Cybersécurité: l'Agence du revenu du Canada suspend ses services en ligne

Répondre
Avatar du membre
cgelinas
Administrateur
Messages : 7780
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

L'Agence du revenu du Canada (ARC) a déclaré avoir suspendu ses services en ligne après avoir appris l'existence d'une menace pour la sécurité.

L'agence a indiqué vendredi sur son site Internet qu'elle a pris connaissance «d’une vulnérabilité de sécurité qui affecte des organisations à travers le monde.»

L'ARC a ajouté qu'il n'y a aucune indication que les systèmes de l'agence ont été compromis, ou qu'il y a eu un accès non autorisé aux informations des contribuables.

Plus de détails sur la nature de la vulnérabilité n'ont pas été fournis.

Vendredi et samedi, les 10 et 11 décembre 2021, les internautes ne pouvaient pas accéder au portail Mon dossier, notamment.

«Nos services seront à nouveau disponibles dès que possible», a précisé l'agence.

Pendant ce temps, l'agence de transport en commun du sud de l'Ontario, Metrolinx, a déclaré que le site Web de GO Transit avait été remis en ligne samedi après une panne de 17 heures en raison d'une cybermenace.




Source: MSN / La Presse canadienne




-- -- --
Fichiers joints
agence-du-revenu-du-canada.jpg
agence-du-revenu-du-canada.jpg (49.74 Kio) Vu 348 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Avatar du membre
cgelinas
Administrateur
Messages : 7780
Enregistré le : 25 mai 2010, 22:07
Localisation : Lévis, QC
Contact :

Une faille de sécurité informatique majeure, qui cause des maux de tête à travers le monde, a forcé le gouvernement du Québec à fermer de façon préventive près de 4000 sites et services Internet, le temps d’y voir plus clair et de régler le problème.

Baptisée « Log4Shell », la faille concerne une bibliothèque Java nommée Log4j et développée par Apache, un logiciel libre. La brèche peut permettre à un pirate informatique d’exécuter des codes arbitraires à distance sur un serveur et d’en prendre le contrôle.


Lors d’une conférence de presse, dimanche, le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, Éric Caire, a assuré qu’« à ce jour, nous n’avons aucune indication voulant que nous aurions subi une attaque réussie ».

Il a expliqué qu’il était nécessaire de fermer plusieurs sites le temps de vérifier si la bibliothèque Java Log4j est utilisée, un « travail de moine ». « Il faut scanner l’ensemble de nos systèmes, a-t-il dit. On cherche un peu une aiguille dans une botte de foin. »

Les sites du réseau de l’éducation et de la santé, ainsi que Revenu Québec, sont notamment touchés. Dimanche soir, il n’était pas possible par exemple d’accéder à clicSÉQUR. Sur son site, l’Université de Sherbrooke a de son côté écrit avoir fermé l’accès à certains systèmes informatiques, le temps de faire des vérifications. Le passeport vaccinal et le système de prise de rendez-vous pour la vaccination, eux, ne sont pas touchés.

Les sites redeviendront disponibles au fur et à mesure que des correctifs seront faits ou qu’il aura été établi qu’ils n’utilisent pas l’élément problématique. Le ministre n’a pas pu préciser quand prendra fin cette grande opération, en disant que « ça va être une question de jours ».

À Ottawa, les sites de différents ministères ont également été préventivement fermés. C’est notamment le cas du portail sécurisé Mon Dossier sur le site de l’Agence de revenu du Canada (ARC), qui est temporairement indisponible depuis le 10 décembre et qui l’était encore, dimanche soir.

« Rien n’indique à l’heure actuelle que les systèmes de l’Agence aient été compromis ou qu’il y ait eu un accès non autorisé aux renseignements confidentiels de contribuables en raison de cette vulnérabilité », a indiqué l’ARC dans une déclaration envoyée au Devoir, sans préciser quand les services seront à nouveau disponibles.

De son côté, le Centre canadien pour la cybersécurité « recommande fortement aux organisations de passer en revue en interne les applications potentiellement touchées », prévenant qu’en « raison de l’utilisation répandue de la bibliothèque Log4j dans des infrastructures populaires, de nombreuses applications de tierces parties pourraient être vulnérables ».

Beaucoup de gens touchés

« C’est une catastrophe d’un point de vue global », lance Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec. « C’est grave, parce que c’est de l’exécution de codes à distance et ça affecte n’importe qui qui a une application Java avec cette librairie. Il y a beaucoup de monde qui l’utilise. »

De nombreux gouvernements ont par ailleurs émis des alertes au sujet de cette faille, dont les États-Unis, l’Australie et la Nouvelle-Zélande.

Patrick Mathieu, expert en sécurité informatique et cofondateur du Hackfest, ajoute qu’il est facile pour un pirate informatique de tirer profit de la faille et que cela ne demande pas énormément de connaissances en informatique. « C’est extrêmement simple, ça donne accès à des méga-entreprises en quelques clics », dit-il. Il n’est pas impossible, ensuite, pour un pirate informatique de mettre la main sur des données personnelles une fois qu’il contrôle un serveur. Plusieurs ont tenté d’exploiter la faille jeudi, le 9 décembre 2021, lorsqu’elle a été dévoilée. D’où l’importance d’apporter rapidement des correctifs, estime Patrick Mathieu, qui pense que les gouvernements ont pris la bonne décision en fermant leurs sites.



Source: MSN / Le Devoir / La Presse Canadienne



-- -- --
Fichiers joints
declaration-du-centre-canadien-pour-la-cybersecurite.jpg
declaration-du-centre-canadien-pour-la-cybersecurite.jpg (125.58 Kio) Vu 284 fois
la-commande-de-log4shell.JPG
la-commande-de-log4shell.JPG (78.18 Kio) Vu 344 fois
clicsequr-inaccessible.JPG
clicsequr-inaccessible.JPG (68.16 Kio) Vu 344 fois
Claude Gélinas, Éditeur
chaudiere.ca

Blogues: Montréal | Québec | Lévis | Emploi | Éducation | Placements | Transports
Dons: PayPal | DonorBox Web: Achetez vos noms de domaines au plus bas prix...
Répondre