC). En réalité, la firme québécoise Orkestra, propriété de Mediagrif, qui a fait le site de la société d’État, a choisi de confier la première barrière de sécurité de sa plateforme à la multinationale américaine Imperva. Chaque client passe donc en premier par ce géant américain valorisé à plus de 2,5 milliards $ à la Bourse de New York.

2. On atterrit... en Californie

La société américaine Imperva n’a pas de centres de données au Québec. Elle envoie donc la requête à son serveur le plus près, soit à Vancouver, Toronto ou New York. Chaque fois, le siège social de la compagnie, à Redwood City, en Californie, a accès à l’adresse IP du client. En gros, l’adresse IP permet de connaître la ville de la personne. Les fournisseurs d’accès à internet en savent cependant bien plus. Ils connaissent les noms et adresses des clients et peuvent donc les donner aux agences de renseignements américains, au besoin.

3. On revient quelque part au Canada

Quand Imperva a analysé la requête, elle la renvoie immédiatement vers le site officiel de la SQDC basé au Canada. La société d’État refuse de dire où est situé ce serveur. On sait aussi que l’information et tout ce qui se passe ensuite sur le site de la SQDC, comme la navigation, les achats, etc., sont emmagasinés sur le cloud (l’infonuagique) d’un autre géant américain, Microsoft, qui a des centres de données ici, mais dont le siège social est à Redmond, dans l’État de Washington.

Source: StreamScan, test effectué le 25 octobre 2018

Qu’est-ce que le Cloud Act?

Après le Patriot Act adopté en 2001 à la suite des attentats du 11 septembre sous l’ex-président Georges Bush, et le Freedom Act de l’ex-président Barack Obama en 2015, le Cloud Act adopté au mois de mars dernier en toute discrétion par l’actuel président des États-Unis Donald Trump donne beaucoup de pouvoir aux autorités américaines.

En gros, les services secrets américains ont maintenant un nouvel outil légal pour les aider à accomplir leur travail d’espionnage à l’ère des réseaux informatiques.

Grâce au Cloud Act, ils peuvent maintenant avoir accès aux données des serveurs de grandes firmes américaines aux États-Unis et à leurs filières partout dans le monde après une procédure en justice spéciale.

Le site de la Société québécoise du cannabis (SQDC), qui envoie toutes ses données aux géants Imperva et Microsoft, est donc plus à risque que si elle avait choisi de faire affaire avec des sociétés basées au Québec.