Plaignant
Éric Parent
Mis en cause
Alain McKenna, journaliste
Le quotidien Le Devoir
Résumé de la plainte
Éric Parent dépose une plainte le 28 mai 2021 au sujet de l’article « À qui la faute pour la fuite de données de La Place 0-5? » du journaliste Alain McKenna, publié dans Le Devoir le 22 mai 2021. Le plaignant déplore des informations inexactes et de l’information incomplète.
CONTEXTE
Dans cet article du Devoir, le journaliste Alain McKenna cherche à identifier les responsables d’une importante fuite de données ayant touché La Place 0-5, un guichet d’inscription en ligne destiné aux parents qui souhaitent obtenir une place en garderie pour leur enfant par l’entremise du ministère de la Famille. Ce texte fait suite à un article précédent du même journaliste, publié dans Le Devoir du 11 mai 2021, dans lequel on rapportait que la fuite de données aurait été colmatée.
L’organisme mandaté par le ministère de la Famille pour gérer le guichet La Place 0-5 se nomme la Coopérative Enfance Famille. Cette coopérative a confié à l’éditeur montréalais de logiciels InMedia Technologies la tâche de créer la plateforme Web La Place 0-5.
Le plaignant dans ce dossier, Éric Parent, est cité à titre d’expert en cybersécurité plusieurs fois dans l’article mis en cause. M. Parent est présenté comme étant le président-directeur général de la firme d’audit EVA Technologies. On signale qu’il a lui-même procédé à un audit sommaire de la plateforme La Place 0-5 au moment de sa conception en 2018, et qu’il aurait décelé certaines lacunes dès cette époque. À la suite de la fuite de données de La Place 0-5, on rapporte qu’Éric Parent a été appelé à réévaluer la plateforme, et c’est dans ce contexte qu’il a été interviewé par le journaliste Alain McKenna dans l’article visé par cette plainte.
Analyse
GRIEFS DU PLAIGNANT
Grief 1 : informations inexactes
Principe déontologique applicable
Qualités de l’information : « Les journalistes et les médias d’information produisent, selon les genres journalistiques, de l’information possédant les qualités suivantes : a) exactitude : fidélité à la réalité. » (article 9 a) du Guide de déontologie journalistique du Conseil de presse du Québec)
1.1 Nouveaux tests
Le Conseil doit déterminer si les mis en cause ont produit de l’information inexacte concernant la réévaluation de la plateforme et le fait que les recommandations de l’expert en cybersécurité n’ont pas été suivies dans le passage retranscrit ci-dessous.
« L’expert en cybersécurité a réévalué la plateforme ces derniers jours à la suite de la découverte d’une importante fuite de données et a constaté que ses recommandations n’ont vraisemblablement pas été suivies. “Le fournisseur [du logiciel] a fait des mises à jour de son côté, mais elles n’ont pas été installées pour La Place 0-5. C’était donc une vieille plateforme. Normalement, quand on fait des tests de sécurité, on obtient des rapports des tests précédents et dans ce cas-ci, il n’y en avait pas non plus.” »
Décision
Le Conseil de presse du Québec rejette le grief d’information inexacte sur ce point.
Analyse
Le plaignant affirme qu’il est erroné de dire qu’il a réévalué la plateforme et que ses recommandations n’ont pas été suivies, « car nous n’avons pas effectué de nouveaux tests et […] le client a toujours pris en charge les recommandations formulées lors de nos tests. » Il ajoute que sa firme n’a fait « aucune recommandation en dehors des tests de sécurité effectués il y a plusieurs années. Chaque élément identifié lors des différentes étapes des tests a toujours été résolu par l’équipe du client. Il n’y a donc jamais eu de résultats à traiter après chaque étape des tests. »
Les mis en cause rétorquent que dans l’entrevue téléphonique qu’il a accordée à Alain McKenna, Éric Parent « a dit avoir été appelé par les responsables de Place 0-5 suite à la faille qu’il a constaté[e] sur leur plateforme. Il précise que celle-ci était de “version 4” alors que le fournisseur en était rendu à la “version 6”. Il a ensuite expliqué à propos des risques que cela posait que “ça avait l’air correct”, ce qui sous-entend qu’au moins un test sommaire avait eu lieu. Il a indiqué avoir effectué des tests “commandés” par Place 0-5 qui “ne voyaient rien”, car ils semblaient insuffisants pour déceler une éventuelle faille du type de celle qui a ensuite été trouvée. “Mais on a suggéré des tests formels” plus sévères (appelés OWASP), une recommandation qui selon ce que disait M. Parent ne semble pas avoir été suivie par Place 0-5. » Durant l’entretien, M. Parent a aussi mentionné : « “On a recommandé un test OWASP complet, mais il n’a pas été fait.” » Puis, il « a expliqué avoir analysé une nouvelle fois la sécurité du site après la découverte de la faille en mai dernier ».
Bien que le plaignant estime qu’il est inexact d’écrire qu’il a réévalué la plateforme, car il n’a pas procédé à de nouveaux tests, le verbe « réévaluer » ne signifie pas forcément que de nouveaux tests ont été effectués. Le lecteur peut comprendre simplement qu’une réévaluation, au sens général du terme, a été faite. Par ailleurs, il revenait au plaignant de démontrer en quoi l’information qu’il vise dans sa plainte était inexacte, ce qu’il n’a pas fait. Il arrive qu’un plaignant interprète le texte et reproche une information inexacte qui ne se trouve pas dans l’article visé par la plainte. C’était le cas dans le dossier D2020-03-035, où le plaignant affirmait que la journaliste prétendait « faussement qu’il avait été “mandaté” pour nommer le coordinateur au développement durable ». Pour les mêmes motifs, le grief d’information inexacte est rejeté sur ce point.
1.2 Expert en sécurité
Le Conseil doit déterminer si les mis en cause ont produit de l’information inexacte dans le passage retranscrit ci-dessous.
« “Si un expert en sécurité avait été impliqué tout au long du processus, [la fuite de données] ne serait jamais arrivée. Il n’y avait clairement aucune supervision.” – Éric Parent »
Décision
Le Conseil de presse du Québec rejette le grief d’information inexacte sur ce point.
Analyse
Le plaignant considère que « cette affirmation est hors contexte, et la présence d’un expert en sécurité ne garantit pas qu’un problème de sécurité ne sera pas identifié à l’avenir ». Il ajoute qu’il est toujours fortement recommandé de faire appel à un expert en sécurité pour superviser l’architecture d’un système, « mais ce n’était pas notre rôle avec ce client et je ne suis pas au courant des détails liés à leurs processus et ne peux donc pas avoir d’opinion à ce sujet. »
Les mis en cause soutiennent qu’en entrevue au téléphone, M. Parent a mentionné que « Place 0-5 a demandé d’inclure dans sa plateforme des fonctions “qui n’auraient pas passé à la sécurité”. “Ils ont voulu aller trop vite. S’il y avait eu un analyste de sécurité (informatique) impliqué tout le long, ce ne serait jamais arrivé.” “On va le signaler à tous les coups.” “Il n’y avait clairement aucune supervision.” »
Le plaignant ne précise pas en quoi la citation contenue dans l’article est utilisée hors contexte ni quel aurait été le contexte approprié pour rapporter ses propos convenablement. Se trouvant devant deux versions des faits contradictoires, et n’ayant aucune preuve de l’inexactitude alléguée par le plaignant, le Conseil accorde le bénéfice du doute au journaliste et rejette le grief d’information inexacte sur ce point.
1.3 Tests précédents
Le Conseil doit déterminer si les mis en cause ont produit de l’information inexacte à propos de l’existence de rapports de tests précédents dans la citation retranscrite ci-dessous.
« “Normalement, quand on fait des tests de sécurité, on obtient des rapports des tests précédents et dans ce cas-ci, il n’y en avait pas non plus.” »
Décision
Le Conseil de presse du Québec rejette le grief d’information inexacte sur ce point.
Analyse
Le plaignant prétend que, contrairement à ce qui est avancé dans l’article, « aucun rapport antérieur n’a pu exister avant nos tests ». Il ajoute : « Pour cette citation, je ne sais pas d’où ça vient. Comme nous l’avons déclaré, notre firme a effectué une série de tests lors de la mise en place de la plateforme en 2018. »
Les mis en cause soulignent que M. Parent « a d’abord indiqué avoir été “appelé par Place 0-5 pendant la crise” [découverte de la fuite]. Après avoir dit que “Ça avait l’air correct, mais qu’il faudrait faire des tests plus avancés”, il a expliqué que ces tests produiraient des rapports réguliers sur l’état de la sécurité de la plateforme et qu’il n’avait trouvé aucun rapport de ce genre qui aurait été produit avant la découverte de la faille. »
Le plaignant n’apporte pas de preuve pour soutenir son allégation qu’une information inexacte a été rapportée. Lorsque deux versions contradictoires sont opposées et que le plaignant ne parvient pas à faire la démonstration de ce qu’il avance, le Conseil accorde le bénéfice du doute au journaliste. Ainsi, le grief d’information inexacte est rejeté sur ce point.
Grief 2 : information incomplète
Principe déontologique applicable
Qualités de l’information : « Les journalistes et les médias d’information produisent, selon les genres journalistiques, de l’information possédant les qualités suivantes : d) complétude : dans le traitement d’un sujet, présentation des éléments essentiels à sa bonne compréhension, tout en respectant la liberté éditoriale du média. » (article 9 d) du Guide)
Le Conseil doit déterminer si les mis en cause ont omis des éléments essentiels à la bonne compréhension du sujet dans le passage retranscrit ci-dessous.
« Normalement, ce type d’accès “n’aurait pas passé une inspection de sécurité normale”, assure Éric Parent, p. d.-g. de la firme d’audit EVA Technologies. M. Parent a lui-même procédé à un audit de sécurité “sommaire” de la plateforme au moment de sa conception en 2018 et dit avoir décelé plusieurs lacunes à ce moment, suffisamment pour recommander des tests plus poussés et plus coûteux. »
Décision
Le Conseil rejette le grief d’information incomplète.
Analyse
Le plaignant considère que la citation en cause est « hors contexte » et argue : « J’ai illustré le cas d’une autre entreprise où l’on autorise l’exportation de données à partir d’un système sensible. Le rôle de l’expert en sécurité qui supervise un tel projet est d’identifier ce risque comme un risque potentiel critique et d’obtenir l’acceptation du risque par le niveau de gestion approprié avant la conclusion du projet. »
Les mis en cause affirment que M. Parent « a utilisé un exemple fictif pour illustrer un type de fonction dans des plateformes comme celle utilisée par Place 0-5 qui peuvent présenter une faille importante. Puis il a indiqué que “Place 0-5 a demandé des fonctions qui n’auraient pas passé à la sécurité”, et a enchaîné en donnant un exemple de fonction non sécuritaire : l’existence d’un mot de passe “master” “pour ouvrir n’importe quel compte”, “genre [de] fonction d’exportation massive sur un poste de travail local”, un clin d’œil à la faille survenue à Place 0-5 ou des milliers de comptes ont été dérobés en une fin de semaine par une seule personne. »
Le plaignant n’explique pas quels éléments essentiels à la bonne compréhension du sujet ont été omis dans le cas présent. Il ne précise pas non plus quel contexte il aurait souhaité voir pour accompagner sa citation. Dans le dossier D2020-04-064, un grief d’information incomplète portant sur l’expertise d’une personne interviewée dans un reportage avait été rejeté, car la plaignante ne précisait pas quelle était l’information manquante. Celle-ci déplorait que le reportage ne mentionnait pas l’expertise d’une spécialiste en gestion municipale interrogée. Le Conseil a estimé que, comme la plaignante n’indiquait pas ce qu’il aurait été essentiel d’ajouter pour compléter la description, il n’y avait aucun manquement déontologique. De la même manière, dans le cas présent, le grief d’information incomplète est rejeté, faute de preuves pour appuyer les allégations du plaignant.
Décision
Le Conseil de presse du Québec rejette la plainte d’Éric Parent visant l’article « À qui la faute pour la fuite de données de La Place 0-5? » du journaliste Alain McKenna, publié dans Le Devoir le 22 mai 2021, concernant les griefs d’informations inexactes et d’information incomplète.
La composition du comité des plaintes lors de la prise de décision :
Représentants du public :
Renée Lamontagne, présidente du comité des plaintes
Olivier Girardeau
Représentants des journalistes :
Madeleine Roy
Paule Vermot-Desroches
Représentants des entreprises de presse :
Jeanne Dompierre
Éric Grenier