Bogue Heartbleed : l’Agence de revenu du Canada désactive ses services web

L’agence fédérale coupe l’accès à ses services en ligne publics en raison d’un important bogue lié au chiffrement.Logo du gouvernement du Canada

En pleine saison de production des déclarations de revenus par les contribuables, les entreprises et les organismes, l’Agence de revenu du Canada a interrompu l’accès aux services en ligne « TED », « IMPOTNET », « Mon dossier », « Mon dossier d’entreprise » et « Représenter un client » en raison d’un blogue, nommé Heartbleed, qui a été identifié dans la librairie du logiciel de chiffrement de sites web OpenSSL. Cette librairie sert notamment à chiffrer un site web au moyen des protocoles SSL ou TLS.

« Nous avons été informés d’une vulnérabilité informatique connue sous le nom de Heartbleed Bug. Par mesure de précaution, l’ARC a temporairement suspendu tout accès public à ses services en ligne afin de protéger l’intégrité des renseignements que nous détenons », indique l’Agence de revenu du Canada dans la page d’accueil de son site web.

« L’ARC reconnait que ce problème pourrait causer des inconvénients importants pour les particuliers et les entreprises qui comptent sur nos services et nos renseignements en ligne. Soyez assuré que nous sommes engagés à régler la situation et à rétablir les services le plus rapidement possible, tout en continuant de préserver la sécurité des renseignements privés des Canadiens et des Canadiennes », ajoute l’agence fédérale.

L’Agence de revenu du Canada indique qu’elle pourrait tenir compte des délais que cette interruption de service pourrait causer à ceux et celles qui doivent soumettre leur déclaration de revenus. Également, l’agence indique qu’elle fournira des mises à jour de façon quotidienne, en après-midi, dans son site web.

Selon un site web explicatif qui a été créé par la firme Codenomicon, l’exploitation du bogue Heartbleed peut causes des fuites de contenu qui résident en mémoire, d’un serveur vers un client et vice versa. Notamment, des clés privées de chiffrement et du contenu confidentiel pourraient être obtenus de façon malicieuse par l’exploitation de ce bogue. Codenomicon affirme que cette vulnérabilité existe depuis un moment.

Selon Codenomicon, une correction de bogue, nommée Fixed OpenSSL, a été publiée à l’intention des exploitants de sites web qui ont recours aux protocoles de chiffrement SSL et TLS.

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Le gouvernement du Canada investit 48,3 millions de dollars dans la formation en TIC 

Le gouvernement du Canada a annoncé hier un investissement de 48,3 millions de dollars canadiens dans le cadre du Programme de solutions sectorielles en main-d'œuvre, pour former les travailleurs du secteur des technologies de l'information et des communications (TIC). 

Une jeune pousse torontoise testera sa solution de distribution de clés à l’épreuve du quantique

Le gouvernement fédéral donne à une jeune pousse de Toronto l'occasion de prouver que sa nouvelle technologie pourrait aider à protéger les communications canadiennes cryptées d'aujourd'hui contre le piratage par des ordinateurs quantiques.

Le gouvernement du Canada investit dans MEDTEQ+ pour financer des technologies d’avant-garde

Le gouvernement du Canada annonce un investissement de 47 millions de dollars par l'entremise du Fonds stratégique pour l'innovation afin d’appuyer le réseau envisAGE de MEDTEQ+, un projet de 154 millions de dollars, mis en place en collaboration avec AGE-WELL, un réseau national qui développe des technologies et des services pour faciliter un vieillissement en bonne santé. 

Mise à jour d’OpenSSL pour corriger une vulnérabilité critique

Le projet OpenSSL publiera le 1er novembre un correctif pour une vulnérabilité critique de sa bibliothèque de sécurité open source, un événement rare auquel les développeurs d'applications et les administrateurs système devraient prêter attention.

Un groupe décroche un contrat fédéral pour automatiser l’authentification des appareils en réseau

Un groupe d’Ottawa dirigé par l'intégrateur Optiv Canada et qui comprend aussi Venafi et Crypto4A Technologies, a remporté un contrat concurrentiel pour automatiser une grande partie du processus d'authentification des appareils en réseau du gouvernement fédéral.