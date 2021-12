(Québec) Québec ordonne la fermeture préventive de l’ensemble de ses systèmes informatiques accessibles depuis internet, pas moins de 3992 sites et services, à la suite de la découverte d’une faille majeure de sécurité touchant des systèmes informatiques à travers le monde.

Tommy Chouinard La Presse

La faille « Log4Shell » permet à un cyberpirate de faire exécuter des codes informatiques sur le serveur des organismes et de prendre le contrôle de leur système. Une bibliothèque Java de la société Apache, largement utilisée dans le monde, est concernée. La faille a été découverte le 10 décembre. Le Centre gouvernemental de cyberdéfense a pris connaissance de cette vulnérabilité le jour même et a demandé à tous les responsables de la sécurité informatique de détecter cette faille dans les systèmes de l’État québécois.

En fin de journée samedi, « nous avons convenu que la menace de préjudice était plus grande que le préjudice de fermer l’ensemble des systèmes du gouvernement accessibles depuis internet », a expliqué le ministre délégué à la Transformation numérique, Éric Caire, en conférence de presse dimanche. « Nous étions face à une menace d’un niveau critique de 10 sur 10. Une criticité de 10 entraîne automatiquement la fermeture du système qui est visé. » Il a donc ordonné de fermer de manière préventive tous les 3992 sites et services internet de l’État, une décision exceptionnelle et jamais vue au gouvernement du Québec.

L’ordre touche, entre autres, les services gouvernementaux offerts aux citoyens sur l’internet — comme ceux utilisant CLICSÉQUR — et les sites web du réseau de l’éducation et de la santé. Le système de prise de rendez-vous d’un vaccin contre la COVID-19 et le passeport vaccinal ne sont pas concernés, selon les explications d’Éric Caire.

Québec précise qu’aucune activité laissant croire qu’un pirate informatique a exploité cette faille n’a été détectée à ce jour. Il n’y aurait donc pas eu fuite de données personnelles pour le moment, par exemple.

Tous les ministères et organismes publics et parapublics doivent vérifier s’ils utilisent la bibliothèque Java en cause et donc si leurs systèmes informatiques sont vulnérables. « On cherche un peu une aiguille dans une botte de foin, je ne vous le cache pas ! » a lâché Éric Caire.

Les sites et services internet seront rouverts rapidement si l’on constate qu’ils ne sont pas concernés par la faille de sécurité. Les autres devront installer un correctif informatique et vérifier ensuite si un problème persiste. « Il y a une batterie de tests à faire », a indiqué Éric Caire. À ses côtés, le dirigeant principal de l’informatique, Pierre Rodrigue, a précis que plusieurs jours seront nécessaires pour compléter l’opération et rétablir l’ensemble des systèmes informatiques.

Si certains sites sont accessibles en ce moment, c’est soit parce qu’ils n’ont pas encore exécuté l’ordre de fermeture soit parce que l’on a conclu rapidement qu’ils ne sont pas concernés par la faille.