L'administration fiscale canadienne a révélé lundi qu'environ 900 numéros de sécurité sociale --qui servent d'identité pour les démarches administratives-- avaient été dérobés par des pirates ayant tiré avantage de la faille informatique Heartbleed.
Comme de nombreux sites en ligne recourant à des espaces sécurisés de type OpenSSL, l'Agence du revenu du Canada (ARC) avait reconnu la semaine dernière sa vulnérabilité après la révélation, il y a une semaine, d'une faille de sécurité sur la protection des données cryptées, appelée "Heartbleed" ("coeur qui saigne" en français).
Le commissaire de l'ARC a déposé plainte et la Gendarmerie royale du Canada a ouvert une enquête sur cette intrusion informatique.
L'ARC avait fermé le 8 avril son espace sécurisé permettant aux contribuables d'accéder à leur dossier fiscal.
Lundi, le commissaire de l'ARC a affirmé que les renseignements canadiens avaient détecté "une infraction malveillante sur les données des contribuables" durant "une période de six heures".
"Les numéros d'assurance sociale (NAS) d'environ 900 contribuables ont été soutirés des systèmes de l'ARC par quelqu'un qui a exploité la faille Heartbleed", a expliqué Andrew Treusch, sans exclure que des informations confidentielles relatives à des entreprises aient également pu être dérobées.
Le numéro de sécurité sociale, ou NAS, permet aux Canadiens et aux résidents au Canada d'engager les principales démarches auprès des administrations mais aussi des banques ou des organismes de prestations médicales et sociales. Ce numéro à neuf chiffres est obligatoire pour prétendre à un emploi.
Certains organismes utilisent le NAS comme numéro de dossier de leurs clients pour éviter d'en créer d'autres, selon le Commissariat à la protection de la vie privée au Canada.
Avec le NAS, quiconque peut "trouver vos données personnelles dans une base de données" et accéder à "un profil détaillé sur votre personne, ce qui équivaut à de la +surveillance de données+ ou à de la surveillance de votre vie", met en garde cet organisme.
Le fisc canadien va adresser un courrier recommandé à toutes les personnes victimes de ce piratage, mais n'enverra aucun courrier électronique directement aux usagers afin d'éviter toute tentative d'hameçonnage ("phishing").
mbr/jl/rap/are