/news/politics

Le gouvernement à risque sur le dark web

Jérémy Bernier | Le Journal de Québec

PHOTO STEVENS LEBLANC

En seulement soixante minutes, plus de 67 000 courriels et mots de passe affiliés à des instances gouvernementales québécoises ont pu être repérés sur le dark web.

À l’heure où plusieurs entreprises voient leurs données compromises par des fuites virtuelles, ce pourrait être bientôt le tour du gouvernement québécois d’en être victime.

C’est ce qu’a annoncé le journaliste français et spécialiste en cyber intelligence, Damien Bancal, lors d’une conférence tenue pour la 11e édition du Hackfest à Québec ce week-end.

« Je me suis chronométré. En seulement une heure, je suis parvenu à trouver 110 000 courriels qui utilisaient des terminaisons comme gouv.qc.ca, assnat.qc.ca ou encore judex.qc.ca circulant sur le dark web. De ce nombre, 67 000 étaient associés à des mots de passe. »

« Du suicide »

En analysant au hasard 1111 de ces comptes, M. Bancal a fait des découvertes assez surprenantes. Plus de 50 % n’utilisaient que des lettres ou des chiffres pour protéger leur compte. Certains individus ont même inscrit leur numéro de carte bancaire en guise de mots de passe.

En fait, seulement 3 % de tous les courriels étaient sécurisés adéquatement, avec des lettres minuscules et majuscules, des chiffres et des symboles. Un constat alarmant, considérant que certains de ces comptes ont permis d’accéder à des sites pornographiques.

« Mettre ses informations professionnelles sur internet pour une utilisation personnelle, c’est du vrai suicide », a-t-il lancé.

Facilement accessibles

Une fois ces données obtenues, les pirates testent les combinaisons dans le top 500, une liste des 500 sites web les plus utilisés à travers le monde. Lorsqu’ils réussissent à accéder à l’un de ces sites, ils revendent la combinaison sur le marché noir dans des « forfaits » qui peuvent en compter des centaines de milliers d’autres.

Et même si ces informations ne permettent pas toujours d’accéder directement à des données sensibles pour un individu, il y a souvent une possibilité d’obtenir plus de renseignements à partir des informations initiales.

« Admettons que tu as un Gmail. Tu y as mis ton nom et ton prénom et peut-être ton entreprise. Pour te rappeler ton mot de passe, tu as mis ton numéro de cellulaire et un courriel de rappel. Déjà là, j’ai beaucoup d’infos qui me permettront ensuite d’aller en chercher d’autres sur tes réseaux sociaux », a expliqué M. Bencal au Journal.

« Les gens n’imaginent pas à quel point on peut accéder à énormément d’informations sensibles à partir d’un simple courriel et d’un mot de passe », a-t-il ajouté.

Pour l’heure, le spécialiste n’est toujours pas parvenu à contacter les personnes ciblées par ces fuites au Gouvernement du Québec. Il espère avoir attiré leur attention lors de sa conférence pour alerter les autorités compétentes.