L’Association canadienne d’Échec au crime ignore si les informations personnelles des informateurs ont été divulguées, plusieurs mois après un «incident de sécurité» ayant touché un logiciel de premier plan utilisé pour partager des informations anonymes sur des crimes.
Cette fuite de données concernerait également Échec au crime aux États-Unis, où des articles affirment qu’environ 8,3 millions d’enregistrements et des décennies d’informations confidentielles, y compris les données personnelles des personnes ayant fourni des informations anonymes, auraient été compromis par des pirates informatiques.
Ce texte est une traduction d’un article de CTV News.
Ces articles affirment également que les coordonnées personnelles de ceux qui ont envoyé des informations anonymes ont ensuite été mises en vente sur le dark web.
«Nous avons reçu des informations selon lesquelles des personnes envoyaient des informations sur le crime organisé, comme le cartel de Sinaloa. Si vous êtes le cartel de Sinaloa, vous allez vouloir accéder à ces informations (issues de la fuite de données) et c’est précisément ce qui mettra ces informateurs en danger», a rapporté Mailyn Fidler, professeure adjointe de droit à l’université du New Hampshire.
La fuite de données s’est produite chez P3 Global Intel, une plateforme cloud de renseignement et de signalement anonyme qui alimente les programmes Échec au crime. On sait également que les agences gouvernementales et les services de police utilisent ce logiciel.
«Des services de police locaux jusqu’à l’armée américaine (l’utilisent). Cela représente une quantité considérable d’informations et de données centralisées», a précisé Mme Fidler.
CTV News a sollicité un entretien avec David Forster, président de l’Association canadienne d’Échec au crime.
Par courriel, M. Forster a indiqué qu’il «avait connaissance d’un incident de sécurité lié au logiciel P3». Nous n’avons pour l’instant connaissance d’aucune répercussion spécifique sur les programmes Échec au crime au Canada suite à cet incident, mais nous continuerons à travailler avec nos partenaires et nos spécialistes pour veiller à ce qu’une enquête soit menée et à ce que nous respections nos obligations réglementaires comme il se doit.»
Aux États-Unis, le service de police de Portland, dans l’Oregon, a encouragé les habitants «à s’abstenir temporairement de transmettre des informations via la plateforme Échec au crime».
Au Canada, il ne semble pas qu’un service de police ait publié un avis public similaire, recommandant au public de s’abstenir de transmettre des informations à Échec au crime.
Divers médias spécialisés dans les technologies ont rapporté cette faille le 18 mars, et la police de Toronto a eu connaissance de ces allégations le jour même.
Au Canada, Échec au crime utilise toujours la plateforme P3 Global Intel pour recueillir des informations anonymes.
Les autorités informées à plusieurs semaines d’intervalle
Plusieurs corps policiers à travers le Canada, qui travaillent en étroite collaboration avec Échec au crime sans y être directement affiliés, ont indiqué à CTV News que l’organisme géré par des civils les avait bien alertés de cet incident de cybersécurité.
Cependant, les services de police de Vancouver, Toronto et Calgary affirment chacun avoir été informés de la cyberattaque présumée par Échec au crime à plusieurs mois d’intervalle.
Un agent de police de Vancouver a déclaré à CTV News qu’ils «avaient été informés de la fuite de données en mai, mais qu’aucun détail n’avait été divulgué».
La police de Toronto a déclaré à CTV News que «Toronto Crime Stoppers (TCS) a immédiatement informé le Service de police de Toronto lorsque les allégations de violation ont été rendues publiques le 18 mars. «TCS a tenu les policiers informés de tous les développements au fur et à mesure que les informations étaient fournies par Navigate360/P3. À l’heure actuelle, il n’a pas été confirmé si des informations relatives aux informateurs anonymes de Toronto Crime Stoppers ont été compromises dans le cadre de cet incident.»
Le service des relations publiques de la police de Calgary a écrit à CTV News pour indiquer qu’il avait été alerté en avril «d’un incident de cybersécurité impliquant un prestataire de services tiers d’Échec au crime. À l’heure actuelle, rien n’indique que les données relatives aux signalements de Calgary aient été compromises.»
Mercredi, le service de police de Hamilton a publié un communiqué de presse indiquant qu’il avait été «informé d’une faille de sécurité chez Échec au crime».
Cependant, un cabinet d’avocats de Seattle affirme qu’un de ses clients, qui avait précédemment fourni un signalement anonyme à Échec au crime aux États-Unis, a appris que ses informations personnelles se trouvaient en ligne et étaient facilement accessibles sur le dark web, après qu’un journaliste américain eut trouvé ses coordonnées, l’eut contacté et l’eut alerté que ses coordonnées personnelles étaient en ligne.
«Nous avons un client qui a transmis un signalement (anonyme) concernant une affaire criminelle très médiatisée aux États-Unis, et un journaliste l’a contacté en disposant des détails du signalement qu’il avait fait dans cette affaire ; nous savons donc qu’il existe des personnes dont les signalements peuvent être trouvés sur le dark web», a expliqué l’avocat Thomas E. Loeser, qui est également avocat-conseil chez Cotchett, Pitre and McCarthy LLP.
Atteinte à la confiance du public
Me Loeser fait valoir que le fait que des informations personnelles aient prétendument été divulguées, collectées et insuffisamment sécurisées par P3 Global Intel, ainsi que par sa société mère Navigate360, constitue une atteinte grave à la confiance du public.
«Cela risque de faire sérieusement hésiter les gens à signaler un fait s’ils ne peuvent pas être sûrs que leur signalement et leur identité resteront confidentiels», a ajouté l’avocat. «Le problème ici est que cette entreprise aurait dû, si elle devait absolument collecter ces données, protéger l’identité des personnes d’une manière différente.»
Le professeur Fidler estime que le fait qu’Échec au crime au Canada n’ait pas confirmé, après trois mois, si les signalements anonymes et les données personnelles de membres du public ont fait l’objet de fuites et ont potentiellement été vendus sur le dark web est extrêmement préoccupant.
«La vie de certaines personnes pourrait être en danger, selon les détails du crime que vous avez signalé», a-t-il indiqué ajoutant que toute «violation de cette confiance, de la promesse d’anonymat qui n’est finalement pas respectée, constitue un obstacle fondamental pour les personnes qui cherchent à signaler des crimes».
L’avocat Thomas E. Loeser a lancé un recours collectif aux États-Unis contre Navigate360, la société mère de P3 Global Intel.
La demande d’entrevue adressée par CTV News à Navigate360 a été refusée. Dans un courriel, un porte-parole a fait savoir que l’entreprise était «dans l’impossibilité de participer à une entrevue, car cette affaire fait l’objet d’une enquête pénale en cours».
