L’agence fédérale coupe l’accès à ses services en ligne publics en raison d’un important bogue lié au chiffrement.
En pleine saison de production des déclarations de revenus par les contribuables, les entreprises et les organismes, l’Agence de revenu du Canada a interrompu l’accès aux services en ligne « TED », « IMPOTNET », « Mon dossier », « Mon dossier d’entreprise » et « Représenter un client » en raison d’un blogue, nommé Heartbleed, qui a été identifié dans la librairie du logiciel de chiffrement de sites web OpenSSL. Cette librairie sert notamment à chiffrer un site web au moyen des protocoles SSL ou TLS.
« Nous avons été informés d’une vulnérabilité informatique connue sous le nom de Heartbleed Bug. Par mesure de précaution, l’ARC a temporairement suspendu tout accès public à ses services en ligne afin de protéger l’intégrité des renseignements que nous détenons », indique l’Agence de revenu du Canada dans la page d’accueil de son site web.
« L’ARC reconnait que ce problème pourrait causer des inconvénients importants pour les particuliers et les entreprises qui comptent sur nos services et nos renseignements en ligne. Soyez assuré que nous sommes engagés à régler la situation et à rétablir les services le plus rapidement possible, tout en continuant de préserver la sécurité des renseignements privés des Canadiens et des Canadiennes », ajoute l’agence fédérale.
L’Agence de revenu du Canada indique qu’elle pourrait tenir compte des délais que cette interruption de service pourrait causer à ceux et celles qui doivent soumettre leur déclaration de revenus. Également, l’agence indique qu’elle fournira des mises à jour de façon quotidienne, en après-midi, dans son site web.
Selon un site web explicatif qui a été créé par la firme Codenomicon, l’exploitation du bogue Heartbleed peut causes des fuites de contenu qui résident en mémoire, d’un serveur vers un client et vice versa. Notamment, des clés privées de chiffrement et du contenu confidentiel pourraient être obtenus de façon malicieuse par l’exploitation de ce bogue. Codenomicon affirme que cette vulnérabilité existe depuis un moment.
Selon Codenomicon, une correction de bogue, nommée Fixed OpenSSL, a été publiée à l’intention des exploitants de sites web qui ont recours aux protocoles de chiffrement SSL et TLS.
