Importante faille de sécurité informatique dans le logiciel Antidote

L’entreprise de sécurité informatique GoSecure a décelé une importante faille informatique dans le logiciel Antidote, le très populaire correcteur français et anglais mis en marché par la compagnie montréalaise Druide informatique. Mais GoSecure ignore si cette faille a déjà été exploitée de façon malveillante.

Un texte de Normand Grondin

Olivier Bilodeau, directeur de la recherche en cybersécurité de GoSecure, explique que le problème a été trouvé par hasard « en observant les réseaux d’entreprises ».

Est-ce qu’on peut garantir hors de tout doute que quelqu’un d’autre, un adversaire l’aurait découvert? Non, on ne le peut pas.

 Olivier Bilodeau, directeur de la recherche en cybersécurité, GoSecure

La faille permettait à un pirate d’obtenir à distance le nom d’utilisateur et le mot de passe d’un utilisateur d’Antidote. Par exemple dans un endroit public (un café Internet) ou encore en utilisant à titre de visiteur le réseau sans fil d’une entreprise. Une fois que le bogue d’Antidote lui donnait accès à l’ordinateur d’une victime, l’attaquant pouvait avoir accès à tous ceux avec lesquels celui-ci est en réseau.

Dans le cadre de mandats de tests d’intrusions pour ses clients, GoSecure est ainsi parvenue à prendre le contrôle d’organisations entières par la capture de comptes administrateurs, des comptes qui possèdent de nombreux privilèges dans une organisation.

« À partir de là, quand tu as un compte qui a accès à n’importe quel poste, qui a accès à des serveurs, ben là, c’est le début de la fin. Il s’agit simplement de démontrer un impact pour l’entreprise, d’aller chercher les secrets, d’aller chercher les chèques, les données confidentielles, et là, on peut démontrer à la compagnie qu’on est entrés, qu’on a tout gagné et la porte d’entrée, c’était un bogue dans Antidote », explique Olivier Bilodeau.

Selon GoSecure, la sévérité du problème est amplifiée par le fait qu’Antidote est largement déployé à l’intérieur d’organisations francophones, qu’il compte un très grand nombre d’utilisateurs et qu’il est lancé automatiquement par plusieurs applications, telles que Word, Outlook, Notepad, Internet Explorer, Chrome, Firefox, etc.

GoSecure a divulgué récemment la vulnérabilité au fabricant d’Antidote. André D’Orsonnens, cofondateur de Druide informatique, nous a confirmé qu’une version corrigée du logiciel est maintenant disponible pour Antidote 8, 9 et 10.

Source : Radio-Canada
https://ici.radio-canada.ca/nouvelle/1153969/importante-faille-securite-informatique-sur-logiciel-antidote

Des milliers de Canadiens traqués pour des trop-payés à cause d’un autre problème informatique

Un problème informatique remontant à 2009 a enfin été réglé, ce qui a permis au gouvernement fédéral de reprendre la traque de milliers de Canadiens qui doivent environ 66 millions de dollars au Régime de pensions du Canada (RPC) en raison de paiements en trop erronés.

En novembre dernier, Emploi et Développement social Canada (EDSC) a rétabli le recouvrement de ses anciennes dettes en s’en prenant à 15 000 personnes ou à leur succession après presque dix ans d’inaction.

Le recouvrement des comptes débiteurs inactifs a été interrompu en raison de problèmes liés aux systèmes à la suite de la mise en œuvre d’une nouvelle plateforme informatique en 2009, ce qui a empêché de déterminer avec précision les montants dus, indique une note de service du 4 octobre à l’intention du ministre de la Famille, des Enfants et du Développement social, Jean-Yves Duclos.

Un problème technique parallèle empêche également le recouvrement des trop-payés de la Sécurité de la vieillesse (SV) sur les comptes inactifs, ce que le ministère s’efforce encore de résoudre.

Une dette dormante

CBC/Radio-Canada a obtenu la note de service et d’autres renseignements sur le problème de la dette dormante en vertu de la Loi sur l’accès à l’information.

À l’heure actuelle, Emploi et Développement social Canada récupère les trop-payés du Régime de pensions du Canada et de la Sécurité de la vieillesse pour les personnes qui reçoivent encore leurs prestations mensuelles.

En 2016, par exemple, le ministère a récupéré environ 134 millions sur les 233 millions de dollars de trop-payés en souffrance.

Mais depuis 2005, le ministère a laissé à l’Agence du revenu du Canada (ARC) le soin de percevoir les trop-payés versés aux personnes qui ne reçoivent plus de chèques de prestations, les comptes dits « inactifs ».

Une fois que tous les problèmes du système auront été résolus, la perception va commencer…

 Porte-parole du EDSC, sur les plans visant à récupérer les trop-payés de la Sécurité de la vieillesse

Certaines de ces personnes ont reçu à tort des prestations d’invalidité du RPC ou des prestations pour enfants en vertu du programme. De plus, des successions ont continué à encaisser des chèques même après le décès des bénéficiaires visés.

Après 2009, l’ARC n’a pas été en mesure de percevoir quoi que ce soit – et ne pouvait plus calculer avec exactitude les montants dus, parce que le ministère avait migré son système du RPC vers une nouvelle plateforme de TI.

La plupart des 15 000 personnes qui doivent encore de l’argent au RPC ont reçu un avis par la poste au cours des deux dernières années au sujet de leur dette, mais il n’y a eu aucun recouvrement actif jusqu’à maintenant.

Le EDSC estime que 95 % des particuliers doivent moins de 25 000 $ chacun et que la plupart doivent moins de 5000 $.

Le ministère affirme qu’il a une politique de « contrainte excessive » pour traiter avec les personnes en difficulté financière et qu’il peut prendre des dispositions pour étaler les paiements sur une plus longue période.

La nouvelle reprise des recouvrements, qui sera mise en place progressivement, assurera « l’équité » avec les autres Canadiens qui ont remboursé des prestations gouvernementales qu’ils n’étaient pas censés recevoir, dit la note de service.

Un porte-parole du ministère, Josh Bueckert, a déclaré que la première vague d’avis de recouvrement a atteint 1730 personnes depuis novembre, et que 266 de ces avis ont entraîné des remboursements d’un peu plus d’un demi-million de dollars.

Aucune date n’a été fournie

Josh Bueckert n’a pas proposé de date pour la reprise du recouvrement des trop payés de la Sécurité de la vieillesse dans les comptes inactifs.

Une fois que tous les problèmes du système auront été résolus, le recouvrement commencera de la même façon [que] les comptes inactifs du RPC sont perçus, a-t-il expliqué dans un courriel.

Ce problème de TI non résolu depuis longtemps est l’un des nombreux problèmes qui assaillent le gouvernement fédéral depuis des années.

Le fiasco du système de paie de Phénix, qui a commencé en 2016, continue de laisser des milliers de fonctionnaires surpayés, sous-payés ou pas payés du tout.

CBC/Radio-Canada a récemment fait état de documents internes du gouvernement indiquant qu’il faudra peut-être une décennie avant que le système Phénix soit « stable dans l’ensemble ».

Source : Radio-Canada
https://ici.radio-canada.ca/nouvelle/1158304/des-milliers-de-canadiens-traques-pour-des-trop-payes-a-cause-dun-autre-probleme-informatique

Sécurité informatique : mythes et réalité

Un écran d’ordinateur noir, faisant défiler des codes binaires cryptés en lettrage vert, entouré d’un désordre complet et de boîtes de pizza qui s’accumulent : on s’imagine souvent l’environnement de travail des spécialistes en sécurité informatique comme étant un calque de la chambre de Néo dans La matrice. La réalité diffère toutefois considérablement!

Hugo Lavoie a rencontré Jean-Marc Robert dans son bureau de l’École de technologie supérieure, un bureau tout ce qu’il y a de plus normal. M. Robert est directeur du Département de génie logiciel et des technologies de l’information, et il dirige une petite équipe chargée d’analyser de potentielles activités irrégulières dans les laboratoires du département.

« Il y a deux ans, on a eu des attaques sur notre laboratoire d’enseignement. Comment l’a-t-on détecté? Avec la chaleur des machines, on s’est rendu compte que les 35 ordinateurs étaient utilisés 24 heures sur 24 pour faire du minage de bitcoin! »

On trouve des équipes comme celle de M. Robert dans tous les domaines maintenant. L’ère numérique requiert une attention toujours croissante pour la sécurité et la protection des données. C’est vrai pour les banques, les gouvernements et les universités.

Et pour que ces données soient en sécurité, il faut être en mesure d’améliorer constamment la fiabilité de leurs systèmes de protection… M. Robert a d’ailleurs déjà demandé à ses étudiants de pirater le site de l’université, une opération qui s’est avérée un brin trop facile… Cette activité n’est d’ailleurs plus au plan de cours!

Source : Radio-Canada
https://ici.radio-canada.ca/premiere/emissions/gravel-le-matin/segments/chronique/109566/hugo-lavoie-securite-informatique-ecole-technologie-superieure-donnees