Démission-Alfred-Pilon(LOJIQ)

REF:  Article du Journal de Montréal - Pour avoir aidé le gouvernement provincial à mieux protéger ses systèmes informatiques, un jeune Québécois se retrouve devant les tribunaux avec une accusation criminelle de piratage.

Monsieur Alfred Pilon,

Considérant les vulnérabilités de sécurité qui ont exposé les dossiers de citoyens canadiens gérés par l'entité gouvernementale sous votre gouverne (LOJIQ), nous exigeons votre démission pour manquement professionnel, soit…

1- La mauvaise gestion dincidents de sécurité ayant affecté une entité qui recueille des données hautement confidentielles sur des citoyens.

2- La déclaration au public et aux médias à l’effet :

- qu’aucune information sensible n’était accessible de l’extérieur, ce qui n’était pas le cas.

- que les vulnérabilités ayant affecté les systèmes informatiques sous votre responsabilité n’étaient plus exploitables, alors qu’elles l’ont été durant une période d’environ un an.

3- Les tentatives de dissimulation des faits ainsi que d’intimidation des individus qui vous ont communiqué ces faits.

4- La violation délibérée des lois canadiennes et québécoises applicables à la protection de la vie privée.

Nous demandons également…

- Que la LOJIQ cesse immédiatement ses démarches juridiques destinées à accuser criminellement le bon samaritain qui a informé à plusieurs reprises cet organisme du problème de sécurité qui l’affectait.

- Que le Commissaire à la vie privée du Canada ouvre une enquête sur ce dossier.

- Aux gouvernements de modifier les lois pertinentes afin de protéger la divulgation responsable de vulnérabilités technologiques.

 

ARTICLE DU JOURNAL DE MONTRÉAL


http://www.journaldemontreal.com/2014/06/15/il-aide-le-gouvernement--et-se-fait-accuser-au-criminel

Pour avoir aidé le gouvernement provincial à mieux protéger ses systèmes informatiques, un jeune Québécois se retrouve devant les tribunaux avec une accusation criminelle de piratage.

- L’accusation criminelle de notre source doit relancer le débat sur le manque de protection des dénonciateurs au Québec, jugent plusieurs spécialistes en sécurité informatique, ajoutant que les sonneurs d’alarme dans le domaine sont plus que jamais essentiels.

L’accusé, un universitaire sans le moindre antécédent judiciaire, a été une source confidentielle de notre Bureau d’enquête.

En avril, il a mis au grand jour une faille informatique qui a exposé des milliers de renseignements confidentiels de Québécois, dont les siens. Sa découverte a fait l’objet d’un reportage dans nos pages. L’individu, qui dit n’avoir eu aucune intention criminelle, a enfreint le Code criminel en découvrant cette faille, veut prouver la Couronne.

C’est la première fois que la justice au Québec s’en prend à un sonneur d’alarme dans le domaine informatique, regrettent plusieurs avocats et spécialistes en cybersécurité, scandalisés par l’affaire.

«Le message de l’État est clair: si vous découvrez une faille informatique, mieux vaut vous taire. Ça incite les gens à aller vendre les informations au marché noir», peste Éric Parent, enseignant en sécurité informatique à l’École polytechnique et président d’une entreprise dans ce domaine.
L’accusé a plaidé non coupable la semaine dernière. La loi prévoit une peine maximale de 10 ans d’emprisonnement pour ce type d’accusation, soit l’utilisation non autorisée des services d’un ordinateur.

Faille à LOJIQ

La brèche de sécurité concernait le portail web des Offices jeunesse internationaux du Québec (LOJIQ), un organisme gouvernemental.


Notre source, qui n’est pas un spécialiste informatique, avait découvert la faille par hasard. Préoccupée par les risques de fraudes, elle a avisé l’organisme à deux reprises, mais a constaté quelques mois plus tard que la brèche n’avait pas été corrigée. Consternée, c’est alors qu’elle a contacté notre Bureau d’enquête.

Le lendemain de notre reportage en avril, LOJIQ a publié un communiqué sans admettre qu’il s’agissait d’une faille sérieuse. L’organisme a plutôt critiqué notre reportage et expliquait que le problème était réglé depuis des mois, ce qui était faux. LOJIQ stipulait aussi qu’aucun passeport n’aurait pu être exposé.

Plainte à la SQ

Notre Bureau d’enquête s’est ensuite présenté avec la preuve caviardée d’un passeport exposé. Surpris, l’organisme n’a pas voulu commenter et a fermé son portail quelques heures plus tard. Il n’a pas été rouvert depuis.
Pour prouver sa bonne foi, notre source avait effectué une déclaration assermentée assurant qu’il ne s’était pas servi des renseignements à des fins illégales.

LOJIQ a aussi été contacté avant notre publication pour s’assurer que la faille ne soit plus accessible.

Peu de temps après le reportage, LOJIQ a porté plainte à la Sûreté du Québec contre le jeune homme.

Dirigé par Alfred Pilon, LOJIQ chapeaute les échanges et projets étudiants de Québécois. M. Pilon a pris les commandes de l’organisme au moment de l’arrivée au pouvoir du Parti libéral du Québec en 2003. Il était auparavant chef de cabinet de Jean Charest et directeur régional du conseil de l’unité canadienne. Il a notamment fait les manchettes à l’époque du scandale des commandites lorsque son nom a été associé à Option Canada, le mystérieux et controversé organisme fédéral ayant participé au financement du camp du non au dernier référendum.

La poursuite contre le sonneur d’alarme n’est pas seulement contestée par les spécialistes en sécurité informatique. Le premier procureur de la Couronne qui s’est retrouvé avec le dossier a refusé de porter des accusations, a-t-on appris.

Il ne voyait pas comment prouver une quelconque intention criminelle. Le dossier a été transféré à un autre procureur qui a décidé de porter une accusation.

Selon les tribunaux et la loi, la Couronne devra prouver que l’individu a eu l’intention d’agir «frauduleusement, malhonnêtement et de façon moralement mauvaise».

«On se retrouve devant quelqu’un qui veut protéger les Québécois et la réponse de l’État, c’est une plainte à la SQ (...) Il faudra que la loi soit plus claire pour être certain qu’un sonneur d’alarme ne soit pas poursuivi. Au contraire, il doit être félicité», explique Marc-Antoine Cloutier, directeur général du regroupement Juripop, qui représente l’accusé.

Dans son rapport de 2014, l’ACFE, une association mondiale d’inspection de la fraude, a d’ailleurs établi que plus de 40% des malversations sont détectées grâce aux sonneurs d’alarmes.

«Absurde»
«S’il avait une mauvaise intention, il se serait caché. C’est absurde, déplore Éric Parent, spécialiste en cybersécurité. C’est comme passer à côté de votre banque et vous voyez que la porte est grande ouverte. Vous voulez la fermer et vous êtes accusés de fraude.»

René Vergé, avocat réputé dans le domaine, juge qu’il existe un vague juridique qui ne contribue pas à protéger les sonneurs d’alarme. L’affaire doit être dénoncée avec vigueur, selon lui. «Quand vous voulez vous assurer que vos renseignements sont bien protégés, vous faites quoi si vous risquez chaque fois d’être accusé de fraude?».

Le patron de l’accusé, Richard Perron, aussi président du Syndicat des professionnels du gouvernement du Québec, est venu à la défense de notre source.

«C’est un cas typique d’organisation qui lorsqu’il lui est révélé quelque chose de répréhensible, essaie de protéger son image en tentant d’écraser l’auteur de la divulgation au lieu de régler le problème».