Une faille de sécurité force Québec à fermer des milliers de site
La Presse Canadienne|Publié le 12 Décembre 2021Le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, Éric Caire. (Photo: La Presse Canadienne)
Le gouvernement du Québec ferme de manière préventive presque l’entièreté de ses 3992 sites internet, a annoncé dimanche le ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, Éric Caire.
Cette mesure, qui pourrait durer plusieurs jours, touche tout autant les ministères que les réseaux de l’éducation et de la santé.
«Vendredi le 10, nous avons reçu comme tout le monde sur la planète l’état de situation» concernant une faille de sécurité informatique qui «concerne de nombreux systèmes», a-t-il expliqué en conférence de presse.
La vulnérabilité «permet à un attaquant de s’introduire dans un serveur» puis d’utiliser un code malicieux pour «prendre le contrôle du système» et de «toute l’information qui est conservée sur le serveur».
Le ministre a cependant assuré qu’«à ce jour, nous n’avons aucune indication voulant que nous ayons subi une attaque réussie».
La Ville de Montréal a annoncé qu’elle emboîtait le pas, dimanche soir. La métropole suspendra temporairement et de façon préventive certains de ses services numériques afin de prévenir toute potentielle menace de cyberattaque.
Travail de moine
Heureusement, il existe un correctif, soit une «patch», pour régler le problème de sécurité dans la dernière version du logiciel, qu’il faut donc mettre à jour.
«Il faut scanner l’ensemble de nos systèmes, a indiqué le ministre Caire. On cherche un peu une aiguille dans une botte de foin.»
Il a déclaré que «toutes les équipes sont à pied d’œuvre», et ce, «dans tous les centres opérationnels de cyberdéfense» pour effectuer ce «travail de moine».
Les sites internet redeviendront disponibles au fur et à mesure que la correction sera faite, ou qu’on aura vérifié qu’ils n’utilisent pas l’élément problématique. Le ministre n’a pas pu préciser exactement quelle durée prendra cette grande opération, disant que «ça va être une question de jours».
Déjà, le site quebec.ca est de retour en ligne, tout comme celui du ministère de la Santé. Le passeport vaccinal et le système de prise de rendez-vous pour la vaccination, eux, ne sont «pas remis en cause», car ils n’utilisent pas l’élément fautif.
Les systèmes internes du gouvernement, donc ceux qui ne sont pas accessibles pour le public, «continuent d’être utilisés, mais seront eux aussi inspectés», a mentionné le ministre Caire.
Branle-bas de combat mondial
Apache, un organisme ayant pour but de rendre accessible des logiciels en code source libres, a publié vendredi un bulletin de sécurité au sujet d’une vulnérabilité dite «critique», soit le plus haut niveau de danger.
L’élément fautif fait partie d’une «bibliothèque» en code Java, nommée Log4j, qui est largement utilisée à travers la planète.
Rapidement, de nombreux gouvernements ont émis des alertes à ce sujet, dont les États-Unis, l’Australie et la Nouvelle-Zélande.
Parmi eux, le Centre canadien pour la cybersécurité «recommande fortement aux organisations de passer en revue en interne les applications potentiellement touchées», prévenant qu’en «raison de l’utilisation répandue de la bibliothèque Log4j dans des infrastructures populaires, de nombreuses applications de tierces parties pourraient être vulnérables».
«Nous exhortons les organisations canadiennes de tous genres à suivre les recommandations formulées et à signaler sans tarder tout incident au Centre pour la cybersécurité», a pour sa part déclaré la ministre canadienne de la Défense nationale, Anita Anand.
Entre autres, l’Agence du revenu du Canada a indiqué vendredi sur Twitter qu’elle «a pris la décision de suspendre nos services en ligne» le temps de faire la mise à jour. Son site internet est maintenant disponible.
Cet article a été produit par Clara Descurninges avec le soutien financier des Bourses Facebook et La Presse Canadienne pour les nouvelles.