Mise à jour de l’OSSNR concernant le récent cyberévénement – notification continue des personnes concernées

Au printemps dernier, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a subi une violation de la cybersécurité liée à l’exploitation de points faibles de Microsoft Exchange. Entre le 9 et le 19 mars 2021, un tiers a obtenu un accès sporadique et non autorisé au réseau externe de l’OSSNR (réseau Protégé B). Les informations ci-dessous fournissent aux personnes pouvant être concernées de plus amples renseignements sur la violation.

L’incident n’a pas affecté les systèmes classifiés de l’OSSNR.

Quelles informations ont été compromises?

La compromission s’est traduite par le vol de deux fichiers : le premier, un fichier contenant les paramètres de configuration du système et des logiciels pour l’un des serveurs de l’OSSNR, et le second comprenant la base de données d’Active Directory de l’OSSNR. Cette dernière contenait des informations de base sur les utilisateurs du réseau de l’OSSNR pour faciliter leur connexion au réseau informatique. Ces renseignements comprenaient généralement le nom et le prénom de l’utilisateur, son numéro de téléphone personnel ou celui de son bureau, son adresse électronique, ainsi qu’un hachage des mots de passe actuels et antérieurs. Les personnes concernées par le vol de la base de données d’Active Directory ont été directement informées par l’OSSNR, à quelques exceptions près. Si vous êtes un ancien employé, un entrepreneur ou un membre et que vous n’avez pas eu de nouvelles de notre part, veuillez communiquer avec l’OSSNR à privacy-vieprivee@nsira-ossnr.gc.ca pour en savoir plus. La base de données d’Active Directory ne contenait pas de renseignements sur les employés d’autres organismes du gouvernement du Canada ni sur des membres du public.

La tierce partie a-t-elle eu accès à d’autres informations sur le réseau Protégé B?

Le Centre canadien pour la cybersécurité (le Centre) a examiné l’infrastructure informatique de l’OSSNR après l’incident de cybersécurité et n’a trouvé aucune preuve permettant de croire que l’auteur de la menace a accédé de manière inappropriée ou a exfiltré d’autres renseignements stockés sur le réseau Protégé B de l’OSSNR. Nous ne pouvons toutefois pas exclure totalement la possibilité que l’auteur de la menace ait pu accéder de manière inappropriée à d’autres informations stockées sur le réseau Protégé B.

Quels types de renseignements personnels trouve-t-on sur le réseau Protégé B de l’OSSNR?

Le réseau Protégé B de l’OSSNR héberge divers documents non classifiés, Protégé A et Protégé B, créés par nos directions organisationnelles, d’examen et juridiques. En outre, le réseau contenait différents renseignements personnels concernant des employés de l’OSSNR et d’autres personnes. Le réseau Protégé B contenait également le serveur de courrier électronique de l’OSSNR, lequel contenait des communications cryptées et non cryptées.

L’OSSNR a discuté du contenu de son réseau Protégé B avec ses employés et les a familiarisés avec le type de renseignements personnels stockés à leur égard sur les serveurs de l’OSSNR. En outre, le serveur Protégé B comprendrait les types suivants de renseignements personnels sur les groupes énumérés :

  • Les employés des ministères et organismes du gouvernement du Canada, avec lesquels l’OSSNR effectue ses mandats d’examen, de plainte ou organisationnels, en particulier leurs adresses électroniques, leurs blocs-signature et le contenu des courriels;
  • Les informations fournies par les personnes lorsqu'ils soumettent des plaintes pour enquête par l’OSSNR, y compris un résumé de leurs allégations;
  • Les candidats récents à un emploi ou à un contrat, dont le CV et les renseignements personnels connexes (p. ex. antécédents professionnels, adresse résidentielle et coordonnées) sont restés dans le dossier;
  • En de rares occasions, les personnes mentionnées dans les formulaires d’autorisation de sécurité soumis par les employés ou les candidats à un emploi, comme les membres de la famille et les références de caractère, si elles ont été sauvegardées localement par les employés sur le réseau ou si elles étaient conservées temporairement par l’OSSNR sur le réseau au moment de la violation;
  • Des personnes appartenant à des groupes universitaires et à des groupes de la société civile participant aux efforts de sensibilisation de l’OSSNR, à savoir leurs coordonnées et le contenu des courriers électroniques;
  • De même, les membres du public, notamment les demandeurs d’AIPRP, les représentants des médias et d’autres personnes qui ont envoyé des courriels à l’OSSNR.
Comment l’OSSNR a-t-elle réagi à la violation?

Dès la découverte de la compromission en mars, l’OSSNR a travaillé en étroite collaboration avec Services partagés Canada (SPC) et le Centre pour contenir la violation et rétablir l’intégrité de ses systèmes. À la suite d’une recommandation du Centre, l’OSSNR a définitivement mis hors service son réseau Protégé B et l’infrastructure informatique connexe. Nous avons également signalé l’affaire à la GRC, qui mène actuellement une enquête policière sur le cyberincident.

En outre, l’OSSNR a signalé l’atteinte à la vie privée au Commissariat à la protection de la vie privée du Canada (CPVP) et au Secrétariat du Conseil du Trésor. Nous avons travaillé en étroite collaboration avec le CPVP pour évaluer les conséquences de l’atteinte à la vie privée et informer les personnes concernées. Aux termes de la Loi sur la protection des renseignements personnels, les personnes ont le droit de déposer une plainte auprès du CPVP concernant le traitement de leurs renseignements personnels. Pour en savoir plus sur la procédure pour porter plainte et accéder au formulaire, cliquez ici.

L’OSSNR s’engage à veiller à ce que son infrastructure informatique comporte les meilleures mesures de sécurité informatique de sa catégorie. Nous continuons à collaborer avec le Bureau du Conseil privé (BCP), le Centre de la sécurité des télécommunications (CST) et SPC à cet égard.

Ressources utiles

Nous tenons à souligner que l’OSSNR n’a aucune preuve que l’auteur de la menace a accédé à des renseignements personnels plus généraux mentionnés ci-dessus ou les a exfiltrés. Nous sommes conscients des risques qui peuvent découler de violations de la cybersécurité et nous recommandons les ressources ci-dessous.

Les deux organismes de surveillance du crédit au Canada offrent une gamme de services gratuits et payants :

Certaines entreprises offrent également des services liés à la surveillance d’Internet pour la présence de renseignements personnels d’une personne, comme Norton LifeLock de Telus.

En outre, le gouvernement du Canada et le Commissariat à la protection de la vie privée ont des pages Web consacrées à la protection de la vie privée et à la cybersécurité :

Pour en savoir plus sur les points faibles de Microsoft Exchange, consultez aussi :

Communication avec l’OSSNR :

N’hésitez pas à communiquer avec nous pour toute question ou préoccupation à privacy-vieprivee@nsira-ossnr.gc.ca.

Les mises à jour, le cas échéant, continueront d’être publiées sur le site Web de l’OSSNR.

Nous regrettons sincèrement les répercussions de ce cyberincident.

Nos Communiqués De Presse


Office de surveillance des activités en matière de sécurité nationale et de renseignement Lettre sur la mise en œuvre de l’Appel à l’action en faveur de la lutte contre le racisme, de l’équité et de l’inclusion dans la fonction publique fédérale

Application par l’Office des articles 35 et 40 de la Loi sur l’OSSNR

Privacy Preference Center