Des données de rendez-vous pour la vaccination contre la COVID-19 des Québécois ont récemment été découvertes sur un portail d'échange non sécurisé entre le site Clic Santé et le ministère de la Santé et des Services sociaux, a appris l’Agence QMI.

C’est un membre de la communauté du Hackfest (un événement annuel de cybersécurité) qui a dévoilé cette brèche le soir du 13 mai sur le serveur Discord de l’organisation, une application servant à communiquer entre internautes intéressés par la cybersécurité et autres sujets connexes.

L’individu à l’origine de cette révélation, qui a demandé à garder l’anonymat, a découvert cette vulnérabilité en explorant le site de Clic Santé. Il a réalisé qu’il était possible de télécharger des documents relatifs aux rendez-vous pour la vaccination contre la COVID-19. Ces documents étaient accessibles sans qu’il ait besoin de s’authentifier.

Nous avons pu nous faire confirmer ces informations par le ministère de la Santé et des Services sociaux (MSSS).

«[U]n fichier contenant certaines informations sur les rendez-vous, dont le numéro d’assurance maladie, a été exceptionnellement mis en circulation par le MSSS auprès des centres de vaccination du Québec», a expliqué Noémie Vanheuverzwijn, porte-parole pour le MSSS.

Ces documents étaient divisés par régions et servaient à «vérifier des doublons qui devaient être annulés», a-t-elle ajouté.

Sur l’un de ces documents dont nous avons obtenu copie, nous avons également noté des dates, heures et lieux de vaccination, en plus de numéros d’assurance maladie. En faisant des recoupements, il serait possible d’identifier certaines personnes.

Ces informations étaient entreposées «sur un environnement collaboratif appartenant au fournisseur utilisé à une fin de consultation pour les centres de vaccination du Québec», a indiqué Mme Vanheuverzwijn.

Le fournisseur, Trimoz Technologies, n’a pas donné suite à nos demandes d’information.

Le ministère aurait rapidement été mis au courant de la situation. Dès le lendemain matin, il n’était plus possible d’accéder aux documents.

Mme Vanheuverzwijn a expliqué qu’«il s’agit d’une erreur humaine, un oubli d’effacer le fichier après le transfert de l’information aux régions». Selon la porte-parole, «aucune autre brèche de sécurité n’a été détectée».

On réitère du côté de Clic Santé que la plateforme est entièrement sécuritaire.

Bien qu’aucun préjudice ne semble avoir été causé par cet incident, le ministère a décidé de modifier sa façon de communiquer avec les centres de vaccination. «Un canal sécurisé sur une plateforme du MSSS et partagé au [réseau de la Santé et des Services sociaux] sur l’infrastructure sécurisée gouvernementale [...] a déjà été mis en place pour assurer un transfert. Dorénavant, tout transfert devra utiliser ce canal même si les données ne sont pas jugées sensibles», a dit la porte-parole.

Suite à cet événement, un cofondateur du Hackfest, Patrick Mathieu, a écrit un message sur la plateforme d’échanges de l’organisme pour «remercier les membres de la communauté pour leur contribution à rendre l’application plus sécuritaire».

Que peut-on découvrir à l’aide d’un numéro d’assurance maladie?

Bien que ces documents ne contenaient pas le nom de la personne ayant pris un rendez-vous, le numéro d’assurance maladie fournit :

- la date de naissance,

- le sexe,

- les trois premières lettres du nom de famille,

- la première lettre du prénom.

En recoupant ces données avec la localisation géographique et de l’information disponible sur les réseaux sociaux, il serait possible d’identifier certains de ces individus.