•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Cyberattaques à l'Agence du revenu du Canada : doit-on s'inquiéter?

Un contenu vidéo est disponible pour cet article
Une personne regarde le site de l'Agence du revenu du Canada sur un écran. La page l'informe qu'il ne peut temporairement consulter son dossier.

Les Canadiens qui veulent échanger avec le gouvernement en utilisant leur compte en ligne à l'ARC ne pourront pas le faire avant le milieu de la semaine.

Photo : Radio-Canada / Ivanoh Demers

L’Agence du revenu du Canada (ARC) a récemment été touchée par deux incidents de cybersécurité distincts. Environ 5500 comptes sont concernés, dont 3300 ont fait l'objet d'une première attaque touchant le service CléGC – qualifiée de « bourrage de justificatifs ».

La seconde attaque, qui a ciblé les 2200 autres comptes, n'a aucun lien avec le service CléGC, nous a expliqué un porte-parole de l'ARC. Ces comptes-là ont été ciblés directement au moyen du service d'identification propre à l'ARC, nous a détaillé le secrétariat du Conseil du Trésor.

Néanmoins – et ce, quelque soit le type d'incident et la méthode employée –, l'agence gouvernementale a rapidement identifié les comptes touchés et en a désactivé l’accès. Par précaution supplémentaire, le portail et les services en ligne ont également été temporairement suspendus.

Afin de faire la lumière sur ces événements, nous avons posé quelques questions à Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale et spécialiste en cybersécurité.


La majorité des comptes de l'ARC [3300] qui ont été touchés par les incidents de sécurité l'ont été au moyen de la CléGC, un justificatif électronique unique utilisé par près de 30 ministères. Est-ce que leur accès est compromis au même titre que ceux de l'ARC?

Si on a des comptes CléGC dans d’autres ministères que l’ARC, on peut y avoir accès. Les autres services du gouvernement sont toujours accessibles avec notre compte CléGC. On s’en va là et on change notre mot de passe par précaution, mais si on a seulement un compte [à l'ARC], on ne peut rien faire.

À noter que la fraude commise à travers les comptes CléGC – qui sont utilisés par plusieurs ministères et par l'ARC – concerne les mots de passe et les noms d’usager de 9041 détenteurs. De ce nombre, 3300 sont spécifiquement reliés à l'ARC. Tous les comptes CléGC touchés ont été annulés, et les ministères communiquent avec les utilisateurs visés. Aucune autre information n'a été divulguée à cet effet.

Comment savoir si on a été victime de cette fraude, puisque le portail d'accès est indisponible?

Afin d'éviter des pièges d’usurpation et la possibilité que ça devienne même une double attaque, les utilisateurs concernés par ces incidents seront contactés par l'ARC. Mais pas n'importe comment; par la bonne vieille méthode : une lettre expédiée par la poste.

Aussi, en bloquant l'accès à son portail, l’agence gouvernementale prend tous les moyens nécessaires pour agir, car une enquête est actuellement en cours, avec l'aide de la Gendarmerie royale du Canada.

C'est une bonne pratique de procéder de cette façon, car, à l'heure actuelle, aucune transaction n'est possible.

Le but est qu'il n'y ait aucun doute quant à l'intégrité du site lorsque le portail sera à nouveau accessible, et ce, peu importe si on a été victime ou non de ces incidents.

À quels types d'informations les fraudeurs ont-ils accès?

S'ils ont compromis le compte de l'ARC avec la CléGC, les fraudeurs ont accès à toutes les informations nominatives que les utilisateurs ont mises en ligne, en plus de toute l'information fiscale.

En quoi les méthodes employées [dans cette attaque] se distinguent-elles de celles communément utilisées par les fraudeurs?

Ce type d’attaque [celle touchant le service CléGC, et donc les 3300 comptes de l'ARC] se base sur une utilisation « primaire » de nom d’usager et de mot de passe.

Les malfaiteurs vont donc, à partir de failles préalables, utiliser des justificatifs d'identité déjà compromis. Leur but n'est pas de faire une exploitation de données, mais plutôt d’accéder aux comptes avec une méthode qu'ils jugent fonctionnelle.

Cette situation peut s'expliquer notamment par les habitudes des utilisateurs qui, pour se simplifier la vie, utilisent les mêmes identifiants dans tous les portails auxquels ils ont accès.

Peut-on établir un lien entre ces attaques et les demandes frauduleuses de la Prestation canadienne d'urgence (PCU)?

C’est un lien qu’on peut effectivement établir. Les fraudeurs ont découvert une faille assez importante dans les mécanismes de l’ARC pour être capables de demander la PCU sans que les utilisateurs réels en soient avertis.

Les modifications apportées [par les fraudeurs] aux adresses courriel et aux informations bancaires leur ont notamment permis de faire rediriger les transferts de PCU.

Avec les informations diffusées à RDI

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !