Une panne du portail des données ouvertes du Québec soulève des enjeux de réputation et de confiance
Le portail de données ouvertes du gouvernement du Québec n’était plus accessible dimanche, et un message indiquait que le domaine « a expiré ». Bien que cet incident semble être « mineur » selon un expert, il soulève de nombreuses questions.
Dès lors qu’un internaute tentait de consulter le site Internet, il arrivait sur un message de GoDaddy, l’un des plus grands registraires de domaines au monde, indiquant que le domaine « donneesquebec.ca » « a expiré ».
« Ça ressemble à ce qui aurait pu être une erreur de renouvellement de nom ou bien de mauvaise configuration à la suite d’une manipulation quelconque », explique Steve Waterhouse, consultant et conférencier en cybersécurité, en entrevue au Devoir, avant que l’accès au site soit rétabli, vers 15 h 15. « En termes simplifiés, c’est le pointeur qui amène le nom vers la ressource Web arrière qui ne serait pas là, qui serait désactivé ou qui a été changé. »
L’expert précise que le site n’a pas été victime d’une cyberattaque et qu’il « doute fortement que les données aient été effacées ». Il ajoute ne pas savoir d’où venait le problème, évoquant un « problème de gestion » ou encore un « problème administratif ».
Sur le site de donneesquebec.ca, un message laissait penser que n’importe quel internaute pourrait racheter le nom du domaine à 120 $. Mais ce n’est pas le cas, précise M. Waterhouse : il était bien noté que le domaine est « indisponible » et GoDaddy redirigeait même vers d’autres variantes de noms.
Ce portail de données ouvertes a été lancé par Québec en 2016 en collaboration avec plusieurs villes, dont Montréal, Québec, Sherbrooke et Laval. D’autres villes l’ont ensuite intégré, notamment Blainville, Longueuil, Rimouski ou encore Repentigny.
Dans une déclaration transmise au Devoir, Caroline Lemieux, directrice des communications du ministère de la Cybersécurité et du Numérique, a confirmé que le site « est progressivement de retour en ligne » et que « tout devrait être rétabli au courant des prochaines heures ».
« Il s’agit d’un incident de nature administrative, sans incidence sur l’intégrité ni sur la sécurité des données », a affirmé Mme Lemieux, précisant que « le portail ne contient aucune donnée sensible ».
Réputation et anticipation
En fouillant les données du site Web de donneesquebec.ca, M. Waterhouse s’est rendu compte que le certificat de sécurité a été renouvelé dimanche, en plein congé de Pâques, alors que ce type de problème, « on peut l’anticiper ».
« Tous les utilitaires qui existent sur le marché avertissent les administrateurs des semaines, des mois à l’avance », que ce soit pour l’expiration d’un certificat de sécurité et d’un nom de domaine, explique l’expert. Il précise aussi qu’il n’est pas nécessaire d’attendre l’expiration d’un certificat pour activer le nouveau.
Le site Internet du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) rencontre aussi des problèmes dimanche : le certificat de sécurité est arrivé à expiration samedi. Ainsi, lorsqu’un internaute tente de s’y connecter, un message d’avertissement apparaît, car le site est considéré comme « dangereux ».
« Imaginez-vous l’autorité technique, le CRTC, son propre site Web présente une telle posture non sécure qui laisse présager qu’il y en a qui ont oublié de faire leur job », s’étonne M. Waterhouse au bout du fil.
Bien que l’expert qualifie ces incidents de « mineurs », il souligne tout de même que le fait qu’ils surviennent sur des sites gouvernementaux peut venir miner la confiance du public envers ces sites et soulève des enjeux de « réputation ».
« Ce qui m’agace un peu, c’est qu’on se fait dire systématiquement : “Allez travailler avec ces sites-là en ligne”, mais qu’il y a un manque de gestion et de fonctionnalité qui est là », confie-t-il.
