Près de 900 numéros d’assurance sociale ont été volés, selon l’ARC

Ottawa — L'Agence du revenu du Canada (ARC) a admis lundi que la faille informatique Heartbleed, qui a mis à mal son système en ligne, a permis le vol des numéros d'assurance sociale (NAS) d'environ 900 personnes.

Un bilan qui pourrait s'alourdir, selon le commissaire de l'Agence, Andrew Treusch.

Celui-ci a indiqué, dans un communiqué transmis lundi, que l'ARC procède « à l'analyse d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, qui ont également été soutirées du système ».

La faille informatique Heartbleed est venue à bout des sites Web de l'ARC la semaine dernière. L'Agence a suspendu dès mardi l'accès en ligne des contribuables à des fins de sécurité. D'autres ministères fédéraux l'ont ensuite imitée.

Se servant de cette faille, des pirates informatiques peuvent soutirer des renseignements personnels confiés par des utilisateurs à des sites Internet, comme des mots de passe, des numéros de comptes bancaires et d'autres informations confidentielles.

Pour minimiser les dommages, l'ARC annonce qu'elle vient de mettre en place des mesures visant à appuyer et à protéger les particuliers touchés par l'infraction. Elle communiquera avec chacun d'eux par courrier recommandé afin de les en informer. Aucun courriel ne sera envoyé afin que l'information soit protégée et qu'aucune tentative de hameçonnage ne soit faite.

Le commissaire de l'ARC s'est voulu rassurant dans les circonstances.

« L'Agence a pu maîtriser l'intrusion avant de remettre ses systèmes en ligne hier (dimanche). De plus, l'analyse des renseignements menée à ce jour indique qu'aucune autre intrusion n'a eu lieu avant et après cette infraction », a écrit le commissaire Andrew Treusch dans le communiqué.

L'ARC fournira également aux personnes touchées l'accès à des services de protection du crédit, sans frais.

De plus, elle mettra en place des protections supplémentaires dans leurs comptes fiscaux afin d'empêcher toute activité non autorisée par les contribuables visés.

La Gendarmerie royale du Canada (GRC) fait enquête. Le Commissaire à la vie privée du Canada a aussi été avisé par l'ARC.

En raison de la faille Heartbleed, l'ARC avait suspendu ses services en lignes mardi dernier. Elle venait de les rendre disponibles à nouveau aux contribuables dimanche.

L'Agence a aussi indiqué que les contribuables pouvaient transmettre leurs déclarations d'impôt jusqu'au 5 mai — plutôt que le 30 avril — et cela, sans pénalité.

Revenu Québec n'ayant pas été affectée par Heartbleed, les citoyens peuvent envoyer leurs déclarations en ligne sans problème. Il n'y a donc pas de délai supplémentaire accordé pour s'acquitter de leurs obligations fiscales.

Inondée d'appels, l'ARC n'est pas en mesure de fournir plus de détails pour le moment.

Par Stéphanie Marin