Un piratage «sophistiqué» frappe Rideau Hall

Dans un communiqué de presse publié le 2 décembre, le Bureau du secrétaire du gouverneur général dévoilait qu’il y avait eu un accès non autorisé à son réseau interne.
Photo: Adrian Wyld Archives La Presse canadienne Dans un communiqué de presse publié le 2 décembre, le Bureau du secrétaire du gouverneur général dévoilait qu’il y avait eu un accès non autorisé à son réseau interne.

De nouveaux documents révèlent l’étendue d’une cyberattaque contre Rideau Hall. Des fonctionnaires l’avaient décrite comme un « incident Internet sophistiqué » quelques jours avant qu’elle soit dévoilée à la population.

Des courriels gouvernementaux internes, obtenus par La Presse canadienne par l’entremise de la Loi d’accès à l’information, indiquent que les responsables ont été « incapables de confirmer l’étendue complète des informations qui ont été accédées ».

En conséquence, le Bureau du secrétaire du gouverneur général a voulu offrir des services de surveillance du crédit aux employés inquiets que des renseignements personnels aient été volés.

 

Tous les gestionnaires ont été incités « à réfléchir sur les renseignements gérés par leur unité respective » et à soulever leurs inquiétudes, selon le brouillon d’un texte rédigé le 17 novembre 2021 qui devait être transmis aux employés.

Dans le communiqué de presse publié le 2 décembre, le Bureau du secrétaire du gouverneur général dévoilait qu’il y avait eu un accès non autorisé à son réseau interne. Il avait ajouté qu’il collaborait avec le Centre canadien pour la cybersécurité « dans le cadre de l’enquête en cours » pour déterminer la nature et la portée de cette intrusion.

Le Bureau mentionnait aussi qu’il travaillait avec des experts et prenait d’autres mesures pour renforcer son réseau au besoin. Le Commissariat à la protection de la vie privée a également été prévenu de cet accès non autorisé.

Ciara Trudeau, une porte-parole du Bureau du secrétaire, dit que les employés de Rideau Hall et les partenaires externes ont été mis au courant.

 

Toutefois, elle a refusé de préciser l’étendue exacte de cette attaque, notamment la nature des informations auxquelles les pirates ont eu accès, la méthode employée ou les motifs.

Mme Trudeau n’a pas voulu discuter non plus des services de vérification offerts aux employés.

Les courriels internes indiquent que plusieurs responsables du Bureau du conseil privé ont été alertés de la cyberattaque, deux semaines avant qu’elle ne soit rendue publique.

Des porte-parole de ce bureau ont refusé de commenter.

 

Un porte-parole du Centre de la sécurité des télécommunications (CST), Evan Koronewski, dit que l’agence ne peut pas donner des précisions sur la cyberattaque.

« Ce que je peux vous dire, c’est que nous continuons de travailler avec diligence avec [le Bureau du secrétaire de la gouverneure générale] afin de nous assurer que leurs systèmes soient résistants et que les outils soient en place pour surveiller, détecter et enquêter sur toutes nouvelles menaces », souligne-t-il.

Le CST offre des services de défense au Bureau du secrétaire en coordination avec Services partagés Canada.

 

La base de données attire de plus en plus les cybercriminels, affirme Chantal Bernier, une ancienne commissaire à la vie privée du Canada par intérim.

« C’est sans risque, très peu coûteux et fort profitable, dit-elle. Malheureusement, on compte plusieurs États derrière ces piratages. »

Mme Bernier a louangé Rideau Hall pour avoir alerté rapidement le CST, aidé ses employés et contacté le commissariat à la vie privée, même si le Bureau du secrétaire n’a pas assujetti à la Loi sur la protection des renseignements personnels.

Selon elle, cette affaire souligne la nécessité d’étendre le mandat du commissariat en raison du déséquilibre créé par Internet entre les individus et les organisations possédant des données personnelles.

« C’est si complexe. Et nous ne pouvons pas individuellement rendre les organisations imputables. C’est au-dessus de nos têtes, dit Mme Bernier. L’amplitude de ces failles informatiques et leurs conséquences sont telles que nous avons besoin d’un contrôle assez puissant pour rendre imputables toutes les organisations détenant des données personnelles. »

À voir en vidéo