Le directeur général des élections du Québec, M. Pierre Reid, tient à rassurer la population du Québec : « En aucun temps, notre réseau informatique n’a été victime d’une intrusion; les informations contenues dans la liste électorale ont donc été protégées lors de la période électorale qui a mené aux élections du 1er octobre dernier. »
Un incident survenu le 24 août dernier a donné lieu à des analyses sérieuses et rigoureuses qui permettent de conclure que la tentative d’attaque s’est limitée à un seul ordinateur et qu’aucune atteinte au système informatique d’Élections Québec n’a été possible.
Rappel des faits
L’incident a débuté alors qu’un faux technicien a pris le contrôle à distance de l’ordinateur d’une employée d’un directeur de scrutin en prétextant vouloir la protéger d’un virus.
Lorsqu’il lui a demandé de payer pour ses services, l’employée a compris qu’elle était victime d’une tentative d’hameçonnage et a mis fin à la conversation. Il importe de souligner que la prise de contrôle à distance du poste par le faux technicien s’est terminée au même moment.
L’analyse de nos spécialistes a permis d’établir qu’aucun accès malveillant à notre système informatique n’a eu lieu pendant que l’ordinateur était sous le contrôle du faux technicien. Nous pouvons aussi affirmer qu’aucun accès de ce type n’a eu lieu pendant toute la période électorale. Des mesures de sécurité sont d’ailleurs en vigueur et font en sorte que le contrôle à distance d’un ordinateur ne permet pas automatiquement d’accéder à nos systèmes et aux listes électorales.
Précisions sur la nature des renseignements contenus dans l’ordinateur touché
Aussitôt mises au fait de l’incident, nos équipes ont isolé l’ordinateur en question pour analyse, tant au regard de l’intrusion que du contenu de l’appareil.
De plus, l’analyse du contenu de l’ordinateur, qui avait été copié, dans un souci de protection des renseignements personnels, a été effectuée.
L’ordinateur comprenait des fichiers informatiques qui n’étaient pas liés à nos systèmes et qui contenaient des informations concernant cinquante personnes. Des données nominatives pointues, tels un curriculum vitæ et les adresses personnelles de deux de ces cinquante personnes, s’y trouvaient. Les deux personnes concernées, qui faisaient partie du personnel électoral, ont été avisées de l’incident.
« Bien que nos analyses démontrent que notre système informatique n’a pas été atteint et que les données sensibles s’y trouvant sont demeurées protégées, notre institution demeure soucieuse de la sécurité de l’information, qui est pour nous une priorité. J’ai demandé à mes équipes de revoir chacune des façons de faire afin d’améliorer constamment la gestion des incidents de sécurité et, même, de les prévenir, notamment en réitérant les bonnes pratiques relatives à l’utilisation des ordinateurs », de conclure M. Reid.