C'est le 10 mai 2021 que la direction de la Coopérative Enfance Famille, responsable du portail québécois d’accès aux place en garderie La place 0-5, a découvert qu’une brèche chez son fournisseur technologique. Cette brèche a permis à un attaquant non-identifié à ce jour d’accéder durant la fin de semaine à la base de données des familles en attente d’une place. La cyberattaque aurait mené au vol des données confidentielles au sujet de 5 000 enfants en attente d'une place. Parmi les informations personnelles subtilisées, on retrouver notamment le nom des parents, les numéros de téléphone, le nom de l'enfant, la date de naissance de ce dernier ainsi que sa date d'inscription sur La Place 0-5. Les données de 86 000 personnes inscrite sur le site auraient pu être consultées par les pirates lors de l’attaque.
Alors que le Centre gouvernemental de cyberdéfense du Québec travaille activement pour colmater la brèche de sécurité, la plateforme La Place 0-5 est présentement inaccessible. La directrice générale de la coopérative, Marie-Claude Sévigny, se voulait rassurante dans le communiqué de l’organisation : « Nous voulons rassurer les parents et les informer que nous collaborons étroitement avec la Sûreté du Québec et le ministère de la Famille. L'investigation se poursuit afin de mieux comprendre l'incident et de s'assurer que la situation ne se reproduise pas. »
Malgré ces paroles rassurantes, la situation préoccupe les parents et les autorités québécoises. Le ministre de la famille, Mathieu Lacombe, a annoncé qu’une firme indépendante a été mandaté d’effectuer un audit de sécurité, suite aux premiers constats de l’enquête menée par la Sûreté du Québec (SQ) et la Gendarmerie royale du Canada (GRC)
Le ministre, qui figure parmi les victimes du vol, déclarait mercredi : « Je suis préoccupé notamment par la question de savoir qui a accès aux données qui sont gérées par la Coopérative Enfance Famille. Je suis préoccupé de savoir quelles entreprises ont accès à ces données, parfois par le biais d’ententes de service qui sont passées avec les services de garde éducatifs pour le recrutement des enfants. Je suis préoccupé par le type de données auxquelles ces gens et ces entreprises ont accès. Est-ce seulement les données de base absolument nécessaires d’être consultées ou ce sont des données plus larges ? Je suis extrêmement préoccupé par l’ensemble des protocoles de sécurité qui sont actuellement en place à la Coopérative Enfance Famille pour assurer la sécurité des données qui leur sont confiées.
Les mots de passe des victimes de cette violation de données n’ont pas été touchées. La coopérative affirme que l’ensemble des parents dont les données auraient pu être consultées ont été contactées plus tôt cette semaine. Quant aux familles dont les données ont été volées, une lettre recommandée leur sera adressée individuellement.
Cette nouvelle attaque fait suite à un grand nombre de cyberattaques ayant affecté des organisations publiques et parapubliques récemment. Alors que des villes et des hôpitaux figurent parmi les cibles de choix des attaques par rançongiciels, plusieurs incidents de cybersécurité récents soulèvent des lacunes de sécurité inquiétantes pour le maintien des données personnelles et des informations confidentielles que nous fournissons à ces organisations.