Bogue Heartbleed : Ottawa coupe tous ses ponts numériques fondés sur OpenSSL


Jean-François Ferland - 11/04/2014

Le Conseil du Trésor,  jusqu’à nouvel ordre, désactive tous les services en ligne du gouvernement fédéral qui sont fondés sur OpenSSL.Logo du gouvernement du Canada

Après l’interruption de l’accès aux services en ligne de l’Agence de revenu du Canada, plus tôt cette semaine, c’est l’accès à l’ensemble des services web qui ont recours au chiffrement du gouvernement du Canada, par le biais d’OpenSSL, qui a été interrompu de façon préventive.

Une vulnérabilité dans la librairie du logiciel de chiffrement de sites web OpenSSL est à l’origine de cette interruption de service. L’exploitation du bogue Heartbleed peut causer des fuites de contenu qui résident en mémoire, d’un serveur vers un client et vice versa. Notamment, des clés privées de chiffrement et du contenu confidentiel pourraient être obtenus de façon malicieuse par l’exploitation de ce bogue.

« Ce soir [le jeudi 10 avril], le Dirigeant principal de l’information du gouvernement du Canada a émis une directive à tous les ministères fédéraux leur demandant de désactiver immédiatement des sites web publics qui utilisent le logiciel OpenSSL sans rustine. Ces mesures sont prises à titre de précaution jusqu’à ce que des corrections sécuritaires appropriées soient mises en place et vérifiées », déclare le président du Conseil du Trésor, Tony Clement, dans un communiqué.

« Ainsi, les Canadiens ne pourront accéder à certains sites web du gouvernement du Canada pendant que ces mesures sont effectuées. Nous comprenons que ces mesures dérangeront, toutefois, compte tenu des circonstances, ceci s’avère la meilleure marche à suivre afin de protéger les renseignements personnels des canadiens [sic] », ajoute le ministre.

Tout porte à croire que l’administration fédérale, lorsque les correctifs auront été appliqués, avisera les internautes de la fin de l’interruption des services en ligne par l’entremise des médias.

En ligne, le chiffrement est utilisé généralement pour sécuriser des sites où les utilisateurs doivent fournir un identifiant et un mot de passe à des fins d’authentification, pour accéder à un compte.

Au moment de mettre cet article en ligne, le gouvernement du Canada n’avait pas répondu à une demande d’information de Direction informatique qui visait à savoir combien de sites web de l’administration fédérale étaient touchés par cette interruption d’accès.

 




Tags: , , , , , , ,

À propos de Jean-François Ferland

Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.
Google+