(Ottawa) L’Agence du revenu du Canada (ARC) croit être en mesure de rétablir ses services en ligne dès mercredi, après avoir été la cible de trois cyberattaques qui ont vu des pirates utiliser des mots de passe de contribuables canadiens afin d’obtenir de façon frauduleuse des prestations et avoir accès à des renseignements personnels de Canadiens.

Joël-Denis Bellavance
Joël-Denis Bellavance La Presse

Ces cyberattaques ne devraient pas retarder indûment le versement de la Prestation canadienne d’urgence ou encore de la Prestation canadienne d’urgence pour les étudiants, selon les autorités canadiennes. D’ici à ce que les services soient rétablis, les applications pour obtenir ces prestations seront traitées uniquement par des agents de l’ARC au téléphone.

Toutefois, les entreprises qui soumettent une demande d’aide financière en vertu du programme de subventions salariales peuvent continuer à le faire par l’entremise du site internet de l’ARC, a indiqué Annette Butikofer, sous-commissaire principale et dirigeante principale à la direction de l’informatique de l’ARC.

En tout, pas moins de 5500 comptes de l’ARC ont été la cible d’une cyberattaque de type « bourrage de justificatifs ». Ce type de cyberattaque utilise les noms et les mots de passe d’utilisateurs recueillis lors de précédents piratages de comptes et qui sont mis en vente sur le web clandestin (le dark web). Les malfaiteurs cherchent ensuite à profiter du fait que beaucoup d’internautes utilisent les mêmes mots de passe pour plusieurs comptes personnels.

Dans la foulée de ces attaques, l’accès à tous les comptes touchés a été suspendu pour protéger les renseignements des contribuables canadiens. Le service en ligne « Mon dossier » de l’Agence du revenu du Canada a donc été suspendu.

Les contribuables touchés par ces cyberattaques recevront une lettre de l’ARC par la poste pour pouvoir modifier leurs mots de passe.

Outre les trois cyberattaques visant l’ARC, les services en ligne du gouvernement fédéral qui utilisent CléGC pour y accéder ont aussi été la cible de cyberattaques. En tout, 11 200 comptes ont été touchés (ce qui comprend 3300 comptes liés à l’ARC), a indiqué lundi Marc Brouillard, dirigeant principal par intérim des communications au Secrétariat du Conseil du Trésor du Canada.

La CléGC est utilisée par près de 30 ministères fédéraux et permet aux Canadiens d’accéder à des services comme « Mon dossier » ou à leur compte d’Immigration. Les mots de passe et les noms d’usager de 9041 Canadiens ont été acquis de manière frauduleuse et utilisés pour tenter d’accéder à des services gouvernementaux.

La Gendarmerie royale du Canada (GRC) et le Commissariat à la protection de la vie privée du Canada ont été informés de ces cyberattaques visant les renseignements personnels des Canadiens. La GRC, qui a été avisée par l’ARC dès le 11 août, a ouvert une enquête. On ignore pour le moment si ces cyberattaques ont été lancées de l’étranger ou si elles proviennent du pays.

Le gouvernement fédéral rappelle à la population qu’il est fortement recommandé d’utiliser des mots de passe différents pour chacun de ses comptes en ligne afin de réduire les risques d’être la cible d’une cyberattaque.

Selon le Centre antifraude du Canada, plus de 13 000 Canadiens ont été victimes de fraude au cours des six premiers mois de l’année. Le total des sommes soutirées s’élève à 51 millions. Entre le 6 mars et le 31 juillet, 2770 fraudes liées à la COVID-19 ont été signalées aux autorités. Les pertes financières atteignent 5,55 millions.

— Avec La Presse canadienne