Le Gouvernement du Québec a récemment dû faire face à des incidents pour le moins embarrassants impliquant sa présence sur le web.
Le 14 avril dernier, le message Twitter quotidien du ministère de la Santé et des services sociaux sur le statut de la COVID-19 comportait un lien vers une vidéo du site Pornhub, au lieu de l’habituelle page de statistiques sur la pandémie.
Le ministère a réagi une quarantaine de minutes plus tard en remplaçant le message par un autre contenant le bon lien. Un message subséquent expliquait simplement qu’« en raison d’une situation hors de notre contrôle, un lien avec du contenu inapproprié a été publié sur notre compte Twitter. Nous en cherchons les causes. Nous sommes désolés des inconvénients ».
Selon Sev Obarian, fondateur et conseiller principal chez SecurPro, une firme de consultation en sécurité de l’information, il s’agirait probablement d’une erreur humaine. « La personne en charge du compte Twitter avait probablement déjà le lien Pornhub dans son presse-papiers. Elle aurait ensuite copié le lien à insérer dans le gazouillis mais la manœuvre aurait échoué. Elle aurait ensuite par mégarde collé le lien qui se trouvait préalablement dans son presse-papiers », suggère-t-il.
Toujours selon lui, la recommandation pour éviter de tels incidents et de minimiser l’utilisation à des fins personnelles d’un ordinateur dont on se sert pour publier du contenu. « Cette fois-ci, ce n’était qu’une erreur embarrassante mais dans des cas plus graves, l’utilisation personnelle aurait pu engendrer une prise de contrôle de l’appareil par un pirate qui aurait pu par la suite utiliser les informations de connexion stockées sur celui-ci pour rediriger les utilisateurs vers des site malicieux, ce qui aurait eu de bien pires conséquences. »
Quatre jours plus tard, un incident similaire se produisait alors qu’un lien sur le site web du ministère des Transports devant fournir des informations sur l’état des travaux de réfection du tunnel Louis-Hyppolite-Lafontaine renvoyait plutôt vers un site de vente de Viagra et d’autres médicaments. La situation a duré moins d’une heure et, encore une fois, aucun explication n’a été fournie par le ministère.
Au sujet de ce second incident, Sev Obarian croit qu’il pourrait s’agir d’un problème de configuration du DNS (le mécanisme qui associe les noms de domaine aux adresses IP). « On ne sait pas s’il s’agit d’une erreur ou d’une action malicieuse mais si c’est une erreur, elle est assez importante. Et s’il s’agit d’un acte malveillant, une enquête approfondie sur ses causes serait nécessaire. » Ici encore, il insiste sur l’importance de minimiser l’utilisation personnelle d’un ordinateur destiné au travail, ce qui pourrait le rendre plus vulnérable à une prise de contrôle par un pirate informatique.
Lire aussi :
Bris de la confidentialité de renseignements personnels de candidats à Québec
Technologies et cybersécurité au budget du Québec
BAnQ crée un Bureau d’expertise en gestion de l’information gouvernementale
