Affaires

Faille de sécurité Québec et Ottawa ferment des sites et services internet gouvernementaux

(Québec) Québec a ordonné la fermeture préventive de l’ensemble de ses systèmes informatiques accessibles depuis l’internet – pas moins de 3992 sites et services – à la suite de la découverte d’une faille de sécurité majeure touchant des serveurs à travers le monde.

Mis à jour le 12 déc. 2021

Tommy Chouinard La Presse

Joël-Denis Bellavance La Presse

À Ottawa, le gouvernement fédéral a décidé d’en faire autant en fermant bon nombre de services qui pourraient être vulnérables pendant que l’on évalue la situation. L’Agence du revenu du Canada (ARC) est du nombre.

« L’Agence a pris connaissance d’une vulnérabilité de sécurité qui affecte des organisations à travers le monde. Par précaution, nous avons de façon proactive pris la décision de suspendre nos services en ligne pendant que nous apportons les mises à jour nécessaires à nos systèmes. Rien n’indique à présent que les systèmes de l’Agence ont été compromis ou qu’un accès non autorisé aux informations de contribuables a eu lieu en raison de cette vulnérabilité », a indiqué l’ARC dans une déclaration.

CAPTURE D’ÉCRAN LA PRESSE

Le site web du ministère de l’Éducation et de l’Enseignement supérieur n’était pas accessible dimanche.

Revenu Québec a également suspendu ses services en ligne, bien que son site demeure ouvert pour la consultation d’informations de base. « Rien n’indique que nos systèmes soient touchés par cette vulnérabilité, mais nous agissons proactivement afin d’en préserver l’intégrité. Nos services seront à nouveau disponibles dès que possible », peut-on lire sur son site web.

En fin de journée, dimanche, la Ville de Montréal a emboîté le pas et annoncé la suspension préventive de certains de ses services numériques.

Faille « Log4Shell »

La faille « Log4Shell » permet à un cyberpirate de faire exécuter des codes informatiques sur le serveur des organismes et de prendre le contrôle de leur système. Une bibliothèque Java de la société Apache, largement utilisée dans le monde, est concernée. À Québec, le Centre gouvernemental de cyberdéfense a pris connaissance de cette vulnérabilité le 10 décembre et a demandé à tous les responsables de la sécurité informatique de détecter cette faille dans les systèmes de l’État québécois.

« [En fin de journée samedi], nous avons convenu que la menace de préjudice était plus grande que le préjudice de fermer l’ensemble des systèmes du gouvernement accessibles depuis internet », a expliqué le ministre délégué à la Transformation numérique, Éric Caire, lors d’une conférence de presse en compagnie du dirigeant principal de l’information, Pierre Rodrigue, dimanche.

Nous étions face à une menace d’un niveau critique de 10 sur 10. Une criticité de 10 entraîne automatiquement la fermeture du système qui est visé.

Éric Caire, ministre délégué à la Transformation numérique

Il a donc été ordonné de fermer de manière préventive les 3992 sites et services internet de l’État, une décision exceptionnelle et jamais vue au gouvernement du Québec.

« C’est l’ensemble de l’appareil public qui est visé par la directive », les ministères et les organismes publics comme parapublics, a insisté Éric Caire. L’ordre touche, entre autres, les services gouvernementaux offerts aux citoyens sur l’internet – comme ceux utilisant CLICSÉQUR – et les sites web du réseau de l’éducation et de la santé. Le système de prise de rendez-vous pour un vaccin contre la COVID-19 « a déjà été corrigé » et est accessible, et les données du passeport vaccinal ne seraient pas concernées par le danger, selon les explications du ministre.

Québec précise qu’aucune activité laissant croire qu’un pirate informatique a exploité cette faille n’a été détectée à ce jour. Il n’y aurait donc pas eu fuite de données personnelles ou d’informations sensibles du gouvernement pour le moment, par exemple.

« Il y a peut-être des gens qui ont scanné des systèmes. Ça, ça ne laisse pas de trace et on ne le sait pas. Mais il n’y a pas eu de tentative d’introduction, donc personne qui a essayé d’utiliser cette brèche pour s’introduire dans un serveur et causer du dégât. Il n’y en a pas au moment où on se parle », a affirmé Éric Caire.

Tous les ministères et organismes publics et parapublics doivent vérifier s’ils utilisent la bibliothèque Java en cause et donc si leurs systèmes informatiques sont vulnérables. « On cherche un peu une aiguille dans une botte de foin, je ne vous le cache pas ! », a lâché le ministre.

« Excusez l’expression, mais il faut scanner l’ensemble de nos systèmes, parce qu’on n’a pas un inventaire. C’est comme dire combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts. Je ne le sais pas. Donc on fait le tour des pièces et on fait le tour des ampoules pour savoir si c’est une 60 watts. C’est un travail de moine. »

Les sites et services internet seront rouverts rapidement si l’on constate qu’ils ne sont pas concernés par la faille de sécurité. Les autres devront installer un correctif informatique et vérifier ensuite si un problème persiste. « Il y a une batterie de tests à faire », a indiqué Éric Caire. Plusieurs jours seront nécessaires pour terminer l’opération et rétablir l’ensemble des systèmes informatiques. Pour le ministre, il n’est pas question de « tourner les coins ronds ».

Si des sites web du gouvernement sont accessibles en ce moment, c’est soit parce qu’ils n’ont pas encore exécuté l’ordre de fermeture – ce serait une très faible minorité –, soit parce que l’on a conclu rapidement qu’ils ne sont pas concernés par la faille ou que leurs systèmes ont été corrigés – c’est le cas pour des sites du réseau de la santé. La plateforme Québec.ca, qui utilise la bibliothèque en cause, a été fermée et remise en ligne rapidement, puisque les correctifs ont été apportés.

« Les sites critiques, plus névralgiques et utilisés, seront priorisés pour minimiser les impacts et s’assurer qu’ils sont rendus disponibles le plus rapidement possible », a indiqué le ministre Caire. Lundi, le gouvernement devrait rendre publique une liste des sites et services qui sont rouverts comme de ceux qui demeurent fermés.

Les citoyens ayant besoin d’un service offert en ligne et se butant à un site fermé devront « utiliser une autre voie de passage », et « des fonctionnaires peuvent répondre aux besoins des citoyens », s’est contenté de dire Éric Caire.

À Ottawa, la ministre de la Défense, Anita Anand, a affirmé que tout est mis en œuvre pour protéger l’intégrité des sites du gouvernement fédéral et des données confidentielles qu’ils abritent.

« Le gouvernement du Canada est au courant d’une vulnérabilité signalée par Apache. Cette vulnérabilité pourrait permettre à des auteurs malveillants de mener des attaques ciblées et à portée limitée. […] Le gouvernement du Canada dispose de systèmes et d’outils permettant de surveiller, de détecter et d’analyser les menaces potentielles, et de prendre des mesures le cas échéant. Par excès de prudence, certains ministères ont interrompu leurs services en ligne afin de procéder à l’évaluation et à l’atténuation de vulnérabilités potentielles. À ce stade, rien ne nous laisse croire que ces vulnérabilités ont été exploitées sur les serveurs gouvernementaux », a-t-elle affirmé dans une déclaration.

Le Centre canadien pour la cybersécurité a diffusé une alerte à l’intention de l’ensemble des ministères et organismes fédéraux pour qu’ils effectuent des mises à jour visant à assurer la sécurité de leurs sites.

Les gouvernements ont-ils pris la bonne décision ?

Selon Marc-Etienne Léveillé, chercheur sénior en logiciels malveillants chez ESET, entreprise de sécurité informatique, les gouvernements ont pris la bonne décision en fermant temporairement leurs sites et services. « L’impact d’avoir un site fermé pour quelques heures, pour quelques jours dans certains cas, est très minime comparativement aux risques qu’un de ces systèmes-là se fasse pirater », estime le chercheur.

La faille rend les logiciels vulnérables à l’exécution de codes à distance, explique pour sa part Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec. « C’est la pire vulnérabilité qu’il peut y avoir. »

Avis d’experts

Les gouvernements ont-ils pris la bonne décision ?

Quand la faille a-t-elle été détectée ?

Des sites web spécialisés rapportent que la faille était connue de la société Apache dès le 24 novembre, après qu’un expert de l’entreprise chinoise Alibaba l’eut mise au jour, et qu’un correctif aurait été publié le 6 décembre. Les experts interrogés par La Presse indiquent pour leur part avoir été mis au courant de la faille « Log4Shell » le jeudi 9 décembre.

« Ce qui a dû se passer, c’est qu’elle n’a pas été rendue publique le 24 novembre, mais le chercheur a dû avertir Apache », croit Sébastien Gambs, professeur au département d’informatique de l’Université du Québec à Montréal (UQAM). Selon lui, Apache a dû préférer attendre la publication d’un correctif avant de divulguer la faille au grand public, puisqu’elle n’aurait rien pu faire pour y remédier.

Les gouvernements ont-ils réagi trop tard ?

Pas selon M. Gambs. « Souvent, les mises à jour prennent quelques jours ou quelques semaines à être faites. Donc, c’est vraiment rare que les mises à jour soient faites le premier jour où le correctif sort, explique-t-il. Divulguer la faille publiquement, c’est justement une façon de dire aux gens : c’est un problème très sérieux, faites votre mise à jour. »

Qui peut exploiter la faille ?

La faille est « relativement facile » à exploiter pour ceux qui possèdent des connaissances en programmation, indique Marc-Etienne Léveillé. Des personnes malintentionnées pourraient, notamment, exécuter un logiciel malveillant sur un site web visé. Les pirates informatiques qui exploiteraient la faille « Log4Shell » pourraient aussi avoir accès à toutes les informations contenues sur un site web, dont les données personnelles qui s’y trouvent, dans le cas des sites web gouvernementaux.

La faille est-elle l’œuvre d’un pirate ?

Non, estime Marc-Etienne Léveillé. « C’est une erreur des développeurs des logiciels », croit le chercheur.

Avec Coralie Laplante, La Presse

Affaires En continu

Chroniques

Gain en capital Comment éviter l’impôt Freeland aux héritiers

C’est un peu cru comme constat, mais la mesure fédérale sur le gain en capital touchera probablement davantage les morts que les vivants, si l’on peut dire. Et elle s’apparente à une hausse des impôts sur l’héritage, en quelque sorte.

Publié à 0h56 Mis à jour à 5h00
Marché immobilier

Gains en capital Combien les propriétaires devront-ils payer de plus ?

La nouvelle mesure sur le gain en capital annoncée par le gouvernement fédéral, mardi, vient bousculer les façons de faire connues pour optimiser l’impôt à payer. Les propriétaires souhaitant vendre leurs biens devront réviser leurs plans.

Publié à 0h56 Mis à jour à 5h00
Entreprises

Tesla persiste sur la rémunération d’Elon Musk

(New York) Le constructeur automobile Tesla va de nouveau soumettre à ses actionnaires, lors de leur assemblée générale en juin, l’énorme plan de rémunération de son patron Elon Musk qui a été annulé par une juge du Delaware fin janvier.

Mis à jour hier à 18h53
Affaires

États-Unis Le syndicat auto UAW veut s’étendre, avec un premier scrutin chez Volkswagen

(New York) Le puissant syndicat de l’automobile UAW (United Auto Workers) veut s’étendre aux constructeurs étrangers présents aux États-Unis, après une négociation réussie chez les trois géants américains du secteur, et espère ouvrir une nouvelle ère avec un scrutin chez Volkswagen.

Publié hier à 16h55
Entreprises

Budget fédéral 2024 L’industrie technologique mécontente des mesures sur les gains en capital

(Toronto) Le budget fédéral est accueilli avec mépris par l’industrie canadienne de l’innovation, y compris le chouchou de la technologie Shopify, qui a qualifié les mesures entourant les gains en capital de cause potentielle de « préjudice irréparable ».

Publié hier à 16h20
Affaires

La nouvelle PDG d’Investissement Québec a touché 1,1 million

La nouvelle présidente et directrice générale d’Investissement Québec, Bicha Ngo, a touché une rémunération de 1,1 million au cours de l’exercice 2024, selon des documents déposés en commission parlementaire.

Publié hier à 16h11
Marchés

Faux départ pour Wall Street qui conclut dans le rouge

(New York) La Bourse de New York qui avait démarré sur une note positive, a finalement conclu dans le rouge mercredi, quatrième séance de perte pour le NASDAQ, alors que le marché se prépare aux annonces de résultats des grands noms de la technologie.

Mis à jour hier à 16h07
Entreprises

La rémunération des patrons d’AtkinsRéalis augmente de 25 %

Le redressement de la firme d’ingénierie AtkinsRéalis, anciennement SNC-Lavalin, a été payant pour ses patrons en 2023. Ses six plus hauts dirigeants se sont partagé une rémunération de 30,4 millions, en hausse de 25 % par rapport à l’an dernier.

Publié hier à 16h05
Techno

Telegram revendique près de 900 millions d’utilisateurs

(Dubaï) La messagerie Telegram compte près de 900 millions d’utilisateurs et devrait franchir la barre du milliard d’ici un an, a affirmé son patron dans une interview publiée mercredi.

Publié hier à 15h26
Affaires

« Crédit abusif » Simon Jolin-Barrette compte présenter un projet de loi d’ici un an

(Québec) Le ministre de la Justice, Simon Jolin-Barrette, compte déposer d’ici un an un projet de loi pour lutter contre les contrats de crédit abusifs, pensons aux cartes de crédit et aux prêts hypothécaires.

Publié hier à 15h03
Économie

L’économie américaine poursuit sa « légère expansion » en mars

(New York) L’activité économique aux États-Unis a poursuivi sa vitesse de croisière, montrant une « légère expansion » en mars, un peu plus répandue que le mois d’avant, selon le Livre beige de la Réserve fédérale, un rapport économique mensuel publié mercredi.

Publié hier à 14h47
Économie

Commerce de détail Vers la fin du salaire minimum ?

Les travailleurs qui s’affairent sur le plancher de vente ou derrière les caisses des magasins sont de moins en moins nombreux à être payés au salaire minimum. Déterminés à garder leurs employés et à en attirer de nouveaux, les détaillants québécois tentent d’offrir une rémunération plus alléchante.

Mis à jour hier à 14h43
Entreprises

Boeing Quatre lanceurs d’alerte préviennent de « graves problèmes » de sécurité

(New York) Quatre lanceurs d’alerte, dont un ingénieur et des anciens employés de Boeing, ont témoigné mercredi devant une commission d’enquête du Sénat américain pour prévenir de « graves problèmes » de production des avions Boeing 737 MAX, 787 Dreamliner et 777.

Publié hier à 14h04
Médias

CBC/Radio-Canada supprimera moins d’emplois que prévu

CBC/Radio-Canada va supprimer moins de postes que prévu cette année grâce notamment à un nouveau financement de l’État, a annoncé mercredi la direction aux employés dans un courrier interne, consulté par l’AFP.

Publié hier à 12h45
Affaires

Ce qu'il faut savoir sur le budget fédéral 2024

Augmentation de l'impôt sur le gain en capital, hausse de la limite de retrait dans le cadre du RAP, un REEE automatique... et un déficit de 40 milliards. Voici des articles et des chroniques qui traitent du budget fédéral 2024.

Publié hier à 8h19
Affaires

Northvolt La participation de Québec est d’environ 5 %

La participation détenue dans le capital-actions de l’entreprise scandinave Northvolt par Investissement Québec est évaluée à approximativement 5 %.

Mis à jour hier à 6h00