Agence du revenu du Canada

Agence du revenu du Canada

14 avr. 2014 08h00 HE

Déclaration du commissaire de l'Agence du revenu du Canada sur la faille Heartbleed

OTTAWA, ONTARIO--(Marketwired - 14 avril 2014) -

Dès que l'ARC a appris que ses systèmes étaient vulnérables à la faille Heartbleed, elle a rapidement réagi en suspendant, le 8 avril 2014, l'accès public à ses services en ligne afin de protéger les renseignements des contribuables.

Depuis, l'ARC a travaillé sans arrêt à mettre en œuvre une solution pour corriger pour la faille et à tester rigoureusement tous ses systèmes pour en assurer la sécurité. L'Agence a pu relancer ses services en ligne tard hier soir.

Cependant, l'ARC a été informé par les principaux organismes chargés de la sécurité du Gouvernement du Canada qu'une infraction malveillante aux données des contribuables a eu lieu au cours d'une période de six heures. Selon l'analyse la plus récente, les numéros d'assurance sociale (NAS) d'environ 900 contribuables ont été soutirés des systèmes de l'ARC par quelqu'un qui a exploité la faille Heartbleed. L'ARC est en train de procéder au processus laborieux d'analyse d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, qui ont également été soutirées des systèmes.

L'ARC est l'un de nombreux organismes qui, malgré leurs contrôles hautement sophistiqués, étaient vulnérables à la faille Heartbleed. Grâce au soutien dévoué de son partenaire en matière de sécurité et Services partagé Canada, l'Agence a pu maîtriser l'intrusion avant de remettre ses systèmes en ligne hier. De plus, l'analyse des renseignements menée à ce jour indique qu'aucune autre intrusion n'a eu lieu avant et après cette infraction.

L'ARC a mis en place aujourd'hui des mesures visant à appuyer et à protéger les particuliers touchés par l'infraction. Elle communiquera avec chacun d'eux par courrier recommandé afin de les en informer. Ils pourront aussi téléphoner au numéro sans frais qui sera mis à leur disposition afin d'obtenir plus de renseignements, y compris sur les mesures à prendre pour protéger l'intégrité de leur NAS. Notez que l'Agence ne téléphonera pas et n'enverra pas de courriel aux particuliers pour les informer qu'ils ont été touchés, parce qu'elle veut s'assurer que ses communications à ce sujet sont protégées et ne peuvent pas être exploitées par des fraudeurs au moyen de stratagèmes d'hameçonnage.

L'ARC fournira également aux personnes touchées l'accès à des services de protection du crédit, sans frais. De plus, elle mettra en place des protections supplémentaires dans leurs comptes fiscaux afin d'y empêcher toute activité non autorisée.

Le 11 avril 2014, j'ai informé le commissaire à la protection de la vie privée du Canada de l'infraction. La Gendarmerie royale du Canada fait enquête.

En tant que commissaire de l'ARC, je tiens à exprimer mes regrets aux Canadiens pour cette interruption de service. En particulier, je partage les inquiétudes et la consternation des personnes dont la vie privée a été touchée par cet acte malveillant.

Les services en ligne de l'ARC sont sûrs et sécurisés. L'ARC a réagi avec vigueur pour protéger ses systèmes et a renforcé ses mesures de contrôles et de surveillance pour que la sécurité de son site continue de respecter les normes les plus élevées.

Je sais que les employés de l'Agence du revenu du Canada se joignent à moi pour exprimer notre appréciation pour la collaboration et la patience du public, des entreprises et des représentants pendant que nous travaillions à résoudre la situation.

Le commissaire, Andrew Treusch

Renseignements

  • Noël Carisse
    Relations avec les médias
    Agence du revenu du Canada
    613-952-9184