Des documents confidentiels non protégés
Les faits
En mai et juin 2016, le journaliste Michaël Nguyen publie dans le Journal de Montréal deux articles concernant des enquêtes internes menées par le Conseil de la magistrature à l’endroit des juges Eliana Marengo et Suzanne Vadboncœur.
À ce stade, ni les plaintes ni la tenue des enquêtes n’ont été rendues publiques par le Conseil. L’article concernant la juge Vadboncœur, dans lequel le journaliste décrit le comportement « agressif », « agité » et « désorganisé » de la magistrate après le souper de Noël des juges, est en partie basé sur une bande de vidéosurveillance diffusée par le Journal de Montréal. L’origine de cette bande n’a pas été précisée dans la publication.
Le mandat
Au début du mois de juin, à la suite d’une plainte, la Sûreté du Québec lance une enquête concernant une « intrusion illégale » sur l’extranet du site web du Conseil de la magistrature. Cette section comporte des « accès protégés destinés aux juges sous sa juridiction », où sont notamment abrités les documents concernant les enquêtes déontologiques visant les juges. Le Conseil de la magistrature fournit alors aux enquêteurs des « documents démontrant que l’intrus a eu des accès illégaux à plusieurs reprises » au site, lit-on dans la demande d’autorisation judiciaire présentée par la Sûreté du Québec (SQ) pour obtenir le mandat de perquisition.
L’identification du journaliste
L’entreprise Triomphe marketing et communication, qui gère le site du Conseil de la magistrature, fournit aux enquêteurs la liste des documents qui ont été prétendument obtenus illégalement par un individu qui s’est « introduit à plusieurs reprises dans des sections sécurisées du site ». Forts d’un premier mandat accordé par la juge Sylvie Marcotte, les enquêteurs déterminent que l’adresse utilisée pour accéder à ces fichiers appartient au Journal de Montréal et que l’ordinateur qui a été utilisé se trouve plus précisément dans un local du palais de justice à l’usage exclusif des journalistes.
La saisie
Le 21 septembre, forte d’un second mandat de perquisition délivré par la juge Nicole Martin, la Sûreté du Québec saisit l’ordinateur du journaliste Michaël Nguyen dans le local des journalistes. Les enquêteurs emportent l’ordinateur au bureau du Journal de Montréal, où il est mis sous scellés en attendant la suite des procédures. Dans un communiqué publié quelques jours plus tard, le Conseil de la magistrature affirme avoir « fait le nécessaire pour renforcer la sécurité de la zone restreinte de son site sécurisé » à la suite de cette perquisition.
Vérifications de La Presse
Grâce aux informations contenues dans la dénonciation policière, dont La Presse a obtenu une copie en toute légalité au palais de justice de Québec, nous avons été en mesure de retrouver sur le site du Conseil de la magistrature tous les documents prétendument obtenus illégalement par le journaliste du Journal de Montréal. Les fichiers PDF et vidéo ont pu être téléchargés sans qu’aucun mot de passe soit demandé par le site ou que d’autres mesures de sécurité y fassent obstacle. Aucun avertissement indiquant que le contenu était confidentiel n’a été affiché. En modifiant légèrement le nom de deux des fichiers, La Presse a même pu télécharger deux autres documents que le journaliste Michaël Nguyen n’avait lui-même pas trouvés.
La faille de sécurité
Quatre experts en sécurité consultés par La Presse affirment que l’absence de mesures de sécurité sur le site constitue une importante faille de sécurité. « Techniquement, l’accès à ces documents sensibles n’est pas protégé. Laisser penser aux utilisateurs légitimes qu’ils le sont relève de la tromperie et d’une méconnaissance des principes basiques de sécurité », affirme Jean Loup Le Roux, fondateur de l’entreprise de sécurité I & I Strategy. « Si j’étais le Conseil de la magistrature, je me poserais beaucoup de questions. Je serais très préoccupé par le niveau de sécurité de mon site », renchérit François Daigle, vice-président de la firme Okiok. « Ce site n’a pas de mesures de sécurité adéquates mises en place. Il faudrait au minimum un mot de passe pour protéger les fichiers, et s’ils sont sensibles, un système de jeton de sécurité qui ajoute une protection supplémentaire », croit quant à lui Gabriel Tremblay, ex-spécialiste de la sécurité bancaire aujourd’hui président de l’entreprise Laboratoires Delve. Selon lui, un logiciel de « découverte à l’aveugle », comme il en existe plusieurs, pourrait facilement permettre de dénicher d’autres fichiers délicats sur le site du Conseil.
« N’importe quelle personne qui a le moindrement des connaissances en sécurité applicative web va être capable de trouver d’autres fichiers sur ce site. »
Réactions aux découvertes de La Presse
Appelée à commenter, la responsable des communications du Conseil de la magistrature, Esther Boivin, s’est montrée surprise que La Presse ait pu mettre la main sur les documents censés être sécurisés. « Écoutez, on fait confiance à nos fournisseurs internet et nos hébergeurs, on n’a pas le choix », a-t-elle dit, avant d’ajouter qu’elle ne pouvait pas faire de commentaires puisque l’affaire est devant les tribunaux. L’entreprise qui a programmé le site, Triomphe marketing et communications, a pour sa part assuré que les documents étaient « actuellement protégés ». Son programmeur Richard Vacchino-Marceau, qui a participé à la programmation du site, a cependant refusé de donner plus d’explications lorsque La Presse lui a fait part de ses découvertes. « Je n’ai absolument rien à dire », a-t-il affirmé. La Sûreté du Québec a refusé de commenter puisque l’affaire est devant les tribunaux.
Documents trouvés grâce à Google
Avant même que la Sûreté du Québec ne procède à la saisie de son ordinateur, le journaliste Michaël Nguyen avait affirmé au responsable de la sécurité du palais de justice de Montréal qu’il était tombé « accidentellement » sur la vidéo de la juge Vadboncœur. La déclaration sous serment faite par l’enquêteur de la SQ pour obtenir le mandat de perquisition précise que M. Nguyen avait aussi déclaré à la Secrétaire du Conseil de la magistrature, Fernande Rousseau, qu’il avait trouvé les documents grâce à Google. « Dans un rapport décrivant précisément sa rencontre avec le journaliste, elle mentionne également que [M. Nguyen] a affirmé que le site du Conseil n’était pas bien protégé [mais] que maintenant la chose était corrigée », écrit l’enquêteur André Thériault. Nulle part ailleurs dans la déclaration sous serment il n’est indiqué que les policiers, sur la base de ces affirmations, ont vérifié la sécurité du serveur du Conseil de la magistrature avant de saisir l’ordinateur du journaliste. En date d’hier, le moteur de recherche Google ne contenait aucune référence aux documents, mais les quatre experts consultés par La Presse croient qu’il est possible qu’ils aient été référencés par le passé.
« Il suffit qu’un autre site public ait fait référence à ces documents (et à leur chemin d’accès) pour que Google les ait indexés », résume François Daigle.
Contestation du Journal
Le Journal de Montréal et Media QMI ont déposé au début d’octobre une requête demandant que soit cassée l’autorisation de saisie signée par la juge Nicole Martin. L’entreprise y affirme que la déclaration sous serment faite par l’enquêteur André Thériault, de la Sûreté du Québec, était « empreinte d’exagérations ». « Les différentes mentions à l’effet que le site internet a été la cible d’une “intrusion illégale”, “qu’un utilisateur s’est introduit à plusieurs reprises dans des sections sécurisées” ou encore qu’une personne a eu accès à des “documents déposés dans la section protégée du site internet” sont erronées et tendancieuses », écrivent les avocats du Journal.
— Avec Martin Croteau, La Presse
Qu’est-ce que le Conseil de la magistrature du Québec ?
C'est l’organisme chargé de « veiller au bon comportement » des juges nommés par Québec, indique son site web. Il a pour mandat d’étudier les plaintes du public et de s’assurer que le code de déontologie de la magistrature est respecté. Son site web comporte une partie publique et un « extranet » dont l’accès est en principe protégé. On y trouve notamment une sous-section dont l’accès est en principe réservé aux membres qui font partie d’un comité d’enquête « actif » qui documente une plainte, ainsi qu’aux avocats qui assistent ce comité ou qui assistent le juge visé par une enquête.