On peut voir sur ces captures d’écrans faites sur le site de la SQDC que les noms complets (nous avons caviardé les noms de famille) apparaissent sur la page pour commander un des produits de cannabis offert.

Des identités révélées au grand jour sur le site de la SQDC

Une brèche informatique sur le site de la Société québécoise du cannabis (SQDC) a mis au grand jour un nombre incalculable d’identités de clients ayant transigé en ligne, mercredi matin, « Jour 1 » de la légalisation du cannabis au Canada.

Le Droit a constaté que plusieurs identités ont été révélées par cette brèche. Certaines identités ont même été reconnues par l’auteur de ces lignes.

C’est un internaute qui a interpellé Le Droit, et la SQDC, sur Twitter, en milieu de journée.

Le lien (www.sqdc.ca/fr-CA/Connexion) a donc révélé des noms et prénoms de clients ayant créé un compte pour acheter du cannabis en ligne.

L’internaute à l’origine de cette alerte, dont le nom de profil est Ben C. sur Twitter, s’est entretenu avec Le Droit par téléphone. Il s’est dit fort inquiet de la situation. « Combien de noms d’acheteurs se sont retrouvés, publics comme cela ? »

À chaque mise à jour de cette même page, un nouveau nom apparaissait dans les cases réservées à cet effet. Les adresses et autres informations personnelles n’y apparaissaient pas.

Peu avant 15 h, la SQDC avait semblé avoir réglé l’imbroglio. La page de connexion au compte demeurait vierge.

« Un de mes collègues a cliqué sur le même lien et a vu passer mon propre nom, a rajouté «Ben C». C’est une société d’État, un site gouvernemental. Quelles sont les autorités qui ont pu voir tous ces noms ? C’est inquiétant. »

Les clients ayant un nom peu commun pouvaient être reconnus rapidement et facilement comme étant un client de la SQDC.

Brèche colmatée

Le porte-parole de la SQDC, Mathieu Gaudreault, a confirmé que la brèche avait été « rapidement » colmatée.

« Effectivement, il y a eu un problème avec la configuration de pages sur un de nos serveurs », a-t-il indiqué. En ‘rafraîchissant’ la page, il était possible qu’un nom apparaisse. Ce fût cependant très limité, et le problème a été rapidement réglé lorsque nous avons été informés de la situation. »

M. Gaudreault a tenu à préciser qu’aucune autre information que des noms n’a été divulguée de cette façon. « Aucune adresse ni numéro de carte de crédit n’a été divulgué. »

Le site de la SQDC est hébergé au Canada. « C’est pour cela qu’on ne craint pas qu’il y ait des informations transférées vers d’autres États. »