Comments (1)

Par Jean-Philippe Décarie-Mathieu, 21 février 2012 15 h 40 min

Aujourd’hui, la juge France Charbonneau dévoilait le site web de la commission qui porte son nom et qui enquêtera sur les allégations de corruption au sein de l’industrie de la construction au Québec. Ce faisant, la juge fait appel au public pour lui envoyer sources et informations qui pourraient être utiles à la commission:

Puisque cette Commission d’enquête a été créée, en grande partie suite à vos demandes, nous croyons utile et essentiel de vous permettre, à vous aussi, membres du public, de contribuer à nos travaux. Vous pouvez le faire en nous écrivant à notre adresse courriel « info@ceic.gouv.qc.ca » ou encore en composant le 1-855-333-CEIC (2342).

Déjà, plusieurs questions relatives à la sécurité du site ainsi que de l’intégrité des informations qui seront reçues et stockés sur ceic.gouv.qc.ca ont été relevées, notamment par Luc Lefebvre de QuébecLeaks:

En entrevue à Radio-Canada.ca, le cofondateur de QuébecLeaks Luc Lefebvre constate d’abord que le site de la commission n’a pas de certificat numérique (SSL) qui crypte l’information qui y transite. « Le gouvernement du Québec peut avoir des certificats SSL gouvernementaux qui peuvent assurer le cryptage de l’information soumise dans les formulaires. Ils ne l’ont pas fait », déplore-t-il.

M. Lefebvre souligne également que le site utilise Google Analytics, qui compile les statistiques des visites du site. « Cela signifie qu’un visiteur est tracké dès le début de sa visite sur le site et qu’il est donc possible de tout savoir sur tout le monde qui vient sur le site, ainsi que ceux qui soumettent  de l’information », explique-t-il.

Ces informations risqueraient donc d’être exposées dans l’éventualité d’un piratage du site.  Il ne s’agit pas de failles à proprement parler, précise Luc Lefebvre, mais de problèmes de sécurité qui sent l’amateurisme. « Un site sérieux aurait : un certificat SSL gouvernemental, zéro outil de tracking, et n’utiliserait pas un formulaire de soumission en ligne », estime le fondateur de QuébecLeaks.

À ces très bonnes observations de Luc Lefebvre, je rajouterai ceci: quels moyens sont utilisés pour sécuriser les informations requises sur le serveur de la Commission Charbonneau? Un certificat SSL en bonne et due forme va sécuriser le conduit de transfert entre un possible lanceur d’alerte (whistleblower) et la commission mais ne va pas protéger les-dites informations une fois que celles-ci seront stockés physiquement sur les ordinateurs. Si le serveur est compromis par des pirates pour des desseins malicieux, comment la Commission peut-elle assurer que les whistleblowers ne seront pas retracés et, potentiellement, poursuivis? De plus, peut-on réellement faire confiance au site de la commission, puisque celui-ci est hébergé sur des serveurs appartenant au gouvernement du Québec, le même gouvernement étant au cœur des allégations de corruption?

Sans grande surprise, l'adresse IP du site de la Commission Charbonneau appartient au gouvernement du Québec

Demanderiez-vous à un loup de protéger un poulailler? La CEIC utilisera-t-elle une forme de cryptage à clé publique pour le transport de documents? Pourrons-nous nous connecter à un réseau chiffré pour les communications, comme TOR ou à un serveur SILC?

Du côté de la Commission, on reste très, très vague sur la viande dans ce sandwich technique:

De son côté, Richard Bourdon, directeur des communications de la commission, dit avoir reçu l’assurance que le site était tout à fait sécuritaire. Au moment d’écrire ces lignes, nous attendions davantage de détails de sa part sur la sécurité du site.

La protection des sources dans ce genre de cas est absolument critique pour les lanceurs d’alertes. Rappelez-vous du cas de Bradley Manning dans la foulée des Afghan War Diaries… Pour le moment, il serait plus infiniment plus sécuritaire pour les potentiels lanceurs d’alertes d’utiliser plutôt l’infrastructure de QuébecLeaks directement pour la gestion de documents potentiellement sensibles.