Mise à jour du Bureau du dirigeant principal de l’information du gouvernement du Canada sur les récentes cyberattaques

Le 17 septembre 2020, Ottawa (Ontario) – Secrétariat du Conseil du Trésor du Canada

Il est important que les Canadiennes et les Canadiens puissent accéder facilement et en toute sécurité aux services gouvernementaux en ligne. Au début du mois d’août, le gouvernement du Canada a pris des mesures pour mettre fin aux attaques de « bourrage de justificatifs » portées contre les comptes du service CléGC et de l’Agence du revenu du Canada (ARC).

Comme rapporté précédemment, les auteurs des attaques ont utilisé des noms d’utilisateurs et des mots de passe volés lors de précédentes attaques impliquant des tiers non gouvernementaux pour se connecter à certains comptes CléGC. Le service CléGC lui-même n’a pas été compromis. Pour y répondre, le gouvernement a révoqué 9 300 autorisations CléGC et a mis en place des mesures pour empêcher de nouvelles tentatives d’accès à ses services avec ces autorisations compromises. Ces mesures ont permis de bloquer les attaques ultérieures.

Suite à l’analyse judiciaire en cours sur ces attaques informatiques, l’ARC a identifié des activités suspectes survenues entre le début juillet et le 15 août sur environ 48 500 comptes d’utilisateurs de l’ARC, qui en compte plus de 14 millions.

Des dispositifs de protection ont été mis en place sur les comptes concernés et toutes les prestations d’urgence valides seront versées. L’ARC travaillera avec les personnes touchées par le vol d’identité ou la fraude afin de s’assurer qu’elles ne sont pas tenues responsables des demandes et des paiements frauduleux effectués par des fraudeurs utilisant leur compte. Les personnes dont les comptes ont été compromis se verront offrir gratuitement des services de protection du crédit.

Service Canada et l’ARC ont pris des mesures de sécurité supplémentaires pour protéger les titulaires de comptes, comme :

• la désactivation des comptes compromis;
• la suppression temporaire de certaines fonctionnalités en ligne;
• l’ajout de mesures de sécurité supplémentaires au processus d’ouverture de session du compte.

Ces mesures d’atténuation se sont avérées efficaces.

L’enquête de la Gendarmerie royale du Canada est en cours et les ministères affectés mènent également leurs propres enquêtes. Ainsi, ces derniers ont pris contact avec le Commissariat à la protection de la vie privée du Canada afin de l’informer régulièrement des cas où des informations personnelles ont été compromises. Lorsque cela se produit, les titulaires de comptes en sont avisés.

Si des utilisateurs ont été victimes de transactions ou d’activités suspectes, le gouvernement veillera à ce qu’ils ne soient pas pénalisés et à ce qu’ils bénéficient d’une protection et d’une surveillance permanentes de leur crédit, au besoin.

Tous les ministères affectés ont communiqué avec les utilisateurs dont le justificatif d’identité a été révoqué afin de leur fournir des instructions sur la réception d’un nouveau justificatif d’identité CléGC. Les Canadiennes et les Canadiens qui ont reçu un message concernant la révocation de leur justificatif d’identité CléGC peuvent se réinscrire pour en obtenir un nouveau en utilisant n’importe lequel des services en ligne qu’ils utilisent. Une autre option consiste à utiliser le SecureKey Service de Concierge qui permet aux utilisateurs de se connecter à 269 services en ligne différents du gouvernement du Canada par l’intermédiaire de partenaires de connexion, tels que les grandes banques.

Alors que le gouvernement continue à prendre des mesures pour atténuer les attaques et minimiser les menaces, les agresseurs adaptent constamment leurs méthodes. Les Canadiennes et les Canadiens doivent rester vigilants en ce qui concerne la protection des informations relatives aux comptes. Les utilisateurs doivent toujours utiliser un mot de passe différent pour chaque compte en ligne. Des outils tels que les gestionnaires de mots de passe peuvent aider à créer, stocker et mémoriser les mots de passe.

Les parties affectées sont encouragées à examiner les informations contenues dans tous leurs comptes pour s’assurer que rien n’a changé. Si quelque chose semble sortir de l’ordinaire, communiquez avec le fournisseur de services pour le lui faire savoir. Les citoyens qui craignent d’avoir été victimes d’une fraude peuvent contacter la police locale ou le Centre antifraude du Canada. Vous trouverez de plus amples informations sur le site Canada.ca. Si vous avez des préoccupations immédiates, veuillez appeler le 1-800-O-Canada.

Documents connexes

• Documents d’information de l’Agence du revenu du Canada

• Page Web Fraude et vol d’identité de l’ARC
• Repensez vos habitudes en matière mots de passe de manière à protéger vos comptes des pirates informatiques
• Pratiques exemplaires de création de phrases de passe et de mots de passe
• Sécurité et protection des renseignements personnels - FAQ
• Justificatifs d’identité - FAQ