Les autorités canadiennes enquêtent sur une violation prolongée de la sécurité des données après une "détection d’activité électronique malveillante" affectant le réseau interne utilisé par les employés d’Affaires mondiales Canada, selon des courriels internes de l’administration auxquels CBC News a eu accès.

La violation affecte au moins deux serveurs internes, ainsi que les courriels, calendriers et contacts de plusieurs employés.

CBC News a parlé à plusieurs sources connaissant la situation, y compris des employés qui ont reçu des instructions sur la manière dont la violation affecte leur capacité à travailler, et certains ont été invités à cesser de travailler à distance depuis mercredi dernier.

CBC News a également constaté l’envoi de trois courriels internes aux employés d’Affaires mondiales.

Un des courriels indiquait : "Le travail médico-légal a également progressé pour nous aider à comprendre l’étendue de la violation des données". "Le travail est en cours, mais les résultats préliminaires suggèrent que de nombreux utilisateurs d’Affaires mondiales Canada ont probablement été affectés".

Un autre courriel mentionnait que les systèmes internes ont été compromis entre le 20 décembre 2023 et le 24 janvier 2024, et avertissait toute personne se connectant à distance avec un ordinateur portable SIGNET (Réseau intégré mondial sécurisé) que ses informations pourraient être à risque.

Le système "piraté" était le réseau privé virtuel (VPN) utilisé par les employés pour accéder au siège d’Affaires mondiales à Ottawa. L’avis de GAC indiquait que le système VPN était géré par Services partagés Canada.

Services partagés Canada est une agence fédérale créée en 2011 pour livrer les services de messagerie électronique, les centres de données et les services réseau à plusieurs ministères et agences gouvernementales.

Affaires mondiales Canada confirme la violation

Dans un communiqué publié mardi, Affaires mondiales Canada a indiqué qu’une "interruption imprévue des technologies de l’information" affectait l’accès à distance à son réseau, et que l’arrêt partiel avait été délibérément déclenché le 24 janvier "pour répondre à la détection d’une activité cybernétique malveillante".

Le communiqué disait : "Les résultats préliminaires indiquent qu’il y a eu une violation des données et qu’il y a eu un accès non autorisé aux informations personnelles des utilisateurs, y compris les employés", ajoutant que l’administration enquêtait sur la question et communiquait avec les personnes affectées pour assurer la sécurité de leurs informations.

Le communiqué mentionnait aussi que la connectivité dans les bâtiments de GAC fonctionnait à pleine capacité et que des solutions alternatives avaient été fournies aux employés travaillant à distance au Canada.

"Les services essentiels de l’administration et les canaux de communication externes demeurent disponibles et opérationnels".

Selon Affaires mondiales, SIGNET est le réseau informatique sécurisé du ministère, dont une partie contient des informations personnelles sur des disques partagés, y compris les informations personnelles des employés, et une autre partie contient des informations confidentielles.

Il n’est pas clair si les informations confidentielles ont été perdues lors de la violation qui a duré plus d’un mois, ni qui était derrière cette violation.

La note de GAC aux employés indiquait que le trafic des courriels et des fichiers sur les disques personnels et partagés "a pu être compromis". GAC a aussi déclaré qu’elle examinait si des "informations sensibles de l’entreprise", telles que les cartes de crédit et les données bancaires, avaient été compromises.

Le courriel envoyé par GAC aux employés indiquait que Services partagés Canada et le Centre canadien pour la cybersécurité – qui fait partie de l’Agence de la sécurité des communications, l’organisme canadien de cybersécurité – enquêtaient sur la violation.

"Le travail médico-légal, y compris avec ces partenaires, est en cours pour nous aider à comprendre l’impact sur nos réseaux et toute modification possible de l’étendue et du calendrier de la violation des données", disait le courriel envoyé par GAC aux employés.

Le bureau du Commissaire à la protection de la vie privée a déclaré qu’Affaires mondiales Canada l’avait informé de la violation des données le 26 janvier.

Un porte-parole du ministère a déclaré dans un communiqué : "Nous sommes en contact constant avec l’administration pour recueillir plus d’informations". "Après l’avis de violation, notre bureau travaillera avec les institutions fédérales pour mieux comprendre les risques liés à la vie privée associés à la violation et s’assurer que le ministère prend les mesures appropriées, y compris informer les personnes affectées".

Affaires mondiales Canada est une "cible naturelle"

Wesley Wark, expert en sécurité nationale à l’Université d’Ottawa, a déclaré : "Une violation d’une telle durée doit être grave".

"Affaires mondiales Canada détient beaucoup d’informations confidentielles et sensibles... C’est une cible naturelle pour le piratage mais aussi une entité vulnérable détenant des données importantes".

Bien que les télégrammes diplomatiques sensibles soient envoyés à l’aide d’un système crypté, une source a dit à CBC News que certains brouillons de communications sensibles et certaines informations de renseignement avaient peut-être été stockés sur les disques affectés.

Le courriel envoyé aux employés disait : "Nous savons que ces informations peuvent inquiéter beaucoup d’entre vous". "C’est une situation évolutive et d’autres informations et directives seront fournies dès que possible."

Le courriel proposait des suggestions sur la manière de protéger les "informations sensibles" et encourageait les employés à surveiller leurs comptes financiers en cas d’activités non autorisées.

Entre-temps, certains employés d’Affaires mondiales résidant au Canada et disposant d’une habilitation de sécurité ne peuvent pas travailler à domicile.

Le courriel disait : "Il ne s’agit pas d’un changement permanent au modèle de travail hybride, mais simplement d’une mesure temporaire jusqu’à ce que cette crise soit résolue".

Une source diplomatique de haut niveau a déclaré à CBC News que lors de plusieurs occasions l’année dernière, des employés ont été invités à changer leurs mots de passe ou à redémarrer immédiatement un logiciel, sans que d’autres détails leur soient fournis.

Affaires mondiales a indiqué qu’elle travaille avec Services partagés Canada et le Centre canadien pour la cybersécurité, qui fait partie de l’Agence de la sécurité des communications, pour rétablir une connectivité complète "aussi rapidement que possible".