La faille informatique Heartbleed n'a pas seulement forcé l'Agence du revenu du Canada (ARC) à suspendre l'accès à ses services en ligne en avril 2014, au plus fort de l'envoi des déclarations de revenus des contribuables canadiens, mais elle a aussi coûté une petite fortune au fisc: 1 million de dollars.
C'est du moins ce que démontrent des documents de l'ARC obtenus par La Presse en vertu de la Loi sur l'accès à l'information.
Cette faille informatique avait causé de gros problèmes à plusieurs ministères du gouvernement fédéral - à l'instar des principaux sites internet de la planète -, et avait contraint le Conseil du trésor à émettre une directive à tous les ministères utilisant des logiciels vulnérables de désactiver les sites web publics.
L'ARC avait été davantage malmenée puisque le bogue a frappé au moment où les contribuables soumettaient leurs déclarations de revenus en ligne. Elle avait été contrainte de suspendre ses services en ligne pendant cinq jours. Pis encore, l'ARC avait par la suite indiqué que la faille Heartbleed avait ouvert la porte à un pirate informatique qui avait réussi à voler les numéros d'assurance sociale d'environ 900 personnes.
Le bogue Heartbleed avait été provoqué par une faille dans le logiciel OpenSSL, qui était largement utilisé sur le web pour assurer la sécurité et protéger les renseignements confidentiels. Certains sites du gouvernement du Canada étaient demeurés inaccessibles pendant quelques jours, le temps que l'on puisse appliquer des mesures correctives pour colmater la brèche informatique et mener les tests qui s'imposent.
Après l'incident, l'ARC avait communiqué par courrier recommandé avec tous les contribuables victimes du pirate afin de les informer et de leur offrir des services de protection du crédit sans frais, ainsi que des mesures de protection supplémentaires dans leurs comptes bancaires.
La Gendarmerie royale du Canada (GRC) et le Commissaire à la vie privée du Canada avaient été saisis de cette affaire. Les enquêteurs de la GRC ont réussi à mettre la main au collet du responsable, Stephen Arthuro Solis-Reyes, un étudiant en informatique de London, en Ontario. Il a été accusé d'utilisation non autorisée d'ordinateur et de méfait concernant des données, des accusations qui pourraient lui valoir une peine de 10 ans de prison.
Malgré tout le battage médiatique entourant la faille informatique Heartbleed, les contribuables canadiens n'ont pas boudé les services de déclaration en ligne de l'ARC en 2015. En effet, plus de 19,8 millions de particuliers ont produit leur déclaration de revenus en ligne (sur 23 millions de déclarations) ; seulement 14,7% des contribuables ont produit leur déclaration sur papier. En 2014, 20,5 % des particuliers avaient produit une déclaration de revenus en utilisant le papier.
- Avec William Leclerc, La Presse
Une simulation d'hameçonnage
À la suite de l'incident de la faille informatique, l'Agence du revenu du Canada a décidé de mener une vérification de la cybersécurité entre janvier et avril 2015 en procédant à une simulation d'hameçonnage auprès de 16 000 employés dans toutes les directions générales et régions. L'exercice a coûté 24 860 $.
Dans l'ensemble, le nombre d'employés de l'ARC qui ont reçu un courriel d'hameçonnage simulé pour la première fois et qui ont réagi comme l'ARC le souhaitait (en s'abstenant de cliquer sur le lien) était supérieur à la moyenne des employés des autres ministères. En outre, l'ARC exige que les employés suivent un cours obligatoire de 90 minutes sur la cybersécurité.
«À la suite de l'incident Heartbleed, l'ARC a déployé des efforts soutenus de sensibilisation des employés à la cybersécurité par l'entremise des canaux de communication interne habituels: nouvelles de l'ARC, courriels, bulletins, bannières en fond d'écran. Ces efforts n'ont pas imposé de coûts additionnels à l'organisation», a indiqué Noël Carisse, de l'ARC.