Une action collective intentée contre le gouvernement fédéral concernant la cyberattaque de l'ARC

La poursuite fait suite aux cyberattaques qui ont ciblé les comptes de l'Agence du revenu du Canada et d'autres services gouvernementaux en 2020.

Ce texte est une traduction d'un article de CTV News.

Le demandeur, Todd Sweet, un policier à la retraite de la Colombie-Britannique, affirme que les «sauvegardes inadéquates» dans plusieurs portails gouvernementaux en ligne ont mis en péril des informations sensibles, permettant à des «mauvais acteurs» d'accéder aux comptes en ligne des Canadiens sans leur consentement.

En plus de prétendre que des comptes privés ont été violés, Todd Sweet allègue que les pirates informatiques ont pu demander frauduleusement la Prestation canadienne d'urgence (PCU), ce qui aurait pu disqualifier les personnes dans le besoin de recevoir le financement nécessaire.

M. Sweet demande à la cour d'ordonner au gouvernement canadien de compenser financièrement ceux dont les comptes ont été compromis, ainsi que de fournir des services de surveillance qui pourraient être nécessaires pour réparer le préjudice subi.

Les allégations formulées dans la poursuite n'ont pas été testées en justice. Selon l'avis de certification, le gouvernement fédéral nie toute faute dans cette affaire.

En août 2020, l'ARC a temporairement suspendu ses services en ligne après que deux cyberattaques ont compromis des milliers de noms d'utilisateur et de mots de passe volés.

Selon le gouvernement fédéral, un total de 11 200 comptes de services du gouvernement fédéral ont été ciblés dans ce qui a été décrit comme des «tentatives de bourrage d'identifiants» - une stratégie dans laquelle les pirates utilisent des mots de passe et des noms d'utilisateur provenant d'autres portails en ligne pour accéder aux comptes des Canadiens auprès de l'ARC.

Les responsables ont déclaré avoir découvert les failles de sécurité pour la première fois le 7 août 2020, mais n'ont pas contacté la GRC avant le 11 août 2020.

Toute personne dont les informations personnelles ou financières dans son Compte en ligne du gouvernement du Canada ont été consultées par un tiers non autorisé entre le 1er mars et le 31 décembre 2020 est automatiquement incluse dans cette action collective. Les comptes en ligne du gouvernement du Canada comprennent les comptes de l'ARC, les comptes de Mon dossier Service Canada et tout autre service du gouvernement fédéral accessible avec GCKey.

Les personnes touchées par ces violations de sécurité n'ont pas besoin de faire quoi que ce soit pour participer à cette action collective, mais elles peuvent choisir de s'exclure du recours collectif, précise l'avis.

Elles peuvent se désister en remplissant un formulaire publié sur le site Web du cabinet d'avocats représentant l'affaire. Elles doivent le faire d'ici au 27 novembre.

Un formulaire de désistement et une adresse électronique sont également disponibles en bas de l'avis de certification.

L'avis précise en outre que des dommages seront réclamés pour l'ensemble de la classe, ce qui signifie que le juge déterminera comment toute indemnisation devrait être répartie entre les membres touchés.