Bogue Heartbleed : des agences gouvernementales encore vulnérables

Des agences gouvernementales provinciales et fédérales se croiraient faussement à l’abri du bogue Heartbleed, selon une étude.Logo du gouvernement du Canada

L’étude de l’entreprise de services Internet Netcraft, qui est rapportée par It World Canada, dit que des sites Internet d’agences gouvernementales, incluant des agences du Canada et du Québec, seraient encore à risque malgré les mesures de protection qui ont été mises en application récemment.

« Pendant que les sites Internet corrigeaient leurs installations OpenSSL vulnérables après la découverte du bogue Heartbleed en avril, en remplaçant leurs certificats SSL et en révoquant les anciens, des sites ont en fait réutilisé la même clé privée potentiellement compromise dans le nouveau certificat », explique IT World Canada.

Plus de 30 000 certificats affectés auraient été ainsi révoqués, puis réédités en réutilisant la même clé privée.

« Quelques sections du gouvernement canadien ont fait l’erreur de réutiliser des clés privées alors qu’ils essayaient d’atténuer les risques », affirme l’étude. Rappelons que l’impact du bogue Heartbleed avait touché tous les services en ligne du gouvernement fédéral – en particulier l’Agence du revenu du Canada – qui utilisent OpenSSL à des fins de chiffrement.

Au Québec, Netcraft soutient que l’un des sites Internet de la Société de l’assurance automobile du Québec pourrait être dans cette situation à la suite de la production de son nouveau certificat SSL. Son ancien certificat avait été révoqué le 29 avril.

Lire l’article au complet sur le site d’IT World Canada, une publication sœur de Direction informatique (en anglais).

Articles connexes

CORRECTION : L’application canadienne Alerte COVID retirée après deux ans

L'application canadienne pour les téléphones intelligents Alerte COVID, développée au plus fort de la pandémie de COVID-19 pour avertir les gens lorsqu'ils ont été en contact étroit avec une personne infectée par le virus, a officiellement pris sa retraite.

Le Canada demande au G7 un groupe de travail sur la cybersécurité

Face à ce qu'il appelle les « cyberactivités malveillantes » de la Russie dans sa guerre contre l'Ukraine, le Canada exhorte les pays du G7 à créer un groupe de travail pour partager les meilleures pratiques en matière de cybersécurité afin de protéger leurs infrastructures essentielles de TI et de télécommunications.

L’état de l’identité numérique au Canada

L'identité numérique arrive au Canada, soulevant une foule de questions de même que certaines préoccupations des défenseurs de la vie privée. De nombreuses provinces et le gouvernement fédéral ont lancé des initiatives d'identité numérique pour simplifier et sécuriser l'accès aux services gouvernementaux.

Le Canada devrait limiter l’utilisation de la reconnaissance faciale

Les commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux du Canada déclarent que le Parlement devrait limiter l'utilisation par la police canadienne de la technologie de reconnaissance faciale à des circonstances étroitement définies telles que les crimes graves, ont déclaré aujourd'hui.

Loi fédérale pour obliger les géants de la technologie à payer pour les nouvelles

Le gouvernement fédéral du Canada a présenté mardi une loi pour obliger les géants de la technologie à payer pour les nouvelles produites par des entreprises de presse qu’ils utilisent sur leurs différentes plateformes.