Près d’une dizaine de milliers de comptes de services gouvernementaux, utilisés par une trentaine de ministères fédéraux, ont été piratés dans le cadre d’une cyberattaque, a rapporté samedi le Secrétariat du Conseil du Trésor. Une enquête a été ouverte.

Henri Ouellette-Vézina
Henri Ouellette-Vézina La Presse

Au total, 9041 des 12 millions de comptes CléGC ont été touchés par cette opération, dont le tiers font l’objet d’un « examen approfondi ». Des mots de passe, des noms d’utilisateur et des informations bancaires pourraient notamment avoir été volés. À l’Agence du revenu du Canada (ARC), environ 5500 comptes ont été piratés lors de deux attaques informatiques distinctes.

Qualifiées de « bourrage de justificatifs » par le gouvernement, ces intrusions « utilisaient des noms d’utilisateur et des mots de passe recueillis à la suite de précédents piratages de comptes dans le monde entier », affirme le Bureau du dirigeant principal de l’information, dans un communiqué.

Les pirates informatiques ont probablement tiré parti « du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes », ajoute-t-on.

Tous les comptes touchés ont été suspendus « dès que la menace a été découverte » pour protéger les renseignements personnels en cause, affirment les autorités. Celles-ci assurent par ailleurs que les personnes concernées seront contactées par les différents ministères pour créer de nouveaux accès.

Une enquête a été ouverte et suivra son cours dans les prochains jours. La Gendarmerie royale du Canada et le gouvernement tenteront notamment de déterminer « s’il y a eu des atteintes à la vie privée » et, si oui, quels renseignements ont été obtenus. Des mesures de protection « supplémentaires » pourraient notamment voir le jour à mesure que l’enquête se poursuit. Le Commissariat à la protection de la vie privée du Canada a aussi été avisé de la situation.

Plusieurs signalements faits en ligne

Dans un reportage diffusé samedi, le réseau public anglophone CBC rapporte que plusieurs Canadiens avaient déjà commencé, plus tôt en août, à signaler la modification d’éléments personnels dans leur compte, par exemple leur adresse courriel ou leurs informations bancaires. Des paiements de la Prestation canadienne d’urgence (PCU) auraient aussi été versés au nom de plusieurs usagers qui ne l’avaient jamais demandée.

« Ma femme s’est réveillée avec plusieurs courriels de l’Agence du revenu du Canada disant qu’elle allait recevoir un paiement de PCU et ses informations de dépôt direct avaient été modifiées. Elle n’avait fait aucune de ces choses », avait notamment témoigné un internaute du nom de Chris, le 4 août dernier.

« Je suis dans une situation semblable. Le fraudeur a déjà déposé 6000 $ dans “son” compte bancaire Tangerine. Malheureusement, je n’ai jamais reçu de courriels concernant les modifications au compte », a dénoncé un autre usager.

La section Mon dossier de l’ARC était inaccessible samedi soir de manière « temporaire », le temps de mener toutes les vérifications nécessaires.

Entre-temps, les autorités fédérales suggèrent fortement aux Canadiens « de toujours utiliser un mot de passe unique pour chaque compte en ligne », afin de réduire le risque de cyberattaques. « Évitez de réutiliser les mêmes mots de passe pour différents systèmes », ajoute-t-on.