Une faille de sécurité force Québec à fermer ses sites internet

Une faille de sécurité informatique majeure, qui cause des maux de tête à travers le monde, a forcé le gouvernement du Québec à fermer de façon préventive près de 4000 sites et services Internet, le temps d’y voir plus clair et de régler le problème.

Baptisée « Log4Shell », la faille concerne une bibliothèque Java nommée Log4j et développée par Apache, un logiciel libre. La brèche peut permettre à un pirate informatique d’exécuter des codes arbitraires à distance sur un serveur et d’en prendre le contrôle.

Lors d’une conférence de presse, dimanche, le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, Éric Caire, a assuré qu’« à ce jour, nous n’avons aucune indication voulant que nous aurions subi une attaque réussie ».

Il a expliqué qu’il était nécessaire de fermer plusieurs sites le temps de vérifier si la bibliothèque Java Log4j est utilisée, un « travail de moine ». « Il faut scanner l’ensemble de nos systèmes, a-t-il dit. On cherche un peu une aiguille dans une botte de foin. »

Les sites du réseau de l’éducation et de la santé, ainsi que Revenu Québec, sont notamment touchés. Dimanche soir, il n’était pas possible par exemple d’accéder à clicSÉQUR. Sur son site, l’Université de Sherbrooke a de son côté écrit avoir fermé l’accès à certains systèmes informatiques, le temps de faire des vérifications. Le passeport vaccinal et le système de prise de rendez-vous pour la vaccination, eux, ne sont pas touchés.

Les sites redeviendront disponibles au fur et à mesure que des correctifs seront faits ou qu’il aura été établi qu’ils n’utilisent pas l’élément problématique. Le ministre n’a pas pu préciser quand prendra fin cette grande opération, en disant que « ça va être une question de jours ».

À Ottawa, les sites de différents ministères ont également été préventivement fermés. C’est notamment le cas du portail sécurisé Mon Dossier sur le site de l’Agence de revenu du Canada (ARC), qui est temporairement indisponible depuis le 10 décembre et qui l’était encore, dimanche soir.

« Rien n’indique à l’heure actuelle que les systèmes de l’Agence aient été compromis ou qu’il y ait eu un accès non autorisé aux renseignements confidentiels de contribuables en raison de cette vulnérabilité », a indiqué l’ARC dans une déclaration envoyée au Devoir, sans préciser quand les services seront à nouveau disponibles.

De son côté, le Centre canadien pour la cybersécurité « recommande fortement aux organisations de passer en revue en interne les applications potentiellement touchées », prévenant qu’en « raison de l’utilisation répandue de la bibliothèque Log4j dans des infrastructures populaires, de nombreuses applications de tierces parties pourraient être vulnérables ».

Beaucoup de gens touchés

« C’est une catastrophe d’un point de vue global », lance Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec. « C’est grave, parce que c’est de l’exécution de codes à distance et ça affecte n’importe qui qui a une application Java avec cette librairie. Il y a beaucoup de monde qui l’utilise. »

De nombreux gouvernements ont par ailleurs émis des alertes au sujet de cette faille, dont les États-Unis, l’Australie et la Nouvelle-Zélande.

Patrick Mathieu, expert en sécurité informatique et cofondateur du Hackfest, ajoute qu’il est facile pour un pirate informatique de tirer profit de la faille et que cela ne demande pas énormément de connaissances en informatique. « C’est extrêmement simple, ça donne accès à des méga-entreprises en quelques clics », dit-il. Il n’est pas impossible, ensuite, pour un pirate informatique de mettre la main sur des données personnelles une fois qu’il contrôle un serveur. Plusieurs ont tenté d’exploiter la faille jeudi, lorsqu’elle a été dévoilée. D’où l’importance d’apporter rapidement des correctifs, estime Patrick Mathieu, qui pense que les gouvernements ont pris la bonne décision en fermant leurs sites.

 

Avec La Presse canadienne

À voir en vidéo