Ottawa manque de transparence, dénonce l’opposition

Combien de numéros d’assurance sociale (NAS) volés à l’Agence du revenu du Canada (ARC) à la faveur de la faille de sécurité Heartbleed appartiennent à des contribuables domiciliés au Québec ? Et combien de données liées à des entreprises ont pu connaître le même traitement ?

 

Lundi, les autorités fédérales sont restées muettes sur la question, refusant de répondre aux questions des médias. Un silence qualifié de « manque de transparence » par l’opposition et qui n’est pas pour rassurer des citoyens dont les informations personnelles, mal protégées par l’administration publique, peuvent désormais se retrouver entre de mauvaises mains.

 

« Ce manque de transparence est inacceptable », a déploré le néodémocrate Murray Rankin. « Cela fait maintenant une semaine que la nouvelle a fait surface, et le gouvernement n’a toujours pas dit aux Canadiens quelles données avaient été consultées par les pirates informatiques, quel était le plan du gouvernement pour protéger les citoyens qui ont fait leur déclaration de revenus en ligne et quelles mesures seraient prises pour que cela ne se reproduise jamais », a-t-il dénoncé.

 

Vols d’informations

 

Ni la ministre responsable de l’Agence du revenu, Kerry-Lynne Findlay, ni ses fonctionnaires de l’ARC n’ont pris le temps d’expliquer la situation aux médias, lundi. Impossible, donc, de savoir de quelles provinces proviennent les citoyens touchés par cette faille de sécurité ou encore combien d’autres pourraient l’être. L’ARC s’est contentée de publier un simple communiqué de presse, lundi matin, qui notait en outre que l’agence « est en train de procéder au processus laborieux d’analyse d’autres fragments de données, dont certaines pourraient se rapporter à des entreprises, qui ont également été soutirées des systèmes ».

 

Mais personne au gouvernement n’a précisé la teneur de cette affirmation.

 

Au dernier comptage, les NAS de 900 Canadiens auraient été volés, a avoué l’ARC, par l’entremise de cette faille de sécurité, baptisée Heartbleed et qui compromet le cryptage des données transmises par un tiers par l’entremise d’un site Internet. Sans cet encodage numérique, des données sensibles, comme des noms d’usager, des mots de passe, des numéros administratifs…, peuvent ainsi être interceptées, et ce, sans que le détenteur de ces données s’en rende compte.

 

Déclarations de revenus

 

Le protocole à code ouvert SSL est à la base de ce bris de sécurité. Le 7 avril dernier, un trio de programmeurs — dont un responsable de la sécurité chez Google — ont ajusté le tir en mettant en circulation une nouvelle version d’OpenSSL, ce programme implanté dans près de 65 % des sites Web à travers le monde, et par lequel la faille a été également installée. Le lendemain, l’ARC mettait son site transactionnel en veilleuse, et ce, en pleine période de transmission des déclarations de revenus au pays. L’Agence a indiqué en fin de semaine que, dans les circonstances, la période de déclaration serait prolongée jusqu’au 5 mai prochain.

 

Par voie de communiqué, l’ARC a indiqué que les contribuables dont le NAS a été ainsi volé vont être contactés dans les prochains jours par courrier postal recommandé et par aucune autre méthode, a-t-elle précisé pour prévenir d’éventuels cas de fraudes par hameçonnage, fraudes passant par le téléphone ou le courriel. Des services de protection du crédit leur seront offerts gratuitement.

 

À la fin du mois de mars, 6,7 millions de déclarations d’impôt avaient été envoyées à l’ARC, dont 87 % en passant par son site transactionnel. Ce service a été rétabli dans le courant de l’après-midi dimanche, l’ARC rappelant que, désormais, ses services en ligne étaient « sûrs et sécurisés ».