/finance/homepage

Des données sensibles d’Élections Québec hébergées par Amazon

Francis Halin | Journal de Montréal

Élections Québec joue avec le feu en confiant les données de son site web à la firme Evollia qui les héberge sur des serveurs d’Amazon, estiment des experts consultés par Le Journal.

«C’est du pur délire. Au lieu de choisir notre tuyauterie au Québec, on va aux États-Unis pour les enrichir. Pour des données aussi sensibles que les élections, c’est pathétique», s’inquiète Paul Laurier, ex-enquêteur à la Sûreté du Québec (SQ), formé par le Federal Bureau of Investigation (FBI).

Au moment où les entreprises américaines courent le risque d’être espionnées par leurs services secrets avec le Cloud Act, Le Journal a appris que des données électorales ultrasensibles du Québec sont hébergées... sur les serveurs d’Amazon.

Noms, prénoms, dates de naissance et adresses des Québécois qui vont vérifier leur inscription à la liste électorale d’Élections Québec en ligne se retrouvent sur les serveurs de Jeff Bezos.

«[N]ous utilisons l’infonuagique pour notre site web, par lequel il est possible de vérifier son inscription à la liste électorale en ligne. Ce cloud est hébergé au Canada, par une compagnie américaine», a confirmé la porte-parole d’Élections Québec, Stéphanie Isabel, insistant pour dire que ces données sont «encryptées».

Au total, 50 000$ de contrats ont été octroyés de gré à gré en 2017 à la firme de services-conseils Evollia qui héberge son site sur les serveurs d’Amazon.

«Risque inutile»

«C’est un choix bizarre. Il y a des solutions sécurisées à 100% chez nous. C’est un risque inutile», déplore l’expert en sécurité et PDG de SNAPI Guard, Michael Tememe.

Pour Vincent Gautrais, titulaire de la Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique, il en va de la confiance envers les élections: «Cette confiance-là, on peut la bâtir en hébergeant les données sur notre territoire», plaide-t-il.

«Si j’avais été Élections Québec, je me serais assuré que ça soit conservé en territoire québécois sur des serveurs locaux, avec un doublon peut-être ailleurs, parce que c’est le processus démocratique qui est en jeu», va jusqu’à dire le professeur agrégé à l’École de politique appliquée à l’Université de Sherbrooke, Hugo Loiseau.

Conspirationnisme

Joint par Le Journal, le PDG d’Evollia, Nicolas Roberge, s’est défendu en disant que le fait que les données soient hébergées par une compagnie américaine n’augmente pas le risque d’être surveillé par leurs agences de renseignements.

«On est proche du conspirationnisme. C’est ça l’affaire. C’est très populaire. Ça accroche. Il y a plein de monde qui a peur de tout», a-t-il dit pour balayer ces critiques.

Selon lui, il y a déjà un partage d’informations entre les États-Unis et le Canada. «Même si le centre de données est au Canada, ça ne garantit absolument rien de plus», a-t-il conclu.

– Avec la collaboration de Marie-Christine Trottier

ÉRIC CAIRE ACCUSÉ DE MINIMISER LE RISQUE DE SURVEILLANCE AMÉRICAINE

Le ministre de la Transformation numérique, Éric Caire, a tort de croire que les services secrets américains ne pourront pas surveiller les données des Québécois stockées ici, estiment des spécialistes en sécurité.

«Je ne suis pas du même avis qu’Éric Caire. Rien ne garantit que les données seront toujours au Canada, même si les centres de données sont localisés au pays», craint le PDG de StreamScan, Karim Ganame, qui rappelle qu’une fois aux États-Unis les agences peuvent avoir les mains longues avec le Cloud Act.

La semaine dernière, le gouvernement Legault a dit qu’il pourrait confier plus de 80% des données des Québécois au privé pour économiser 100 M$ par année. Pour rassurer la population, le ministre de la Transformation numérique, Éric Caire, a rappelé que le Cloud Act visait seulement les Américains et qu’il garderait les données québécoises sur des serveurs au pays pour les protéger.

Toujours risqué

Ces arguments ont fait bondir l’expert en sécurité Éric Parent.

«Le risque demeure là à 100%», insiste-t-il. Selon lui, le fait de confier nos données à une société étrangère nous rend au contraire plus vulnérables.

«Quand les politiciens [américains] vont changer d’idée et partager les données... on fait quoi?» se demande le PDG d’EVA Technologies.

De son côté, Karim Ganame dit qu’une entreprise américaine avec un centre de données au Canada ne se gênera pas pour rediriger le trafic aux États-Unis en cas de problème.

«En cas de panne importante, les fournisseurs Cloud peuvent aussi déplacer des serveurs sur un autre site pour minimiser les délais d’interruption (sans même informer le client dans certains cas)», analyse-t-il.

Jointe par Le Journal, Amazon, qui multiplie ses activités de lobbyisme pour avoir les contrats d’hébergement de données du gouvernement, a voulu se montrer rassurante.

«Nous ne divulguons pas les renseignements des clients, sauf obligation de le faire, conformément à une ordonnance juridiquement valable et contraignante, comme une assignation à comparaître ou une décision judiciaire», a déclaré sa porte-parole Candi Jeronimo.

ITINÉRAIRE DES DONNÉES DU SITE WEB D’ÉLECTIONS QUÉBEC

Chaque fois qu’un électeur québécois va sur le site d’Élections Québec, il laisse des traces de son passage au géant américain Amazon, qui peut être forcé de fournir ces informations aux agences américaines, comme la National Security Agency (NSA).

1. On clique sur electionsquebec.qc.ca

Quand on clique sur l’adresse, le site d’Élections Québec de la firme Evollia apparaît à l’écran. On se retrouve aussitôt sur l’infonuagique, le « cloud », comme on l’appelle, qui appartient à la multinationale américaine Amazon.

2. On va sur les serveurs d’Amazon

Même si Élections Québec assure que les serveurs d’Amazon sont hébergés « au Canada, par une compagnie américaine », des tests effectués démontrent que les requêtes des Québécois peuvent aboutir sur des serveurs d’Amazon aux États-Unis.

3. On revient chez soi

En une seconde, la requête est donc passée par le géant Amazon avant d’apparaître à l’écran. Que l’information ait transité par ses serveurs canadiens ou américains, le résultat est le même : les données sensibles des Québécois sont allées sur Amazon.