L’ARC suspend 100 000 comptes en ligne

L’Agence du Revenu du Canada (ARC) a suspendu les comptes en ligne de 100 000 Canadiens après avoir détecté de nombreuses fuites d’identifiants de connexion sur le web clandestin.

L’agence gouvernementale a envoyé un courriel à ces Canadiens le 16 février pour les informer que leur accès au service en ligne MonDossier avait été mis hors service. L’ARC a dû se résoudre à cette suspension après avoir découvert que de nombreux identifiants de connexion à ses services étaient accessibles sur Internet, relève le Financial Post.

Il est rare que l’ARC contacte directement les contribuables par courriel. Ce procédé semble avoir semé la panique auprès de certains usagers, qui ont fait part de leurs inquiétudes sur les réseaux sociaux. Mais l’agence ne pouvait pas utiliser son canal de communication habituel, à savoir sa plateforme en ligne, puisque ce sont les accès à ce site qui sont à vendre sur le web clandestin, dette partie d’Internet accessible uniquement avec des navigateurs spéciaux.

Pour les Canadiens concernés, cela signifie que leurs identifiants de connexion sont disponibles auprès de personnes mal intentionnées, mais cela ne veut pas dire que leurs comptes ont été violés, assure l’ARC. L’agence contactera les usagers concernés par courrier pour leur indiquer la marche à suivre afin de retrouver un accès en ligne.

« Par mesure de précaution et pour empêcher tout accès non-autorisé à ces comptes, nous avons pris des mesures rapides pour verrouiller les comptes et nous sommes en train de contacter les titulaires légitimes des comptes pour les débloquer », indique l’ARC sur les réseaux sociaux.

L’agence gouvernementale affirme cependant qu’elle n’a pas été victime d’une cyberattaque. Les identifiants de connexion n’ont pas été volés sur ses serveurs. Les données auraient été volées au cours de violations qui ont touché d’autres organisations depuis plusieurs années, précise-t-elle.

« Une analyse interne a révélé des preuves que certains identifiants de compte (c’est-à-dire les ID utilisateur et les mots de passe) ont pu être compromis, et peuvent être utilisés par des personnes non-autorisées. Ces identifiants n’ont pas été obtenus à la suite d’une atteinte des systèmes de l’ARC, mais plutôt par divers moyens provenant de sources externes à l’ARC », décrit l’agence.

Le verrouillage des comptes a été décidé de manière préventive à la suite d’un processus de détection des problèmes de cybersécurité. Pour l’ARC, cela signifie que ce processus fonctionne bien. L’agence compte cependant revoir sa stratégie de communication, pour éviter des désagréments aux usagers.