28 avril 2014 – Une faille de sécurité majeure intitulée « Heartbleed » a été découverte le 7 avril 2014 dans certaines versions récentes du logiciel OpenSSL.
Ce logiciel est utilisé par de nombreux sites et conçu pour chiffrer les données transmises sur Internet telles que vos données bancaires, vos identifiants et vos mots de passe, afin qu’ils ne puissent être récupérés par des personnes non autorisées.
Cette faille peut permettre le vol de certaines informations confidentielles. Elle démontre ainsi combien les renseignements personnels conservés sur des serveurs utilisant cette version du logiciel OpenSSL sont vulnérables.
Cette faiblesse du logiciel OpenSSL a déjà fait des dommages puisque l’Agence du Revenu du Canada (ARC) a révélé s’être fait dérober 900 numéros d’assurance sociale (NAS) de contribuables. Cependant, ces intrusions ne laissent pas toujours de traces et il est souvent difficile de savoir précisément ce qui a été volé.
La Commission d’accès à l’information rappelle que les organismes publics et les entreprises privées sont tenus légalement d’adopter des mesures de sécurité raisonnables et adaptées à la sensibilité, à la finalité, à la quantité et au support des renseignements personnels collectés, y compris lorsqu’ils communiquent des renseignements personnels à des tiers et/ou à l’extérieur du Québec
Tout organisme public ou entreprise privée mettant en œuvre une version vulnérable du logiciel OpenSSL se doit donc de s’assurer que ses systèmes sont sécurisés, notamment en procédant à une mise à jour de ses logiciels et de ses certificats. Par ces mesures, les organismes publics et les entreprises privées s’assureront de protéger les renseignements personnels qu’ils détiennent.
Une fois la correction faite, les utilisateurs des sites Internet doivent être invités à modifier leurs mots de passe en choisissant des combinaisons complexes, soit au moins 8 caractères et contenant des majuscules, des chiffres et des caractères spéciaux. Idéalement, il est suggéré d’utiliser un mot de passe spécifique pour chaque compte. Pour en faciliter l’utilisation, il est possible d’employer des gestionnaires de mot de passe. Ceux-ci permettent de constituer une base de données chiffrée par un mot de passe «maître ». Il suffit donc de ne retenir qu’un seul mot de passe.
Si vous souhaitez obtenir des informations sur les réflexes à avoir en cas de failles de sécurité, la Commission vous propose notamment, sur son site Internet, les aide-mémoires et les capsules suivants :
- Aide-mémoire à l’intention des citoyens : perte ou vol de renseignements personnels, comment réagir?
- Aide-mémoire à l’intention des organismes publics et des entreprises : que faire en cas de perte ou de vols de renseignements personnels?
- La protection des renseignements personnels : avez-vous les bons réflexes pour prévenir la fraude?