Le MSSS à l'origine d'une fuite de données du site Clic Santé

RADIO-CANADA / LYNDA PARADIS

Écrit par : Martin Ayotte

Une fuite de données met le ministère de la Santé dans l’embarras. Ce dernier a lui-même mis en circulation des informations compilées sur Clic Santé, dont des numéros d’assurance-maladie, sans s’assurer que le fichier soit sécurisé. L’identité d’aucun citoyen n’a été compromise, jure le ministère. Des experts informatiques déplorent une erreur de débutant.

C’est pour vérifier des doublons qui devaient être annulés que le ministère de la Santé et des Services sociaux a fait circuler un fichier contenant certaines informations sur les rendez-vous, dont le numéro d’assurance-maladie, parmi les centres de vaccination COVID du Québec.

Une fois sorti de l’environnement informatique sécurisé du MSSS, le fichier était facilement consultable, au point où des collaborateurs en sécurité de l'information sont tombés par hasard sur le document en question le 13 mai dernier.

Le MSSS ne précise pas l'ampleur de la brèche, ni le nombre de citoyens affectés par cette fuite de données.

La faille, d’abord rapportée par l’agence QMI, n’a pas causé de préjudice, assure le ministère, qui assure avoir néanmoins revu ses façons de procéder avec les centres de vaccination afin d’éviter qu’une telle situation se reproduise.

<<Dorénavant, tout transfert devra utiliser [un canal sécurisé], même si les données ne sont pas jugées sensibles.
Une citation de :Ministère de la Santé et des Services sociaux>>

Une erreur de débutant

Selon l’expert en sécurité informatique Steve Waterhouse, cette nouvelle brèche illustre la nonchalance des autorités gouvernementales quant à la manipulation des données personnelles des citoyens et des citoyennes.

Ce sont des failles de base, insiste-t-il. Il n’y a pas de contre-vérifications quant aux meilleures pratiques à appliquer sur, dans ce cas-ci, le Clic Santé.

À son avis, le ministère de la Santé n’aurait jamais eu vent de la brèche informatique qu’il avait lui-même ouvert sans l’attention des internautes.

Sans la vigilance de certaines personnes, il y aurait pu avoir, ici, une exploitation malicieuse et encore une fois, ç’aurait causé des torts à la population, aux citoyens.

Une citation de :Steve Waterhouse, expert en sécurité informatique
Le MSSS assure qu’à partir des informations divulguées, il était impossible d’obtenir l’identité d’une personne, son nom ou ses coordonnées.

L'agence QMI, qui a pu consulter un des documents, assure plutôt le contraire : en faisant des recoupements entre les dates et les heures de rendez-vous, les lieux de vaccination et les numéros d'assurance-maladie, il serait possible d'identifier certaines personnes. 

Source : Radio-Canada

Dernière mise-à-jour de l'article : Samedi 22 mai 2021 à 12:11:41

Écrit par : Martin Ayotte