Bogue Heartbleed : Ottawa réactive ses services en ligne


Dominique Lemoine - 14/04/2014

Le gouvernement fédéral a rétabli les services web qui avaient été interrompus en raison du bogue Heartbleed. Toutefois, une infraction malveillante est survenue à l’Agence de revenu du Canada avant le colmatage de la brèche. Logo du gouvernement du Canada

Depuis le dimanche 13 avril, les particuliers, entreprises et représentants peuvent à nouveau produire leurs déclarations de revenus, faire des paiements et accéder à tous les autres services en ligne qui sont offerts sur le site web de l’Agence de revenu du Canada.

Un correctif logiciel a été testé avec succès et mis en place sur les systèmes de l’Agence de revenu du Canada pour maîtriser l’intrusion et remédier à la faille Heartbleed, affirme l’agence fédérale.

Parmi les services de l’Agence de revenu du Canada qui avaient été fermés afin que l’intégrité des renseignements privés qu’ils contenaient soit protégée figuraient « TED », « IMPOTNET », « Mon dossier », « Mon dossier d’entreprise » et « Représenter un client ».

Ces services avaient été coupés après l’identification de la présence du bogue Heartbleed dans la librairie du logiciel de chiffrement de sites web OpenSSL. Cette librairie sert à chiffrer un site web au moyen des protocoles SSL ou TLS.

Des intérêts et des pénalités ne seront pas imposés aux particuliers qui auront produit leur déclaration de revenus pour l’année 2013 après le 30 avril 2014 durant une période équivalente à la durée de l’interruption de service, soit jusqu’au 5 mai.

De plus, à la fin de la semaine dernière, Ottawa avait désactivé à la fin de la semaine tous ses services en ligne et ses ponts numériques qui ont recours au chiffrement par le biais d’OpenSSL. Dans un communiqué, le Conseil du Trésor du gouvernement du Canada a déclaré que le service avait été rétabli pour tous les sites Web dont l’accès avait été bloqué en raison du bogue Heartbleed.

Infraction malveillante

Cependant, l’Agence de revenu du Canada mentionne qu’une infraction malveillante visant les données des contribuables est survenue au cours d’une période de six heures avant le colmatage de la brèche. Les numéros d’assurance sociale (NAS) d’environ 900 contribuables ont été soutirés des systèmes de l’ARC par quelqu’un qui a exploité la faille Heartbleed.

Lire : Bogue Heartbleed : environ 900 numéros d’assurance sociale subtilisés

Selon un site web explicatif qui a été créé par la firme Codenomicon, l’exploitation du bogue Heartbleed peut causer des fuites de contenu qui résident en mémoire, d’un serveur vers un client et vice versa. Des clés privées de chiffrement et du contenu confidentiel pourraient être obtenus de façon malicieuse par l’exploitation de ce bogue.




Tags: , , , , , , , , , , , , , ,
Dominique Lemoine

À propos de Dominique Lemoine

Dominique Lemoine est rédacteur en chef du magazine Direction informatique.
Google+