OTTAWA - L'Agence du revenu du Canada (ARC) a admis lundi que la faille informatique Heartbleed, qui a mis à mal son système en ligne, a permis le vol des numéros d'assurance sociale (NAS) d'environ 900 personnes.
Un bilan qui pourrait s'alourdir, selon le commissaire de l'Agence, Andrew Treusch.
Celui-ci a indiqué, dans un communiqué transmis lundi, que l'ARC procède «à l'analyse d'autres fragments de données, dont certaines pourraient se rapporter à des entreprises, qui ont également été soutirées du système».
Il n'a pas été possible d'en savoir plus, une porte-parole de l'ARC ayant indiqué en après-midi ne détenir aucune autre information que celles contenues dans le communiqué.
Impossible ainsi de savoir si des contribuables québécois font partie de ceux dont des informations personnelles ont été volées.
Les sites Web de l'ARC ont été affectés par la faille informatique Heartbleed la semaine dernière. L'Agence a suspendu dès mardi l'accès en ligne des contribuables à des fins de sécurité. D'autres ministères fédéraux l'ont ensuite imitée.
Se servant de cette faille, des pirates informatiques peuvent soutirer des renseignements personnels confiés par des utilisateurs à des sites Internet, comme des mots de passe, des numéros de comptes bancaires et d'autres informations confidentielles. Un numéro d'assurance sociale volé peut ainsi servir à ouvrir un compte bancaire, obtenir une carte de crédit et des services gouvernementaux.
Pour minimiser les dommages, l'ARC annonce qu'elle vient de mettre en place des mesures visant à protéger les particuliers touchés par l'infraction. Elle communiquera avec chacun d'eux par courrier recommandé afin de les en informer. Aucun courriel ne sera envoyé afin que l'information soit protégée et qu'aucune tentative de hameçonnage ne soit faite.
Le commissaire de l'ARC s'est voulu rassurant dans les circonstances.
«L'Agence a pu maîtriser l'intrusion avant de remettre ses systèmes en ligne hier (dimanche). De plus, l'analyse des renseignements menée à ce jour indique qu'aucune autre intrusion n'a eu lieu avant et après cette infraction», a écrit le commissaire Andrew Treusch dans le communiqué.
L'infraction sur les données n'a duré que six heures. Aucune information n'aurait été volée après cette période mais l'Agence du revenu, qui fait toujours enquête, ne peut dire si un plus grand nombre de personnes ont été touchées.
L'ARC fournira également aux personnes touchées l'accès à des services de protection du crédit, sans frais.
De plus, elle mettra en place des protections supplémentaires dans leurs comptes fiscaux afin d'empêcher toute activité non autorisée par les contribuables visés.
La Gendarmerie royale du Canada (GRC) fait enquête. Le Commissaire à la vie privée du Canada a aussi été avisé par l'ARC.
En raison de la faille Heartbleed, l'ARC avait suspendu ses services en lignes mardi dernier. Elle venait de les rendre disponibles à nouveaux aux contribuables dimanche.
L'Agence a aussi indiqué que les contribuables pouvaient transmettre leurs déclarations d'impôt jusqu'au 5 mai — plutôt que le 30 avril — et cela, sans pénalité.
Revenu Québec n'ayant pas été affectée par Heartbleed, les citoyens peuvent envoyer leurs déclarations en ligne sans problème. Il n'y a donc pas de délai supplémentaire accordé pour qu'ils puissent s'acquitter de leurs obligations fiscales.
Le Nouveau Parti démocratique (NPD) demande aux conservateurs de fournir des explications aux citoyens.
«Cela fait maintenant une semaine que la nouvelle a fait surface et le gouvernement n'a toujours pas dit aux Canadiens quelles données avaient été consultées par les pirates informatiques, quel était le plan du gouvernement pour protéger les citoyens qui ont fait leur déclaration de revenus en ligne et quelles mesures seraient prises pour que cela ne se reproduise jamais», a déclaré par communiqué le porte-parole du NPD en matière de revenu national, Murray Rankin.