L’Agence dit avoir été informée d’une vulnérabilité informatique nommée «Heartbleed Bug».
Elle a donc temporairement suspendu tout accès public à ses services en ligne par mesure de précaution «afin de protéger l’intégrité des renseignements» qu’elle possède sur l’ensemble des contribuables canadiens.
Dans un communiqué, l’ARC précise que les applications touchées comprennent les services en ligne tels qu’IMPONET, TED, Mon dossier, Mon dossier d’entreprise, et Représenter un client.
L’Agence du revenu promet d’étudier tout impact potentiel sur les renseignements des contribuables et ajoute qu’elle tiendra compte de cette interruption de service si elle devait avoir pour effet d’empêcher des contribuables de remplir leur obligation de produire une déclaration.
En pleine période de pointe
Cet incident se produit en période de pointe à l’agence. Les contribuables doivent produire leur déclaration de revenus de 2013 d’ici la fin du mois.
À la fin du mois de mars, 6,7 millions de déclarations avaient déjà été soumises à l’Agence, dont 87% par Internet.
L’opposition néo-démocrate à Ottawa n’a pas tardé à blâmer le gouvernement, l’accusant d’incompétence et lui reprochant de ne pas avoir su protéger les renseignements privés des Canadiens.
«C’est extrêmement inquiétant», a lancé le député Alexandre Boulerice.
«On se demande qui a été atteint par ça. Les « hackers » ont eu accès à quel genre de documents? Pour combien de personnes? Quels sont les renseignements personnels qui ont été peut-être pris par ces gens-là?», a-t-il demandé, en arrivant au parlement mercredi matin.
La ministre responsable du dossier, Kerry-Lynne Findlay, n’a répondu à aucune de ces questions lorsqu’elle a été interceptée par les journalistes à la porte de la réunion du caucus conservateur.
«Vous en saurez plus, plus tard aujourd’hui», s’est-elle contentée de lâcher avant de s’engouffrer dans la salle de réunion.
Détecté par Google et des chercheurs finlandais
Le Heartbleed bug a été détecté dans la nuit du lundi 7 au mardi 8 avril par des chercheurs finlandais et une équipe de Google Security. Il s’agit d’une faille sur OpenSSL, un protocole servant à crypter le trafic Web et, par extension, à protéger les données des internautes comme les mots de passe et les numéros de carte bancaire.
Environ un demi-million de sites internet ont été touchés. L’Association des banquiers canadiens (ABC) a déjà publié un communiqué de presse assurant que les sites des banques canadiennes n’étaient pas vulnérables à Hearbleed.
« Les Canadiens peuvent poursuivre leurs activités bancaires sur ces sites en toute confiance, lit-on dans le communiqué de l’ABC. Les banques ont prévu des systèmes et des mesures de sécurité complexes afin de protéger les renseignements personnels et financiers de leurs clients. Le cryptage des données est l’une de ces mesures.»
Une solution pour corriger la faille a été trouvée dès lundi soir et certains sites auraient été prévenus suffisamment tôt pour contrer le bug, mais d’autres ont accusé un certain retard.
Le député Boulerice est convaincu que l’ARC n’a pas agi assez rapidement et il en tient pour responsable les compressions budgétaires imposées par le gouvernement Harper.
«Quand on ferme l’ensemble du système, c’est parce qu’on est déjà deux coups en retard. (…) Peut-être que les compressions dans les services publics, dans les ressources, qui ont été faites par le gouvernement conservateur de manière totalement irresponsable depuis trois ans, peut-être qu’on n’a pas été capable d’avoir les outils technologiques, justement, pour assurer la défense des gens», a-t-il supposé.