L’organisme fédéral de protection de la vie privée indique que plus de 42 000 violations de données ont été recensées à l’Agence du revenu du Canada (ARC) depuis 2020, dans des cas d’accès ou de modification sans autorisation de renseignements personnels de contribuables.
Dans un rapport spécial déposé jeudi au Parlement, le commissaire à la protection de la vie privée, Philippe Dufresne, a souligné des lacunes dans les mesures de prévention, de surveillance, de détection et de gestion des violations de l’ARC.
L’ARC a indiqué au bureau de M. Dufresne que des pirates, utilisant souvent des identifiants volés ou provenant de fuites de sources externes, avaient réussi à accéder aux comptes des contribuables.
«Les acteurs malveillants utilisent également des renseignements légitimes pour modifier le compte d’individus, probablement dans le but de produire de fausses déclarations de revenus, de transférer les paiements de l’ARC à leur compte ou de demander des prestations», indique le rapport du commissaire.
«De plus, les attaquants peuvent apporter des changements à un compte de contribuable sans jamais y accéder directement, par exemple en produisant une fausse déclaration de revenus ou en mettant à jour les renseignements d’un compte en usurpant l’identité d’un contribuable et en répondant aux questions d’identification posées par les préposés d’un centre d’appels.»
M. Dufresne a constaté que l’ARC n’était pas en mesure de fournir des détails sur chaque violation confirmée en raison des limites de ses systèmes de suivi et du volume global d’incidents.
Le bureau du commissaire a rapporté que l’agence n’avait pas mis en place en temps opportun le système d’authentification multifacteur obligatoire — un moyen d’aider les gens à renforcer la sécurité de leur compte — et ne s’appuyait pas systématiquement sur des méthodes considérées comme des pratiques exemplaires.
Il a également affirmé que l’ARC n’était pas toujours en mesure d’expliquer de manière adéquate comment les pirates avaient réussi à contourner les processus d’authentification.
Le commissaire a formulé neuf recommandations d’amélioration, dont huit ont été acceptées dans leur intégralité et une en partie par l’agence.
Dans une déclaration envoyée à La Presse Canadienne jeudi, l’ARC a salué les conclusions du commissaire, affirmant qu’elles garantiraient que les Canadiens puissent continuer à faire confiance à l’agence pour protéger leurs renseignements personnels.
«La protection des renseignements des contribuables revêt une importance capitale pour l’ARC et, dans un monde de plus en plus numérique, l’ARC prend continuellement des mesures pour protéger les renseignements sensibles contre des menaces en constante évolution», indique la déclaration.
«L’ARC continue de mettre en œuvre des mesures de sécurité, des technologies, des processus et des contrôles pour garantir la sécurité des renseignements des contribuables.»
L’agence a dit qu’à une époque où les menaces sont persistantes, elle effectue régulièrement des évaluations de sécurité, telles que des analyses de vulnérabilité et des analyses de risques.
«Si de nombreux incidents sont identifiés grâce aux informations fournies par les contribuables, l’ARC utilise également la surveillance automatisée, les renseignements sur les menaces et l’analyse interne pour détecter les activités suspectes», rapporte la déclaration.
«Nous nous engageons à mettre en place en permanence des lignes de défense supplémentaires pour protéger les renseignements des contribuables.»
