Déclaration d’urgence informatique

Depuis plusieurs semaines le site internet de Chertsey fonctionne très mal, il a été piraté et le webmaster en a perdu le contrôle mais les autorités ne jugent pas nécessaire d’interrompre le service. Chez Desjardins c’est toute la base de données des clients qui a été piratée d’un coup. Pendant ce temps Facebook n’est condamné qu’à 5 milliards d’amende pour tricherie et menterie, le marché boursier réagit très bien et l’action monte.

Le site internet de Chertsey

Lire la mise à jour à la fin de l’article pour le piratage du site.

Il y a 2 ans je m’étais amusé à faire une analyse du site internet de Chertsey construit avec WordPress, le même logiciel que pour ce site. À l’époque l’outil d’analyse de base Google PageSpeed Insight lui donnait une note très faible de 18 sur 100. Aujourd’hui la note est tombée à 1 sur 100: analyse du site par Google

Analyse du site 1 sur 100
Analyse du site 1 sur 100

En fait le site semble hors de contrôle puisque le webmaster n’est pas capable d’afficher l’ordre du jour de la séance du conseil du 15 juillet ou les documents des dernières consultations publiques. L’affichage des pages et des menus est erratique et plusieurs liens sont invalides.

Le site d’une municipalité c’est pas juste pour le « fun », c’est un document légal où certains avis doivent être affichés.

Bug informatique
Bug informatique

Lors de mon analyse du site j’avais pu constater que des opérations informatiques très basiques comme la gestion des dossiers, l’utilisation d’images brutes (sans qu’elles soient éditées pour le web) ou l’absence de standardisation dans le nommage des fichiers démontraient une conception totalement « amateure ». Les erreurs n’ont pas été corrigées et le système a atteint ses limites: il vaudrait mieux tout recommencer à 0.

Pour afficher une page de ce site il faut que le système fasse 30 requêtes au serveur (assembler 30 fichiers); Google me signale que c’est trop. Pour afficher une page du site de Chertsey il faut charger 170 fichiers… En informatique c’est très compliqué de revenir en arrière pour corriger un système, d’où l’importance de bien commencer en sachant où on s’en va. Le site internet d’une municipalité devrait être conçu dès le départ pour pouvoir évoluer et durer longtemps.

En retournant sur le site le lendemain je vois que le webmaster a fait des corrections (le lien pour l’ordre du jour fonctionne mais l’assemblée est déjà passée). On est passé à 171 requêtes.

Le site internet est l’aspect visible du système informatique de Chertsey. Il y a donc de quoi être inquiet quant à la gestion du « backend », c’est–à-dire les données confidentielles des citoyens de Chertsey. Beaucoup de villes se sont déjà fait pirater et rançonner. L’informatique ce n’est pas une farce.

Desjardins piraté, Facebook condamné

Tout à coup avec le piratage des données de Desjardins qui touche presque tous les québécois les gens réalisent que l’informatique ce n’est plus une farce justement. Beaucoup de bases de données ayant déjà été piratées on aurait pu espérer qu’une banque avait adopté des mesures très sécuritaires pour qu’un seul employé ne puisse pas tout voler d’un coup. Et bien non: le danger est partout et les pirates auront toujours une longueur d’avance.

Desjardins: restez zen
Desjardins: restez zen

Ce n’est pas aussi grave que l’urgence climatique mais presque. Il y a urgence à étudier l’informatique pour survivre. Un téléphone intelligent est un outil tellement puissant qu’il faut apprendre très sérieusement à s’en servir et connaître les risques de son utilisation; ce n’est pas un jouet.

Et Facebook c’est risqué, il vaut mieux être un expert pour s’en servir sécuritairement, tout est fait pour nous tromper. Ce sont des bandits, ils mentent, ils trichent, partout dans le monde ils sont condamnés par les cours de justice. Mais aucun problème pour eux: l’annonce de la dernière amende (5 milliards quand même) a fait monter le cours de l’action, on s’attendait à pire.

Morale: passer sa journée connecté à un site internet opéré par des bandits ne dérange plus personne, les gouvernements pas plus que les autres, c’est cool et on est vraiment ringard quand on critique.

Ça c’est une vraie farce!

Conseils d’un webmaster

Je suis bien placé pour connaître la complexité d’un site internet. Sa gestion demande beaucoup de temps et de rigueur, c’est un travail à plein temps demandant des compétences très diverses. Dans une municipalité les employés changent, sont malades, partent en vacances… Impossible d’avoir un suivi rigoureux. Il vaudrait donc mieux trouver un système très simple à utiliser. WordPress est un logiciel « open source » conçu pour créer un blog personnel. On peut y ajouter des extensions pour d’autres usages mais il faut alors faire affaire avec un informaticien professionnel compétent, c’est un gros budget pour une petite municipalité.

26 juillet (mise à jour)

Le site de Chertsey piraté
Le site de Chertsey piraté

L’administrateur de Gens de Chertsey me signale qu’il est abonné au fil RSS de la municipalité de Chertsey et qu’il a commencé à recevoir des courriels l’avisant de la publication d’articles en anglais sur le site de la municipalité.

La municipalité a supprimé ces articles dans la journée mais j’ai eu le temps de prendre cette capture d’écran.

Je voyais bien que le webmaster avait perdu le contrôle du site mais là c’est plus grave, quelqu’un a piraté chertsey.ca et s’en sert pour promouvoir d’autres sites internet qui n’ont aucun rapport avec la municipalité de Chertsey: il vaudrait mieux fermer le site par précaution puisqu’on en a perdu le contrôle.

Et comme ça m’étonnerait qu’on puisse le réparer il vaudrait mieux penser tout de suite à le refaire complètement.

28 juillet

La municipalité avait supprimé les articles le 26 mais le 28 je consulte la page du fil RSS https://chertsey.ca/feed/ et je vois que les articles ont été republiés:

Le site de Chertsey piraté
Article republié le 28 juillet 2019 à 6h06

En faisant un test de sécurité basique on me signale que le site chertsey.ca installe des cookies non identifiables dans le navigateur des visiteurs du site. Mon extension Adblock contre les publicités en a bloqué 12 sur la page d’accueil; la municipalité semble faire beaucoup de publicité, mais pour qui?

Comme je le disais plus haut, c’est très préoccupant pour les données personnelles des citoyen(nes) de Chertsey. Si l’informatique du site internet est mal gérée ça laisse supposer que le reste doit être à l’avenant, il faudrait peut-être faire vérifier ça aussi.

Lire Urgence Informatique (suite)

1 réflexion au sujet de “Déclaration d’urgence informatique”

  1. Parlant de budget pour une petite municipalité comme Chertsey…

    Il y a le parc multifonctionnel irréaliste dont le maire ne peut estimer les coûts, mais qui me semble être de plusieurs millions. Aussi, le conseil a décidé dernièrement de s’endetter d’environ 100 000 $ sur cinq ans pour avoir 6 nouvelles pancartes et les faire installer aux abords des routes principales. Un simple petit kiosque d’information pour nos activités et pour nos commerçants ainsi qu’une halte routière à l’entrée du village en saison estivale coûteraient moins cher en plus de créer quelques emplois étudiant…

    Pour revenir au sujet de Desjardins, l’institution financière a même essayé de refiler une partie de sa responsabilité à ses membres…

    Voici ci-dessous ce que je suggère de leur écrire en cas d’usurpation de données personnelles.

    ————————————-
    Par la présente, je réponds à la lettre envoyée par Desjardins et dans laquelle on m’informe que certains de mes renseignements personnels ont été usurpés par un employé malveillant.

    J’apprend par les médias que Desjardins aurait été au courant de cette situation depuis décembre 2018 et que j’en suis informé seulement 6 mois plus tard.

    Je constate que les systèmes informatiques de Desjardins ne sont pas suffisamment sécuritaires pour empêcher les employés malveillants de commettre ce genre de crime.

    Il s’avère surprenant que Desjardins «m’offre» de faire moi-même des démarches pour accroître la surveillance de mon dossier. En d’autres mots, travailler gratuitement pour mon institution financière.

    Desjardins fait des milliards de dollars en profit annuellement et la présente situation est de son entière responsabilité. Cette institution n’a-t-elle pas les moyens d’engager des employés pour faire ces démarches et se doter d’un système informatique plus sécuritaire?

    En conséquence, si Desjardins juge qu’accroître la surveillance de mon dossier est souhaitable suite à ce qu’il nomme un simple «incident», je lui demande de faire le nécessaire pour protéger mon identité et mes données personnelles dans les plus brefs délais.
    ————————————-

    Merci pour cet article très pertinent qui tombe à point.

Laisser un commentaire