L'Agence du Revenu du Canada a suspendu temporairement ses services en ligne en raison d'un problème important de sécurité informatique, quelques semaines avant la date limite des déclarations d'impôts pour des millions de Canadiens.
L'ARC a déclaré dans un communiqué mercredi « avoir été informée d'une vulnérabilité informatique connue sous le nom de Heartbleed Bug ». Cette faille informatique majeure pourrait avoir affecté jusqu'aux deux tiers de l'internet et ce, depuis plus de deux ans. Elle permet à des pirates informatiques d'obtenir des renseignements personnels d'internautes lorsqu'ils accèdent à certains sites web.
Elle a été découverte dans la nuit de lundi à mardi par des experts informatiques finlandais et une équipe de Google Security. Elle vise le logiciel OpenSSL, qui est utilisé par près de la moitié des sites internet pour protéger les mots de passe, les numéros de carte bancaire ou d'autres données sur internet.
L'Agence du revenu du Canada n'a pas encore précisé si des données personnelles transmises par des contribuables canadiens avaient été compromises et si oui, depuis combien de temps. Dans une déclaration, elle a déclaré qu'il s'agissait d'une suspension temporaire et d'une mesure de précaution. Elle s'affaire à rétablir les services le plus rapidement possible. « Les applications touchées comprennent les services en ligne tels que : TED, IMPOTNET, Mon dossier, Mon dossier d'entreprise, et Représenter un client », a précisé l'ARC.
« Veuillez noter que, si un ou une contribuable n'est pas en mesure de remplir ses obligations de produire une déclaration en raison de cette interruption, nous en tiendrons compte », a ajouté l'Agence.
On ignore si d'autres services gouvernementaux ont été touchés par la faille informatique. Revenu Québec aurait été épargné. Des entreprises comme Google, Facebook. Microsoft et Amazon.com ont dit dans un courriel mardi que leurs sites n'ont pas été affectés.
Une solution pour corriger la faille a été trouvée dès lundi soir. Dans un avis publié sur son site web mardi, le Centre canadien de réponse aux incidents cybernétiques, affilié au ministère fédéral de la Sécurité publique, a recommandé que « les administrateurs du système testent les mises à jour publiées par le fournisseur et qu'ils les appliquent aux plateformes touchées ».
Pour les internautes, Zully Ramzan, directeur des services technologiques à la firme de cybersécurité Elastica a recommandé dans une entrevue avec l'agence Bloomberg de changer leur mot de passe auprès de sites considérés plus sensibles, afin d'être plus prudents.
Cet incident se produit en période achalandée pour l'Agence du revenu du Canada. Les contribuables doivent produire leur déclaration de revenus de 2013 d'ici la fin du mois.
À la fin du mois de mars, 6,7 millions de déclarations avaient déjà été soumises à l'Agence, dont 87 pour cent par Internet.
Avec PC, l'AFP et Bloomberg