Des cybercriminels jettent leur dévolu sur le gouvernement canadien au début du mois d’août, alors que plusieurs services gouvernementaux ont dû être fermés suite à une série cyberattaques. En effet, le Secrétariat du Conseil du Trésor annonçait le 15 août dernier qu’environ 11 000 comptes de services gouvernementaux en ligne, provenant du service CléGC et de comptes clients de l’Agence du Revenu du Canada (ARC), avaient été victimes de tentatives de piratages. La CléGC permet aux Canadiens d’accéder aux services en ligne de plusieurs programmes et services du gouvernement du Canada, y compris les services d’assurance-emploi, alors que l’ARC gère les services fiscaux des Canadiens ainsi que les versements de la Prestation canadienne d'urgence (PCU), programme de soutien aux employés ayant perdu leur emploi à cause de la pandémie.

C’est le 7 août dernier que les premiers signes de bourrage d’identifiants, ou credential stuffing, ont été remarqués sur le site de l’Agence du revenu du Canada. Dans ce type de cyberattaques, les criminels tentent d’utiliser les informations d’identifications de comptes ayant déjà subi une brèche de données pour se connecter à un autre compte. Contrairement à une attaque de force brute, les acteurs malveillants se servent donc de combinaisons d’utilisateur/mot de passe déjà volées pour accéder à un service-tiers.

Annette Butikofer, sous-commissaire de l’ARC, explique que l’agence n’a avisée la GRC qu’au 11 août, avant d’informer le grand public et de suspendre l’accès à ses services en ligne le 15 août. « Nous étions très confiants que le contrôle était bien, mais après [les événements impliquant] la CléGC, nous avons remarqué une attaque le samedi et nous avons décidé de bloquer et fermer notre portail », relate-t-elle. Les services en ligne de l’agence ont été rétablis le 19 août.

Figure 1 - Un avertissement numérique a été publié par le gouvernement canadien sur Twitter

Le gouvernement estime qu’environ 11 200 comptes ont été piratés. Parmi ceux-ci, on compte environ 5600 pour l’ARC et 9000 au système CléGC. Parmi les comptes de l’Agence du revenu du Canada touchés, environ 3300 utiliseraient la CléGC. L'Agence du revenu du Canada précise envoyer une lettre à tous ceux dont le compte a été piraté.

Que doit-on faire?

On ne dispose pas des détails quant aux types de données auxquelles les acteurs malveillants ont eu accès pour le moment, ni si l’ensemble des victimes de ces attaques ont déjà été contactées.

Lecture complémentaire : 20 conseils pour 2020 : Les erreurs à éviter

Cependant, puisqu’on parle d’attaques par bourrage d’identifiants, on peut souligner que les personnes qui utilisent les mêmes informations d’identifications pour plusieurs sites et programmes sont plus à risques d’être victimes de ce type d’attaques. Différentes ressources s’offrent à vous pour savoir si l’un de vos comptes a déjà été victimes d’une brèche de données. Nous vous conseillons de consulter notre récent article à ce sujet pour plus de détails.

Même si vous n’avez peut-être pas été victimes des cyber-attaquants cette fois-ci, adoptez dès maintenant une meilleure hygiène de sécurité, afin d’éviter d’être victime d’une prochaine attaque.

  • D’abord, on ne le répètera jamais assez, évitez le recyclage de mots de passe est essentiel pour assurer votre sécurité et celles de vos données. Dans le cas présent, les acteurs malveillants ont utilisé des combinaisons identifiants/mots de passe préalablement volées pour leurs attaques.
  • Utilisez des mots de passe – ou mieux, des phrases de passe – fortes et uniques pour chacun de vos comptes
  • Optez pour un gestionnaire de mot de passe fiable, pouvant vous aider à choisir et surtout, mémoriser des mots de passe forts et uniques
  • Activez l’authentification multifactorielle, quand elle est disponible, pour ajouter une couche supplémentaire de sécurité à vos comptes
  • Vérifiez régulièrement vos dossiers personnels à la recherche d’anomalies, surtout si vous avez été victimes d’un vol de données.

Crédit photo (caption) : Kyle Pearce, Canada Flags in English Bay Flickr.