Sécurité: Ottawa forcé de fermer plusieurs de ses sites Internet

Après le site transactionnel de l’Agence de revenu Canada (ARC) plus tôt cette semaine, le gouvernement fédéral a confirmé en matinée vendredi avoir fermé plusieurs autres de ses sites Internet afin de résoudre un problème de sécurité important dans ses réseaux numériques qui exposerait à d’éventuels pirates informatiques des milliers d’informations personnelles de citoyens. Connue sous le nom de Heartbleed (coeur qui saigne), cette faille qui existerait depuis près de deux ans sème l’émoi depuis quelques jours dans les réseaux informatiques publics et privés à travers le monde.

 

Sur recommandation de la dirigeante principale de l’information du gouvernement, Corinne Charette, plusieurs organismes et ministères fédéraux ont été invités jeudi en début de soirée à suspendre leurs activités numériques sur la Toile en attendant qu’une solution à ce problème soit trouvée. La liste complète des sites visés n’a pas été dévoilée. La durée de la suspension n’a pas non plus été précisée.

 

« Ce geste est posé de manière préventive jusqu’à ce qu’un remède adéquat et testé ait été mis en place, a indiqué vendredi Tony Clement, le président du Conseil du Trésor. La conséquence, c’est que les Canadiens ne vont plus pouvoir accéder à des sites du gouvernement, et ce, durant toute la durée d’application de cette mesure. »

 

Délais

 

Mercredi, l’Agence de revenu du Canada (ARC) a ouvert ce bal de la fermeture en bloquant l’accès à son espace transactionnel, en pleine période de déclaration d’impôt, et ce, en attirant les regards sur cette faille informatique baptisée Heartbleed. Située dans le protocole de communication entre les serveurs OpenSSL, elle permet l’accès à des informations que l’on croyait pourtant cryptées. Les mots de passe, les noms d’usager, les données personnelles peuvent ainsi être lues en clair par un regard mal intentionné.

 

Vendredi, l’opposition s’est étonnée que le gouvernement ait attendu deux jours pour appliquer à d’autres sites la mesure adoptée par l’ARC. « C’est inquiétant, a réagi le député néodémocrate Mathieu Ravignat. Le piratage, c’est une profession rapide, si je peux m’exprimer ainsi. Alors on peut parler de secondes et de minutes, et des renseignements importants peuvent être perdus. [La fermeture de tous les sites fédéraux] aurait dû être effectuée plus rapidement. »

 

Dans une mise à jour mise en ligne sur son site Internet, l’ARC a indiqué vendredi après-midi avoir « fait de bons progrès ». Ses services en ligne devraient reprendre durant la fin de semaine, a-t-elle estimé.

 

Un mal répandu

 

Le protocole OpenSSL est utilisé massivement par des organismes privés et publics pour crypter l’information transmise par un tiers — un citoyen, un client — sur les serveurs d’une entreprise ou d’un organisme public. Il trouve sa place dans des réseaux de plus en plus complexes, qui, paradoxalement, deviennent plus vulnérables aux attaques et aux intrusions. Près de 500 000 sites seraient touchés à travers le monde.

 

Vendredi, le géant de l’informatique Cisco a indiqué que les conséquences de cette faille étaient sans doute plus importantes qu’on le pensait, et s’activait à revoir la sécurité de plusieurs de ses applications et services affectés par cette porte d’accès non sollicité dans un protocole de cryptage. Porte, par ailleurs, dans laquelle un pirate peut s’engouffrer sans être détecté. Logiciels, routeurs informatiques, mais également systèmes de téléconférence de Cisco auraient été touchés par Heartbleed, a résumé l’entreprise par voie de communiqué, en appelant sa clientèle à la prudence.

 

Ce problème de sécurité est une faille informatique de plus qui vient secouer les univers numériques, et ce, depuis le fameux bogue de l’an 2000 qui aura toutefois plus mis en lumière la crédulité des citoyens numériques que la sécurité précaire des réseaux. Cela n’a toutefois pas été le cas des virus informatiques comme Melissa, ILOVEYOU, Nimda ou Code Red qui ont exploité, tout en la surlignant, la fragilité des réseaux informatiques et celle d’un écosystème numérique toujours plus complexe où l’interconnexion entre les serveurs ne facilite pas seulement le partage et l’accès à l’information, mais également, par lien de cause à effet, les intrusions.

 

Cette fragilité n’est d’ailleurs pas seulement exploitée par des pirates, mais également par les services secrets américains, comme la révélé l’ex-analyste de la NSA Edward Snowden, qui a mis au grand jour les modules et protocoles développés par ces services de renseignement pour intercepter en ligne des données personnelles dont la sécurité est asssurée, en théorie du moins, par le cryptage.

 

Paradoxalement, OpenSSL est un système dit à « code source ouvert », et participe à la construction d’environnement numérique fondé sur le principe des logiciels libres. Environnement que l’on dit pourtant plus sécuritaire.

 


Avec Marie Vastel

À voir en vidéo