Faire rapidement au dépens de la qualité: Les gens s’attendent à la sécurité lorsqu’ils confient au gouvernement leurs informations fiscales. Récemment, cependant, un développeur de logiciels de sécurité a accusé le gouvernement du Canada d’esquiver cette responsabilité avec une cybersécurité terne et des modifications suspectes des conditions de service. Les changements interviennent après que de récents piratages ont eu un impact sur l’agence fiscale canadienne.

L’Agence du revenu du Canada (ARC), qui gère les impôts du pays, a de nouvelles conditions générales l’exonérant de toute responsabilité si ses services en ligne subissent une violation de données. Le changement affecte l’ensemble du pays, car tous les citoyens et entreprises canadiens doivent gérer leurs impôts par l’intermédiaire de l’ARC, confiant ainsi leurs informations personnelles à l’agence. Parce qu’elle détient les renseignements personnels de pratiquement tous les contribuables canadiens, l’ARC pourrait être une cible extrêmement attrayante pour les voleurs d’identité ou autres pirates informatiques.

La mise à jour conditions d’utilisation dire que l’ARC n’est pas responsable des dommages subis par les utilisateurs si quelqu’un pirate le portail Mon dossier de l’agence. L’ARC affirme avoir fait tout ce qu’elle pouvait pour prévenir les cyberattaques, mais ne peut garantir une protection à toute épreuve.

De tels contrats pourraient être acceptables si l’agence disposait du meilleur, ou du moins d’un très bon appareil de cybersécurité. Malheureusement, Tanya Janca, fondatrice et PDG du développeur de logiciels de sécurité We Hack Purple, réclamations l’ARC néglige de nombreuses mesures de sécurité de base.

Je dois accepter ce risque parce que l’ARC a fait « toutes les mesures raisonnables pour assurer la sécurité de ce site Web ». Non tu ne l’as pas fait! Vous n’avez utilisé aucun des en-têtes de sécurité recommandés et vous n’avez pas utilisé de configurations sécurisées sur vos cookies ! Ce sont des BASES de codage sécurisé ! pic.twitter.com/uJCMXcVpbC

– Tanya Janca (@shehackspurple) 20 février 2023

Examen par Janca des réponses HTTP dans la page de connexion du portail Mon compte suggère les cookies du site n’ont aucune protection et qu’il n’utilise pas tous les en-têtes de sécurité recommandés. Le ToS interdit également aux utilisateurs de gratter le code du site, mais Janca ne pense pas que cela empêchera quiconque est déterminé à pénétrer le service.

Les changements de ToS pourraient être en réponse à une série d’incidents liés à la sécurité qui ont eu un impact sur l’agence au cours des dernières années.

Au cours de l’été 2020, des milliers de comptes de l’ARC abattre victime d’attaques de bourrage d’informations d’identification, dans lesquelles les pirates utilisent des adresses e-mail, des noms d’utilisateur et des mots de passe obtenus lors de violations antérieures pour voler d’autres comptes qui utilisent les mêmes informations d’identification. En 2021, les soucis de sécurité dirigé l’ARC pour verrouiller 800 000 contribuables hors de leurs comptes.

Une victime déposé un recours collectif contre le gouvernement en août dernier. Le compte de la victime a été volé et ses informations de dépôt direct ont été modifiées dans le cadre d’un programme d’aide financière COVID-19.

Jusqu’à présent, l’ARC n’a pas répondu aux informations de Janca demandes. Elle prévoit donner une présentation sur la question au Conseil d’accès et de confidentialité du Canada Congrès sur la confidentialité et la gouvernance des données le 10 mars.