La faille de sécurité Heartbleed fait ses premières victimes. Le fisc canadien est la dernière en date. Au canada les numéros d’assurance sociale de 900 contribuables ont été dérobés. Et elle n’est pas la seule à être touchée. Entre 30 et 50 %, des sites web seraient concernés.
La faille informatique a coûté 1 million de dollars au fisc
Le bogue Heartbleed provenait d’une faille dans le logiciel OpenSSL. Ce dernier a été activement utilisé sur le web pour protéger les renseignements délicats et assurer la sécurité. En effet, la faille informatique Heartbleed a obligé l’ARC ou Agence du Revenu du Canada (ARC) à suspendre l’accès à ses services en ligne en avril 2014. Elle a aussi coûté 1 million de dollars au fisc. La faille avait entrainé des problèmes dans plusieurs ministères du gouvernement fédéral. Elle avait forcé le Conseil du trésor à donner une directive à tous les ministères se servant des logiciels vulnérables de fermer les sites web publics. L’ARC était le plus touché, car le bogue a frappé juste au moment où les contribuables soumettaient leurs déclarations de revenus en ligne. Elle avait été contrainte de stopper ses services en ligne pendant 5 jours. Pire, l’ARC avait indiqué par la suite que la faille Heartbleed avait ouvert la voie à un pirate informatique qui avait réussi à dérober les numéros d’assurance sociale d’environ 900 contribuables. Certains sites du gouvernement du Canada restaient inaccessibles durant quelques jours, le temps d’appliquer des mesures correctives adéquates.
Des mesures ont été prises, mais…
Suite à l’incident, l’ARC s’est adressé par courrier à tous les contribuables victimes du pirate. Le but était de les informer et de leur offrir des services de protection du crédit sans frais. Et ce, avec d’autres mesures supplémentaires dans leurs comptes bancaires. La Gendarmerie royale du Canada ou GRC, et le Commissaire à la vie privée du Canada avaient été saisis de cette affaire. Les enquêteurs de la GRC ont réussi à arrêter le responsable. Il s’agit de Stephen Arthuro Solis-Reyes, un étudiant en informatique en Ontario, à London. Il a été accusé d’utilisation non autorisée d’ordinateur et de méfait concernant des données. Ces accusations pourraient lui coûter une peine de 10 ans de prison. Et malgré le battage médiatique sur cette faille Heartbleed, la plupart des contribuables canadiens ont continué à utiliser les services de déclaration en ligne de l’ARC en 2015. Sur 23 millions de déclarations, près de 19,8 millions de particuliers ont en effet produit la leur en ligne. Seulement 14,7 % des contribuables l’ont soumise sur papier. En 2014, 20,5 % des particuliers l’avaient produite sur papier.
Des efforts de sensibilisation : simulation d’hameçonnage
Après l’incident, l’ARC a décidé de mener une vérification de la cybersécurité entre janvier et avril 2015. Pour ce faire, elle a procédé à une simulation d’hameçonnage auprès de 16 000 employés dans toutes les directions générales et les régions. Il a fallu débourser 24 860 dollars pour la réaliser. Dans l’ensemble, le résultat de l’hameçonnage simulé était positif. Le nombre d’employés de l’ARC qui se sont abstenus à cliquer le lien était supérieur à la moyenne des employés des autres ministères. Par ailleurs, l’ARC exige que les employés suivent un cours obligatoire de 90 minutes sur la cybersécurité. À la suite de l’incident Heartbleed, l’ARC a déployé des efforts considérables pour sensibiliser ses salariés à la cybersécurité. Cela se fait par l’intermédiaire des canaux de communication interne habituels tels que les courriels, les nouvelles de l’ARC, les bannières en fond d’écran, les bulletins…
