Formulaire de réclamation au FICAV: «une caverne d’Ali Baba pour les pirates»

Si votre voyage a été annulé en raison de la COVID-19 et que vous êtes admissible au Fonds d’indemnisation des clients des agents de voyages (FICAV), vous devez faire votre demande de réclamation en remplissant un formulaire sur le site de l’Office de la protection du consommateur (OPC).

D’ordinaire, ce formulaire et les pièces justificatives qui doivent l’accompagner sont envoyés par la poste à l’OPC. Mais, en raison de l’ordonnance du gouvernement du Québec de fermer les entreprises jugées non essentielles, l’Office a mandaté PricewaterhouseCoopers (PwC), un cabinet d’audits et d’expertise comptable, pour agir à titre de gestionnaire des réclamations pour les demandes de remboursement au FICAV en lien avec la COVID-19.

Pendant un peu plus d’un mois, soit du 13 mars au 17 avril 2020, l’OPC a donc demandé que les réclamations soient transmises par courriel à une adresse de PwC ([email protected]).

Une procédure qui a surpris Clément Gagnon, spécialiste en sécurité de l’information pour Tactika, car elle met potentiellement à risque les renseignements personnels des demandeurs. «Le risque n’est pas majeur, mais il crée une vulnérabilité qui pourrait être exploitée par des pirates informatiques et qui aurait pu facilement être évitée», déplore-t-il.

>> À lire aussi: 4 façons simples de protéger vos données personnelles

Infos sensibles envoyées par courriel

Le formulaire exige la divulgation de nombreuses informations personnelles, dont les noms des personnes concernées, les adresses, les signatures manuscrites, les numéros de cartes de crédit et des pièces justificatives, telles que des billets d’avion, qui sont elles aussi remplies de renseignements personnels.

«C’est une cible parfaite, un pactole, une caverne d’Ali Baba pour les pirates», affirme Clément Gagnon. Une fois téléchargé, le formulaire en format PDF se retrouve sur le poste de travail du consommateur, dans sa boîte courriel personnelle, puis emprunte le tortueux chemin de l’Internet pour se rendre jusque dans la boîte courriel de l’employé qui reçoit le courriel pour traiter la demande, rappelle-t-il.

«Tout au long de la chaîne, il y a un risque que le document soit récupéré de façon accidentelle ou malveillante. N'importe quel spécialiste en sécurité vous le dira: envoyer des informations personnelles par courriel lorsqu’elles ne sont pas chiffrées n’est pas la meilleure méthode.»

Le risque de se tromper d’adresse courriel lors de l’envoi est aussi présent, ajoute l’expert.

L’OPC change sa procédure

Quand nous avons exposé ce risque à l’OPC, son porte-parole Charles Tanguay nous a répondu par courriel qu’en raison de la pandémie, «l’Office et PwC ont dû convenir rapidement d’une mesure temporaire permettant l’acheminement des demandes par courriel, pour éviter les délais de traitement».

Peu après notre échange avec Charles Tanguay, le 17 avril, le formulaire de réclamation au FICAV a été modifié; il invite désormais les consommateurs à acheminer le formulaire par la poste au bureau de Pricewaterhouse, à Québec.

Combien de personnes ont envoyé leur réclamation au FICAV par courrier électronique entre les 13 mars et 17 avril 2020? Au moment de publier ces lignes, l’OPC ne nous avait pas répondu. Rappelons que des milliers de Québécois ont vu leur vol annulé en raison de la pandémie.

«Une fois que c’est envoyé dans l’Internet, vous n’avez plus aucun contrôle là-dessus», prévient Clément Gagnon. Si vous faites partie de ceux qui ont fait parvenir leur réclamation par courriel, la seule chose que vous puissiez faire pour diminuer les risques, c’est de détruire le formulaire et les pièces justificatives sur votre ordinateur ainsi que dans votre boîte de courriel, dit le spécialiste en sécurité.

La bonne pratique, selon Clément Gagnon, aurait été pour l’OPC de mettre en place un portail web sécurisé, à partir duquel les consommateurs auraient pu télécharger leurs documents. Une façon de faire qu’il juge simple à implanter et sécuritaire pour les utilisateurs.

«L’Office et PwC examinent actuellement les scénarios pour la mise en place d’un mode de transmission électronique des demandes qui serait à la fois sûr et efficace», assure Charles Tanguay, de l’OPC.

>> À lire aussi : Comment effacer les données sur vos appareils électroniques et 3 services pour savoir si vos données circulent dans le dark Web