Cybersécurité: Québec a dû fermer près de 4000 sites et services en ligne
(Source: capture d’écran InfoBref)
- Le gouvernement a choisi de fermer de façon préventive l’ensemble de ses sites et services informatiques après la découverte vendredi d’une faille de sécurité mondiale.
- Cette faille, appelée Log4Shell, pourrait permettre à un pirate informatique de prendre le contrôle d’un serveur qui héberge des sites web.
La vulnérabilité concerne la bibliothèque de logiciels libres Log4j du langage de programmation Java.
- Le site américain InfoWorld donne des suggestions aux développeurs qui veulent vérifier si leur serveur court le risque d’être victime de Log4Shell.
Dès vendredi, le Centre gouvernemental de cyberdéfense a demandé aux responsables de la sécurité informatique:
- de fermer, pour la première fois, tous les sites et services internet de l’État, de façon préventive,
- le temps de détecter quels systèmes informatiques utilisés par le gouvernement pourraient être victimes de cette faille.
La menace est «d’un niveau critique de 10 sur 10», a expliqué dimanche le ministre délégué à la Transformation numérique Éric Caire.
- «La menace de préjudice était plus grande que le préjudice de fermer l’ensemble des systèmes.»
Tous les ministères, organismes publics et parapublics doivent vérifier s’ils utilisent la bibliothèque d’applications concernée.
Cela revient à chercher «une aiguille dans une botte de foin», dit Éric Caire.
- Il faut «scanner l’ensemble de nos systèmes, parce qu’on n’a pas d’inventaire».
- Selon le ministre, c’est aussi fastidieux que de comptabiliser «combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts».
Les sites et services internet qui ne sont pas concernés par la faille de sécurité devraient rouvrir rapidement.
- En revanche, ceux qui utilisent la bibliothèque visée devront installer un correctif informatique et effectuer des tests de sécurité.
- Cette opération devrait prendre plusieurs jours.
Québec affirme qu’aucune fuite de données personnelles ou d’informations sensibles n’a pour l’instant été détectée.
Le gouvernement devrait publier lundi une liste des sites et services qui ont pu rouvrir et de ceux qui devront rester fermés.
- Clic Santé, le portail de prise de rendez-vous pour se faire vacciner, avait déjà été corrigé et était accessible dimanche.
À Ottawa, le gouvernement fédéral a dû se résoudre, lui aussi, à fermer plusieurs services en ligne, dont celui de l’Agence du revenu du Canada (ARC).