Les sites Web de l’ASPC et de StatCan sont partiellement hors ligne en raison d’une vulnérabilité de Log4j
Certains services et sections des sites Web de l’Agence de la santé publique du Canada (ASPC) et de Statistique Canada ont été temporairement mis hors ligne en raison d’une vulnérabilité logicielle qui a semé la panique dans le monde entier.
Vendredi, le Centre canadien de cybersécurité (CCCS) a émis une alerte, indiquant qu’Apache avait publié un avis de sécurité mettant en évidence une vulnérabilité critique d’exécution de code à distance dans son logiciel de journalisation Log4j, basé sur Java et largement déployé.
Le logiciel Apache est utilisé dans de nombreuses industries et par de nombreux gouvernements. La faille signifie que des criminels, des espions et d’autres personnes pourraient potentiellement s’introduire dans des réseaux internes, accéder à des données ou à d’autres informations sensibles.
Cela signifie également que les criminels pourraient implanter des logiciels malveillants dans les réseaux internes.
Un message sur le site web de Statistique Canada indique que l’agence a « retiré de manière proactive certaines sections de notre site web qui pourraient être affectées par cette vulnérabilité potentielle pendant que nous examinons la situation ».
« Il n’y a pas eu de violation ou de compromission de nos systèmes », note le message sur le site Web.
CTVNews.ca a contacté Statistique Canada pour déterminer quels services ont été temporairement mis hors ligne et quand les services seraient rétablis, mais un porte-parole de l’agence a déclaré qu’aucune autre information ne pouvait être fournie.
Un message presque identique apparaît en haut du site Web de l’ASPC.
CTVNews.ca a contacté l’ASPC pour obtenir plus d’informations, notamment pour déterminer quels services ont été mis hors ligne, mais n’a pas eu de réponse au moment de la publication.
Cependant, dans un courriel adressé à CTVNews.ca mercredi, le Centre de la sécurité des télécommunications du pays a déclaré qu’il n’y a « aucune indication » que la vulnérabilité a été exploitée dans l’un des services du gouvernement canadien.
Un porte-parole du CST a déclaré qu’après que le gouvernement fédéral ait pris connaissance de la faille la semaine dernière, les ministères ont mis hors ligne certains services Web par précaution pendant que « toute vulnérabilité potentielle est évaluée et atténuée ».
« Bien que le gouvernement continue de fonctionner avec une abondance de prudence, nous n’avons aucune indication que ces vulnérabilités ont été exploitées », peut-on lire dans le courriel. « Le gouvernement dispose de systèmes et d’outils robustes pour surveiller, détecter et enquêter sur les menaces potentielles et prend des mesures actives pour les traiter et les neutraliser. »
Samedi, le ministre de la Défense nationale Anita Anand a publié une déclaration, affirmant que la vulnérabilité d’Apache « a le potentiel d’être utilisée par de mauvais acteurs dans des attaques limitées et ciblées. »
Anand a déclaré que le CCCS appelait les organisations de « tous types » à « prêter attention à cette vulnérabilité critique d’Internet qui affecte les organisations du monde entier. »
Elle a déclaré qu’étant donné la « nature critique » de la vulnérabilité et les « rapports d’exploitation active », le gouvernement « exhorte les organisations canadiennes à suivre les conseils recommandés et à signaler tout incident au Cyber Centre dès que possible. »
Pendant ce temps, certains systèmes mis hors ligne temporairement ont déjà été restaurés.
Vendredi dernier, l’Agence du revenu du Canada a mis hors ligne certains de ses systèmes.
Dans un communiqué, l’agence a déclaré qu’il n’y avait « aucune indication que le système ait été compromis, ou qu’il y ait eu un accès non autorisé aux informations des contribuables en raison de cette vulnérabilité. »
L’agence a déclaré que les services ont été mis hors ligne « afin de protéger les informations des contribuables et les systèmes de l’ARC contre les menaces potentielles ».
Mardi, cependant, l’ARC a déclaré que tous ses services numériques avaient été rétablis.