À la mi-août, des cybercriminels ont ciblé l’Agence du revenu du Canada avec deux attaques d’infiltration simultanées (credential stuffing attacks) en obtenant les noms d’utilisateurs et mots de passe de détenteurs de 9 041 comptes CléCG et de 5 500 comptes de l’ARC. Les fraudeurs ont ensuite utilisé les identifiants volés pour faire des demandes de Prestation canadienne d’urgence (PCU).
En réaction à l’attaque, une déclaration publiée par le Bureau du dirigeant principal de l’information du gouvernement du Canada indique que l’accès à tous les comptes touchés a été annulé pour protéger les renseignements des contribuables.
L’ARC a également interrompu temporairement les services en ligne de son site web, tels que Mon dossier, Mon dossier d’entreprise et Représenter un client.
Même si la réponse du gouvernement fédéral a été rapide, la brèche a tout de même laissé plusieurs personnes sans accès à un soutien vital dans le sillage d’une pandémie mondiale dévastatrice.
La brèche de données n’est qu’une des nombreuses fraudes qui ont émergé depuis le début de la pandémie de la COVID-19. Alors que 90 % des professionnels de la sécurité (rapport en anglais) rapportent que le volume d’attaques auxquelles ils ont été confrontés a augmenté en 2020, il est crucial de comprendre comment des brèches comme la cyberattaque de l’ARC se produisent afin de prévenir de futurs piratages.
La cyberattaque de l’ARC : ce qui s’est produit
L’ARC a tout d’abord été alertée de la fraude en début d’août, lorsqu’après avoir reçu des courriels de notification de l’ARC, des citoyens canadiens ont signalé que les informations de leur compte de l’ARC avaient changé sans leur autorisation.
Comme l’explique un abonné de Twitter : « Ma femme a reçu plusieurs courriels de l’Agence du revenu du Canada mentionnant qu’elle recevrait un paiement de la PCU et que ses informations de dépôt direct avaient changé ».
Après s’être connectée à son compte, la dame en question a constaté que « toutes les informations de son compte étaient totalement compromises et modifiées. »
Pour procéder à l’attaque, les fraudeurs ont obtenu les identifiants de connexion d’utilisateurs de l’ARC recueillis lors de piratages précédents, et utilisé l’information volée pour se connecter à ces comptes. Une fois que les cybercriminels ont accédé au système, ils ont modifié les informations de dépôt direct pour demander frauduleusement au gouvernement de leur envoyer des paiements de soutien dans leurs propres comptes bancaires.
En référence à la brèche de données, le dirigeant principal de l’information a expliqué que l’attaque de credential stuffing a « tiré parti du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes. » Autrement dit, les utilisateurs auraient pu prévenir cette attaque avec l’usage de mots de passe robustes.
Principales leçons tirées du piratage de l’ARC
L’attaque de l’ARC recèle plusieurs leçons importantes à tirer, que les gens devraient prendre à cœur pour protéger leurs informations confidentielles :
1. Utilisez toujours un mot de passe unique
Utiliser le même mot de passe pour plusieurs comptes implique qu’un fraudeur n’a qu’à pirater un compte pour avoir accès à tous les autres. Choisir un mot de passe unique rend beaucoup plus difficile pour un criminel de s’introduire dans votre compte ou de détourner vos informations personnelles.
2. Surveillez tous vos comptes personnels et vos boîtes de courriel pour déceler des activités douteuses
Rester vigilant en ligne pour discerner toute activité douteuse est très important pour déterminer si vous avez été victime d’une brèche de données. Si quelqu’un d’autre que vous change vos informations de compte, informez immédiatement le fournisseur de service que votre compte a été compromis.
3. Tenez compte des piratages précédents
Il est possible de vérifier périodiquement si vos informations personnelles n’ont pas fait l’objet de fuites avec des ressources publiques comme et BreachAlarm, qui peuvent vous notifier lorsque vous devriez changer le mot de passe d’un compte.
Comment placer vos informations à l’abri de cybermenaces semblables
Votre protection et celle de vos données contre des cybermenaces comme la cyberattaque de l’ARC est uniquement une question de préparation. Vous pouvez vous protéger de menaces comme le credential stuffing, l’hameçonnage, et le piratage par la force brute en respectant les meilleures pratiques à cet égard :
1. Créez des mots de passe forts
Savoir comment créer un mot de passe robuste rendra beaucoup plus difficile pour les assaillants de deviner vos identifiants ou d’utiliser la force brute pour les obtenir. Les mots de passe robustes combinent 8 lettres, chiffres et symboles. Évitez le plus possible les mots du dictionnaire, les nombres séquentiels, les dates de naissance ou l’information personnelle facile à deviner. S’il est possible de bénéficier de l’authentification à deux facteurs, activez cette fonctionnalité pour une sécurité accrue.
2. Utilisez un gestionnaire de mots de passe
De façon réaliste, si vous gérez plus de cinq comptes il vous sera assez difficile de vous rappeler tous ces mots de passe par vous-même. Plutôt que de tenter de les mémoriser tous, utilisez un gestionnaire de mots de passe pour conserver ceux-ci en sécurité dans une application.
3. Entreprenez une formation de sensibilisation à la sécurité
Les connaissances sont votre arme principale contre les cybercriminels contemporains, et une formation de sensibilisation à la sécurité vous fera découvrir les cybermenaces les plus récentes, comme les attaques d’hameçonnage qui tentent de vous manipuler pour vous inciter à fournir vos données personnelles.
4. Mettez régulièrement à jour vos appareils et vos logiciels
Les cyberpirates sont à l’affût des vulnérabilités de vos logiciels pour les exploiter afin de voler vos informations personnelles. Mettre à jour régulièrement un appareil avec la dernière version de son système d’exploitation comble les failles pour que les attaquants ne puissent en tirer parti.
5. Ne conservez pas vos renseignements personnels en nuage
Conserver des données dans un espace infonuagique (cloud) est pratique, mais pas nécessairement sécuritaire. La plupart des fournisseurs d’entreposage nuagique n’offrent pas le cryptage des données au repos, ce qui augmente le risque de fraude et de vol d’identité.
6. Faites des recherches sur les fraudes liées à la COVID-19
Les fraudes associées à la COVID-19 ont augmenté de façon remarquable ces derniers mois. Aussi, il est crucial de scruter à la loupe chaque courriel ou message SMS vous demandant de renouveler un abonnement ou de mettre à jour les informations de votre compte. La règle d’or est de ne jamais cliquer sur des hyperliens reçus d’expéditeurs inconnus (et d’examiner deux fois ceux envoyés par des expéditeurs qui semblent légitimes!).
7. Autorisez les alertes et les notifications
Plusieurs services vous offrent l’option de recevoir des notifications pour diverses activités effectuées dans votre compte. Activez ces fonctions et réagissez rapidement si vous recevrez une telle notification au sujet de votre compte.
En résumé
La cyberattaque de l’ARC est un autre exemple de cybercriminels misant sur le contexte de la COVID-19 pour frauder. La bonne nouvelle est que vous pouvez atténuer les menaces comme le credential stuffing avec une gestion éclairée de vos mots de passe et des formations régulières de sensibilisation à la sécurité.
Des formations périodiques vous procureront les outils nécessaires pour déceler les dernières techniques de fraude utilisées pour s’emparer de vos informations personnelles. Somme toute, plus vous en connaîtrez sur les types d’attaques qui pourraient vous cibler, mieux vous pourrez vous en préserver et assurer votre protection en ligne.
Vous aimeriez avoir plus de conseils sur la façon de créer des mots de passe plus robustes que le nom d’un personnage de film d’Arnold Schwarzenegger? Téléchargez gratuitement la Trousse de cybersécurité pour un mot de passe robuste dès maintenant!
Trousse de cybersécurité pour un mot de passe robuste
Téléchargez la trousse pour des ressources supplémentaires à partager avec vos utilisateurs.