•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

L'Agence du revenu du Canada ciblée par deux cyberattaques

Bureaux de l'Agence du revenu du Canada, à Ottawa.

Au 15 août, environ 5500 comptes de l'Agence du revenu du Canada ont été touchés par les deux incidents de sécurité.

Photo : Reuters / Chris Wattie

L'Agence du revenu du Canada (ARC) a confirmé à CBC avoir récemment été la cible de deux incidents de cybersécurité distincts. Les fraudeurs ont notamment pu avoir accès à Mon dossier, Mon dossier d'entreprise et Représenter un client, des services électroniques destinés aux particuliers, aux entreprises, et à leurs représentants.

Au 15 août, environ 5500 comptes ont été touchés par ces deux incidents de sécurité. Les personnes concernées recevront une lettre de l'ARC leur expliquant comment confirmer leur identité afin de protéger et de rétablir l'accès à leur compte.

L'ARC rapporte avoir rapidement identifié et désactivé les comptes touchés, afin d'assurer la sécurité des informations de leurs propriétaires.

Toutefois, des citoyens déjà ciblés par des attaques de cet ordre dans le passé ont affirmé à CBC qu'il était difficile d'obtenir des éclaircissements de la part de l'agence gouvernementale.

Dans le cas présent, les fraudeurs auraient utilisé des justificatifs d’identité valides (noms d’utilisateurs et mots de passe) déjà compromis à la suite de précédents piratages de comptes – sans rapport avec ces récents incidents de cybersécurité.

Ces justificatifs d’identité auraient été introduits dans un logiciel ciblant le fournisseur du service CléGC, tirant parti du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes, relate une déclaration du Secrétariat du Conseil du Trésor du Canada.

L’administration rapporte que les mots de passe et noms d’usager de 9041 détenteurs de comptes CléGC ont également été acquis de manière frauduleuse, et utilisés pour tenter d’accéder à des services gouvernementaux.

De ce nombre, le tiers fait actuellement l’objet d’un examen approfondi afin de déterminer si des activités suspectes ont eu lieu. Tous les comptes CléGC touchés ont été annulés, et leurs utilisateurs seront informés sur la façon d’obtenir une nouvelle CléGC.

CléGC est un justificatif électronique unique – utilisé par près de 30 ministères et agences, comptant quelque 12 millions de comptes actifs au Canada – qui permet notamment de communiquer en toute sécurité avec les services du gouvernement offerts en ligne.

Néanmoins, une enquête a été ouverte, et l'aide de la Gendarmerie royale du Canada (GRC) a été sollicitée afin de faire la lumière sur ce qui est qualifié « d'attaque de bourrage de justificatifs d’identité ».

Le Commissariat à la protection de la vie privée du Canada a été informé que des atteintes à la vie privée pourraient avoir eu lieu.

Recommandations gouvernementales

Nous recommandons vivement à tous les utilisateurs de Mon compte d'activer les notifications par courrier électronique comme mesure de sécurité supplémentaire.

Ce service informe les contribuables par courriel si leur adresse ou les renseignements sur le dépôt direct ont été modifiés dans les dossiers de l'ARC. Ces notifications servent d'avertissement aux Canadiens en cas d'activité frauduleuse potentielle sur leur compte.

Afin de réduire le risque d’être touché par ce type de cyberattaque, il est fortement recommandé de toujours utiliser un mot de passe unique pour chaque compte en ligne.

Évitez de réutiliser les mêmes mots de passe pour différents systèmes et applications et surveillez régulièrement vos comptes pour détecter toute activité suspecte.

Source : Secrétariat du Conseil du Trésor du Canada

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !