L’annuaire de l’Union des artistes (UDA), accessible au public sur internet, est depuis plus d’un an un véritable panier vide d’informations personnelles.
Publié à 00h51
Mis à jour à 5h00
Derrière les fichiers officiels sur bottin.uda.ca, La presse constaté, d’un simple clic à la portée de tout internaute, que l’on pouvait facilement retrouver l’adresse du domicile, la date de naissance, le courriel et le numéro de téléphone privé de la plupart des quelque 14 000 artistes, comédiens, musiciens, danseurs et artistes québécois qui apparaissent là.
Des recherches ultérieures ont confirmé, à plus d’une centaine de reprises, que ces informations personnelles étaient exactes.
Informée de cette faille tôt mercredi matin, l’UDA a rapidement corrigé le tir. Vers 12h30, La presse a pu confirmer que les informations sensibles n’étaient plus accessibles.
“Je ne prends pas ça à la légère : c’est important, c’est sérieux”, a reconnu Alexandre Curzi, directeur général de l’UDA. Ce qui me rassure, c’est qu’il ne s’agit pas d’informations bancaires. »
Rien n’indique que ces informations aient pu être utilisées à des fins malveillantes, affirme M. Curzi. Il évoque une « erreur humaine » chez la firme chargée de refondre le site à partir de 2022, le Web Shop.
C’est depuis la mise en ligne de cette nouvelle version du site, en avril 2023, que ces informations personnelles sont accessibles.
« Aucune mauvaise intention »
Le président de cette firme informatique fondée à Alma en 2010, Keyven Ferland, assure que des tests de sécurité ont néanmoins été effectués, mais n’a jamais signalé cette erreur.
Essentiellement, a-t-il expliqué, ces informations auraient dû être réservées aux utilisateurs autorisés, et non au grand public. Il n’a fallu que quelques minutes pour réduire l’écart.
“Il n’y a pas de mauvaise intention là-dedans”, assure le président du Web Shop. Au contraire : nous avons toujours eu pour objectif de respecter les normes de sécurité les plus élevées. »
Éric Parent, PDG de la firme Eva Technologies et expert en cybersécurité, a pu consulter la version indiscrète de l’annuaire avant qu’elle ne soit corrigée. Il était abasourdi. «C’est la première fois que je vois quelque chose comme ça. C’est faux à 2000 %, ce n’est pas acceptable, cela n’a rien de normal. »
Mal caché dans le code
Le répertoire UDA contient précisément 13 912 fiches d’artistes, qui peuvent être triées selon un mot-clé à l’aide d’un moteur de recherche. Les dossiers consultables ensuite présentent des informations publiques telles que la photo officielle, l’agence de l’artiste avec les coordonnées du bureau, les spécialités et parfois un curriculum vitae.
CAPTURE D’ÉCRAN LA PRESSE
Le code source d’une page web est l’ensemble des commandes informatiques permettant son affichage dans un navigateur.
Cependant, avant les correctifs, d’autres informations cachées pouvaient facilement être révélées. Il suffisait de demander l’affichage de l’architecture de la page web, son « code source », commande disponible dans n’importe quel navigateur (voir capsule « Qu’est-ce que le code source ? »).
En recherchant par mot clé dans ce code, nous avons retrouvé, sans cryptage, l’email privé de l’artiste, parfois l’adresse de son domicile et son numéro de téléphone. Toutes les cartes comportaient également, dans le code, la date de naissance de l’artiste.
Précision importante, La presse n’a utilisé aucune expertise informatique avancée ni aucune technique de piratage pour trouver ces informations.
C’est Jean-Hugues Roy, professeur de journalisme à l’Université du Québec à Montréal, qui a fait cette découverte. Pour son cours de data journalisme, il a été amené à analyser l’annuaire du Syndicat des Artistes dans le cadre d’un travail d’étudiant. C’est en examinant le code source des fichiers de l’artiste qu’il s’est rendu compte que des informations cachées y figuraient. Ce code source permet souvent d’automatiser la collecte d’informations à partir de sites Internet publics, ce qu’on appelle le « moissonnage ».
« Cela fait 12 ans que je collecte des données, je n’ai jamais vu un cas comme celui-là », explique le professeur Roy. Je consulte certains sites Internet qui donnent beaucoup d’informations, mais je ne m’attendais pas à en avoir autant. La société qui a créé ce site n’aurait jamais dû laisser passer ces informations personnelles en clair. [non cryptées]. »
Loi 25 et sanctions
L’UDA aurait violé les dispositions de la loi 25 relative à la protection des informations personnelles, entrée en vigueur en septembre 2022. Cette loi impose notamment aux organisations d’appliquer « le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée », et elles « doit obtenir un consentement expressément formulé avant d’utiliser des informations personnelles sensibles à des fins autres que celles pour lesquelles elles ont été collectées ».
Ils doivent également informer la Commission d’accès à l’information (CAI) « et les personnes concernées » de tout incident de confidentialité mettant en cause les renseignements personnels qu’ils détiennent.
La loi 25 prévoit une sanction administrative maximale de 10 millions de dollars, soit 2 % du chiffre d’affaires.
Au CAI, nous refusons d’indiquer si un cas comme celui de l’annuaire UDA constituerait une violation de la loi 25. Tout au plus avons-nous accepté de donner des précisions théoriques autour de tels dossiers par email.
« Les informations personnelles sont confidentielles », écrivons-nous. De la collecte à la destruction, les informations personnelles doivent être rigoureusement protégées. »
La CAI, précise-t-on, peut mener des enquêtes à la suite d’une plainte anonyme ou de sa propre initiative.
Qu’est-ce que le code source ?
Le code source est l’ensemble des commandes informatiques qui, lues par un navigateur tel que Safari, Chrome ou Edge, vont permettre l’affichage lisible d’une page web. Le code source indique par exemple le texte, les photos et les hyperliens qui apparaîtront à l’internaute. Tous les navigateurs disposent d’une commande permettant, à partir de ce qui est affiché publiquement, d’accéder à ce code.
Dans le cas de l’annuaire UDA, des tonnes d’informations personnelles y étaient cachées, plus précisément à la ligne 108. On peut retrouver par exemple la date de naissance de l’artiste simplement en recherchant le mot-clé « anniversaire ». En recherchant le caractère @, on peut trouver plusieurs adresses email, la plupart officielles et publiques, mais parfois personnelles.
Tout ce que vous aviez à faire était de rechercher en fonction des indicatifs régionaux comme 514 ou 450 pour trouver le numéro de téléphone personnel de l’artiste. Enfin, plus inquiétant, la recherche de l’expression « street_line » donnait dans la majorité des cas une adresse qui n’était pas celle de l’agence. Vérification faite, sur une vingtaine d’exemplaires, il s’agissait bien de la résidence de l’artiste.
