Note pour la période des questions : Cybersécurité
About
- Numéro de référence :
- TBS-2020-QP-00012
- Date fournie :
- 23 sept. 2020
- Organisation :
- Secrétariat du Conseil du Trésor du Canada
- Nom du ministre :
- Murray, Joyce (L’hon.)
- Titre du ministre :
- Ministre du Gouvernement numérique
Enjeu ou question :
La cybersécurité est un sujet d'intérêt dans les médias depuis l’attaque de bourrage de justificatifs portées contre les CléGC du gouvernement du Canada.
Réponse suggérée :
• Le gouvernement du Canada, comme tout autre gouvernement et organisation du secteur privé dans le monde, doit faire face à des cybermenaces continues et persistantes.
• C’est pourquoi le gouvernement a des systèmes rigoureux pour surveiller, détecter et enquêter sur des menaces éventuelles et les neutraliser dès que possible.
• Au début du mois d’août, le gouvernement du Canada a pris des mesures pour mettre fin aux attaques de « bourrage de justificatifs » portées contre les comptes du service CléGC et de l’Agence du revenu du Canada (ARC).
• Alors que le gouvernement continue à prendre des mesures pour atténuer les attaques et minimiser les menaces, les agresseurs adaptent constamment leurs méthodes. Les Canadiennes et les Canadiens doivent rester vigilants en ce qui concerne la protection des informations relatives aux comptes.
Contexte :
• L’attaque par bourrage de justificatifs d’identité est une menace pour les organismes du secteur privé aussi bien que ceux de la fonction publique.
• Des quelques 12 millions de justificatifs actifs de CléGC au Canada, les mots de passe et les noms d’utilisateurs d’un peu plus de 9 300 utilisateurs de CléGC ont été utilisés par des auteurs malveillants pour accéder aux services gouvernementaux. Le service CléGC en soi n’a pas été compromis. Quant à l’ARC, elle a identifié des activités suspectes qui se sont déroulées entre le début de juillet et le 15 août 2020 sur environ 48 500 des plus de 14 millions de comptes d’utilisateurs de l’ARC.
• Dès que le gouvernement du Canada a pris connaissance de cet incident de sécurité, il a :
o autorisé le prestataire de services CléGC à révoquer immédiatement tous les comptes concernés;
o veillé à ce que le fournisseur du service CléGC applique les mesures supplémentaires d’atténuation de la sécurité, telles que le blocage des adresses IP liées aux auteurs malveillants et la désactivation de l’accès direct au site de connexion à CléGC;
o déclenché le Plan de gestion des événements de cybersécurité du gouvernement du Canada, en faisant appel au fournisseur du service CléGC, au Secrétariat du Conseil du Trésor du Canada, au Centre canadien pour la cybersécurité et à Services partagés Canada pour coordonner les efforts avec les ministères touchés afin d’arrêter les attaques et de communiquer directement avec les utilisateurs touchés;
o mobilisé le Commissariat à la protection de la vie privée et continue de le faire, dans des efforts visant à protéger les renseignements personnels.
• Service Canada et l’ARC ont également pris d’autres mesures de sécurité pour protéger les titulaires de compte en désactivant les comptes compromis, en supprimant temporairement certaines capacités en ligne et en ajoutant d’autres mesures de sécurité au processus de connexion au compte. Ces mesures d’atténuation se sont avérées efficaces.
• Le 15 août 2020, une déclaration officielle au public a été publiée avec une déclaration de suivi le 17 septembre 2020.
• L’ARC collabore avec les personnes touchées par le vol d’identité ou la fraude afin de s’assurer qu’elles ne sont pas tenues responsables des demandes et des paiements frauduleux effectués par des fraudeurs utilisant leur compte. Les personnes dont les comptes ont été compromis se verront offrir gratuitement des services de protection de crédit.
• Le gouvernement a des systèmes et des outils solides en place pour surveiller et déceler des menaces potentielles, et pour mener des enquêtes relatives à ces dernières, et intervenir activement pour les neutraliser. Il fait également évoluer constamment ses mesures de sécurité pour se tenir à jour pour les nouveaux types d’attaques. Ces tâches comprennent :
o examiner d’autres caractéristiques de sécurité, comme l’authentification à facteurs multiples (AFM), le cas échéant, pour aider les Canadiens à protéger leurs comptes;
o faire progresser les efforts en matière d’identité numérique, car il a été noté que les pays dotés d’infrastructures avancées d’identité numérique ont été en mesure de rationaliser les services fournis aux citoyens en ligne tout en améliorant la sécurité et la protection de la vie privée. Au Canada, des projets et des projets pilotes sont actuellement en cours qui permettent aux utilisateurs de se connecter avec leur identité numérique provinciale de confiance pour accéder aux services du gouvernement fédéral en temps opportun et en toute sécurité.
• Le gouvernement met également à la disposition du public des outils et des ressources pour l’aider à protéger ses renseignements personnels, par exemple, Pensez cybersécurité, les publications du Centre canadien de cybersécurité et À bas l’arnaque.
Renseignements supplémentaires :
• Le 5 août 2020, le gouvernement du Canada a été informé d'une attaque de bourrage de justificatifs contre le service CléGC, dans le cadre de laquelle de mauvais acteurs ont utilisé de manière abusive des mots de passe et des noms d'utilisateurs obtenus en ligne à la suite de précédents piratages de systèmes, dans le monde entier. Au même moment environ, une attaque similaire a été lancée contre l'Agence du revenu du Canada.
• Sur les quelque 12 millions d'identifiants CléGC actifs au Canada, les mots de passe et les noms d'utilisateurs d'un peu plus de 9 300 utilisateurs de CléGC ont été utilisés.
• Le 15 août 2020, une déclaration officielle au public a été publiée, suivie d’une deuxième le 17 septembre 2020.