L’Agence du revenu du Canada indique que plusieurs centaines de numéros d’assurance sociale de particuliers ont été soutirés de ses systèmes informatiques.
L’Agence du revenu du Canada, par le biais de son commissaire Andrew Treusch, indique que des organismes responsables de la sécurité au gouvernement fédéral ont fait état d’une « infraction malveillante » qui a eu lieu dans ses systèmes durant six heures avant le colmatage de la faille qui était attribuable au bogue Heartbleed.
« Selon l’analyse la plus récente, les numéros d’assurance sociale (NAS) d’environ 900 contribuables ont été soutirés des systèmes de l’ARC par quelqu’un qui a exploité la faille Heartbleed. [L’Agence du revenu du Canada] est en train de procéder au processus laborieux d’analyse d’autres fragments de données, dont certaines pourraient se rapporter à des entreprises, qui ont également été soutirées des systèmes », indique M. Treusch dans un communiqué.
Selon une analyse de renseignements, aucune autre intrusion n’aurait eu lieu avant et après ladite infraction.
Le commissaire indique que l’Agence du revenu du Canada communiquera par courrier recommandé avec les particuliers dont le NAS a été soutiré de ses systèmes. Aucune communication n’aura lieu par courriel.
Le 8 avril dernier, l’Agence de revenu du Canada a indiqué qu’elle avait interrompu l’accès à ses services en ligne publics en raison d’une vulnérabilité attribuable au blogue Heartbleed. Quelques jours plus tard, le gouvernement du Canada a déclaré qu’il avait coupé l’accès de tous les services en ligne qui étaient fondés sur OpenSSL.
Tous les services en ligne qui avaient été interrompus ont été rétablis par le gouvernement du Canada le dimanche 13 avril.
