Vulnérabilité informatique au CSSRS par un outil de collaboration en ligne
Les 24 et 28 septembre derniers, un parent d’un élève a informé le secrétariat de son école que le compte Office 365 de son enfant permettait des accès non légitimes à certaines autres équipes Teams, compromettant ainsi des fichiers avec des données nominatives et des renseignements personnels.
La situation a rapidement été analysée et corrigée par le Service des technologies de l’information (STI) du CSSRS. Après enquête, il apparaît que la méconnaissance de membres du personnel propriétaires de certaines équipes TEAMS soit à l’origine de cette vulnérabilité. Les comptes problématiques étaient en mode « public » et donc accessibles à l’ensemble de l’organisation (employés et élèves) plutôt qu’en mode « privé », où seuls les membres de l’équipe ont accès aux fichiers.
Voici un résumé de la problématique :
- 65 fichiers sensibles en cause;
- 46 équipes TEAMS identifiées;
- 77 élèves ayant eu accès à certains de ces fichiers;
- 71 membres du personnel ayant également eu accès à ces fichiers, fort probablement d’une manière légitime dans le cadre de leurs fonctions;
- l’incident a rapidement été rapporté aux autorités en la matière.*
Les quelques personnes victimes de la compromission de données plus sensibles ont été prévenues de la situation de même que les propriétaires de comptes en question.
« Il importe de savoir que les opérations pour sécuriser cette vulnérabilité ont été effectuées. Le personnel a été informé de la situation ce matin. Nous sommes tous invités à demeurer vigilants afin de nous assurer de la création d’équipe Teams en mode privé. Nous devons également éviter d’y déposer des documents sensibles contenant des données nominatives confidentielles », signale Donald Landry, responsable de la sécurité de l’information (RSI), secrétaire général et directeur du Service des communications du CSSRS.
Le CSSRS comprend à ce jour 6 292 comptes d’employés et 24 567 élèves avec des comptes Office 365. Ces utilisateurs collaborent dans 22 962 équipes de partage Teams et 4 145 groupes de partage Office 365 de cet écosystème infonuagique très utilisé dans les organismes publics et dans les grandes entreprises.
* Équipes gouvernementales de sécurité de l’information : COCD du MEQ et du MES: Centre opérationnel de cyberdéfense des ministères de l'Éducation et de l'Enseignement supérieur CGCD : Centre gouvernemental de cyberdéfense du Secrétariat du Conseil du trésor CAI : Commission d’accès à l’information du Québec Cert/AQ : Computer Emergency Response Team / Administration québécoise du ministère de la Sécurité publique