Cette page Web a été archivée dans le Web.

2002 avril — Rapport de la vérificatrice générale du Canada

Rapport d'avril 2002 — Chapitre 3

Encadré 3.1 — Nos évaluations de la vulnérabilité font ressortir des faiblesses

Applications désuètes et systèmes non protégés

Plusieurs systèmes hôtes utilisaient des applications désuètes connues pour présenter des points vulnérables pouvant ouvrir la porte à un accès non autorisé. Dans un cas, nous avons remarqué que le mot de passe de l'administrateur de réseau n'était pas établi, ce qui permettait à tout utilisateur d'Internet d'accéder au système.

Les possibilités d'accès non autorisé sont nombreuses :

  • Les données délicates enregistrées dans un système peuvent être visualisées et utilisées de façon frauduleuse.
  • Les données ou les programmes peuvent être modifiés ou supprimés.
  • L'accès à un système ministériel pourrait permettre d'accéder à un autre système.
  • Des programmes pourraient être installés pour attaquer d'autres systèmes dans Internet. Les attaques donneraient ainsi l'impression de provenir du gouvernement.
  • Les systèmes pourraient être utilisés pour partager des fichiers; le gouvernement donnerait alors l'impression qu'il approuve le contenu des fichiers.

Information pouvant être l'objet de cyberattaques

L'information concernant la configuration des systèmes et l'identité des utilisateurs n'était pas à l'abri des attaques. Cette information pourrait servir à planifier une cyberattaque ou à accéder à des systèmes et à des données sans en avoir la permission.

L'information suivante était accessible dans les systèmes :

  • le type de système d'exploitation et la version utilisés;
  • le nom du système hôte;
  • la configuration du système pour partager les fichiers (permettait-elle une « relation de confiance » qui donnerait un accès direct à d'autres systèmes?);
  • une liste de noms d'utilisateur valides;
  • les noms et prénoms des utilisateurs.