L'Agence du revenu du Canada (ARC) a admis lundi que la faille Heartbleed qui a mis à mal son système en ligne a permis le vol des numéros d'assurance sociale (NAS) d'environ 900 personnes.
Dans un communiqué, le commissaire de l'Agence, Andrew Treusch, ajoute que l'ARC procède à l'analyse d'autres données, dont certaines pourraient se rapporter à des entreprises, qui ont elles aussi été subtilisées du système.
Pour minimiser les dommages, l'ARC annonce qu'elle vient de mettre en place des mesures visant à appuyer et à protéger les particuliers touchés par l'infraction. Elle communiquera avec chacun d'eux par courrier recommandé afin de les en informer. Aucun courriel ne sera envoyé afin que l'information soit protégée et qu'aucune tentative de hameçonnage ne soit faite.
Le commissaire de l'ARC s'est voulu rassurant dans les circonstances.
«L'Agence a pu maîtriser l'intrusion avant de remettre ses systèmes en ligne hier (dimanche). De plus, l'analyse des renseignements menée à ce jour indique qu'aucune autre intrusion n'a eu lieu avant et après cette infraction», est-il écrit dans le communiqué.
L'ARC fournira également aux personnes touchées l'accès à des services de protection du crédit, sans frais.
De plus, elle mettra en place des protections supplémentaires dans leurs comptes fiscaux afin d'empêcher toute activité non autorisée par les contribuables visés.
La Gendarmerie royale du Canada (GRC) fait enquête. Le Commissaire à la vie privée du Canada a aussi été avisé par l'ARC.
En raison de la faille Heartbleed, l'ARC avait suspendu ses services en lignes mardi dernier. Elle venait de les rendre disponibles à nouveaux aux contribuables dimanche.
L'Agence a aussi indiqué que les contribuables pouvaient transmettre leurs déclarations d'impôt jusqu'au 5 mai, sans pénalité.