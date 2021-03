L’Agence de revenu du Canada a suspendu 800 000 comptes d’utilisateurs par précaution après avoir découvert que leurs informations de connexion étaient accessibles à des « tiers non autorisés ».

Les utilisateurs concernés seront verrouillés hors de leurs comptes à titre préventif jusqu’à ce qu’ils créent un nouvel identifiant et un nouveau mot de passe, explique l’Agence du revenu du Canada (ARC).

L’Agence a dévoilé vendredi les détails d’une analyse qui a révélé l’obtention d’ID d’utilisateurs et de mots de passe par des sources externes.

Les informations de connexion n’auraient pas été compromises en raison d’une violation des systèmes en ligne de l’Agence, mais pourraient avoir été obtenues pour « des stratagèmes d’hameçonnage par courriel ou des fuites de données par des tiers », a-t-on noté.

Selon le journaliste Pierre-Olivier Zappa de TVA Nouvelles, les mots de passe des 800 000 comptes en question circuleraient déjà sur le dark web.

Ainsi, l’ARC avait envoyé aux utilisateurs concernés, le 16 février dernier, un message les informant de la suppression de l’adresse courriel figurant à leur compte.

Les personnes seront contactées par l’ARC et une marche à suivre pour la récupération de leurs informations leur sera fournie.

À noter que le courriel qu’ils recevront n’aura aucun lien cliquable et aucun renseignement personnel ne sera demandé non plus.

« Nous commencerons à révoquer les identifiants d’utilisateurs et les mots de passe à partir de demain, le 13 mars, a fait savoir par courriel Charles Drouin, des relations publiques de l’ARC. Nous informerons les personnes touchées et leur fournirons des instructions sur la façon d’accéder à nouveau à leur compte. »

Le fardeau de la preuve

Photo courtoisie

Ce sera à la personne qui a vu son compte suspendu de faire les démarches pour en retrouver l’accès, déplore Steve Waterhouse, expert en cybersécurité.

En pleine période des impôts, tandis que des gens rapportent déjà de la difficulté à rejoindre l’ARC, cela pourrait causer bien des maux de tête, ajoute-t-il.

« L’ARC a protégé ses systèmes avant que ne survienne une fraude, mais le fardeau de la preuve revient encore sur les épaules des citoyens. C’est à eux de prouver hors de tout doute qu’ils sont bien la bonne personne qui veut avoir accès à son compte », explique-t-il.

Double authentification

Selon lui, la situation regrettable serait facilement évitable en instaurant un système à deux facteurs d’authentification.

« C’est une couche supplémentaire qui prouve qui tu es réellement. Ça pourrait être, par exemple, d’envoyer un code sur le téléphone de la personne qui veut se connecter à son compte. Ça réduit les risques [de fraude] à un niveau acceptable et ce n’est pas une solution qui coûte des millions de dollars », estime l’expert en cyber sécurité.

– Avec l’Agence QMI

