Mécanismes de sécurité sur Internet

Nous tentons de régler les problèmes de sécurité sur Internet afin que vous puissiez, en toute sécurité, faire des transactions en ligne avec nous. Il existe de nombreuses solutions pour renforcer la sécurité sur Internet. Voici des détails sur certains des mécanismes offerts.

Sécurité informatique générale

• Logiciel antivirus
• Courriels
• Pare-feu

Sécurité du navigateur Web

• Chiffrement
• Mise à jour du navigateur
• Suppression du contenu de la mémoire cache
• Témoins
• Applets Java
• JavaScript
• Modification des paramètres du navigateur

Infrastructure à clé publique (ICP)

• Autorité de certification
• Certificats numériques
• Signatures numériques
• epass Canada

Sécurité informatique générale

Logiciel antivirus

Un logiciel antivirus scanne le contenu de votre ordinateur et vos courriels à la recherche de virus. Vous devez le mettre à jour périodiquement pour qu'il puisse détecter les nouveaux virus. Ce logiciel permet de mieux protéger les données contenues dans votre ordinateur ainsi que vos logiciels et votre système d'exploitation.

Courriels

Bien que le courriel soit utilisé couramment de nos jours, il n’est pas sécuritaire. Vous ne devez jamais nous faire parvenir de renseignements confidentiels par courriel non sécurisés, car ils peuvent être interceptés et le nom de l’expéditeur peut être modifié. Nous ne considérons pas comme valides les renseignements confidentiels reçus par courriels non sécurisés.

Pare-feu

Un pare-feu agit comme barrière entre les ordinateurs internes d’un réseau et ceux de l’extérieur et permet de contrôler le flux d’information qui circule entre ces deux types d’ordinateurs. Lorsqu’un ordinateur externe essaie de communiquer avec un ordinateur interne, il doit d’abord communiquer avec le pare-feu, et c’est ce pare-feu qui laisse tomber, refuse ou admet les demandes avant de les transmettre au serveur Web. Ce processus protège le serveur Web des accès non autorisés.

Sécurité du navigateur Web

Chiffrement

Le chiffrement est utilisé pour transmettre des messages dans divers formats depuis des centaines d’années; il ne s’agit donc pas d’un nouveau concept propre à Internet. Les méthodes de chiffrement ont évolué au même rythme que la technologie : le codage de texte, qui se faisait autrefois manuellement, se fait désormais à l’aide de programmes informatiques complexes.

Pour chiffrer l’information, on utilise une formule mathématique et une clé de chiffrement pour embrouiller les données et empêcher les personnes non autorisées de les lire. Les données ainsi embrouillées sont ensuite décodées (ou reconverties) et ramenées à leur format d’origine au moyen de la même formule mathématique et d’une clé de déchiffrement, afin que les personnes autorisées puissent en saisir le sens. Tant que les données sont chiffrées, il est impossible de les lire.

Grâce au protocole de chiffrement Secure Sockets Layer (SSL) sur 128 bits, la confidentialité des renseignements transmis entre votre navigateur et nos serveurs Web est assurée. Le chiffrement des renseignements permet leur transmission et leur authentification de façon sécuritaire. Les données ne peuvent pas être compromises lorsqu’on utilise le protocole SSL. Avec un tel protocole, l’identité du serveur Web peut être vérifiée. Celle du visiteur pourrait l’être aussi, toutefois, l’ASFC n’utilise pas cette méthode d’identification.

Lorsque vous transmettez des données en utilisant le protocole de chiffrement SSL, ces données sont divisées en petits groupes distincts, qu’on appelle des blocs. SSL chiffre chacun des blocs, qui sont ensuite transmis par Internet en petits paquets, chacun étant adressé individuellement. Une fois tous les paquets en sûreté dans notre serveur Web sécurisé, ils sont rassemblés et déchiffrés.

Vérification de la puissance de chiffrement du navigateur

Pour que vous puissiez faire des transactions en toute sécurité et en toute confidentialité, vous devez utiliser un navigateur qui utilise le protocole de chiffrement Secure Sockets Layer version 3.0 (SSLV3) sur 128 bits. Vous pouvez vous servir de notre test du navigateur pour tester votre navigateur.

Après que vous avez établi une connexion sécurisée, un cadenas ou une clé s'affiche dans le coin inférieur droit de la fenêtre du navigateur pour vous indiquer que les données sont chiffrées. Cependant, vous devez vérifier les propriétés de votre navigateur pour déterminer le niveau de chiffrement qu'il assure.

Internet Explorer

Lancez Internet Explorer et cliquez sur le menu « Aide ». Sélectionnez ensuite l'option « À propos de Internet Explorer ». Dans la fenêtre qui s'ouvre, vous pouvez voir le numéro de version ainsi que le niveau de sécurité du navigateur. Si la puissance de chiffrement « niveau de cryptage » n'est pas de 128 bits, vous devez mettre à jour votre navigateur.

Netscape

Si le cadenas s'affiche, cela signifie que vous utilisez un protocole de chiffrement sur 128 bits. S'il ne s'affiche pas, c'est que votre logiciel utilise un protocole de chiffrement sur 40 bits; vous devez mettre à jour votre navigateur pour pouvoir utiliser un protocole de chiffrement sur 128 bits.

Nous avons testé deux navigateurs qui fonctionnent bien avec nos services : Microsoft Internet Explorer, version 5.01, 5.5 ou plus récente, et Netscape Communicator/Navigator, version 4.78, 4.79 ou plus récente. Vous pouvez aussi utiliser d'autres navigateurs.

Mise à jour du navigateur

Si votre navigateur ne satisfait pas à nos exigences en matière de sécurité, c'est-à-dire qu'il n'utilise pas le protocole de chiffrement SSL version 3.0 sur 128 bits, vous devez le mettre à jour ou en télécharger un nouveau.

Remarques
L'ASFC n'est pas responsable des difficultés ou des problèmes pouvant survenir lors du téléchargement et de l'installation des logiciels. Vous devez vous adresser aux fournisseurs des logiciels pour obtenir du soutien technique.

Si votre ordinateur fait partie du réseau d'une institution, contactez l'administrateur de ce réseau avant de faire des changements à votre ordinateur.

Site Web du navigateur Microsoft Internet Explorer

Rappelez-vous que vous n'avez peut-être pas besoin de télécharger le navigateur en entier. Vous pouvez peut-être simplement le mettre à jour, ce qui prend moins de temps.

Téléchargement d'Internet Explorer avec le protocole de chiffrement sur 128 bits

• Accédez au site Web de Microsoft Internet Explorer.
• Allez à la page « Téléchargement » et sélectionnez le logiciel de chiffrement sur 128 bits qui convient à votre système d'exploitation.
• Téléchargez le logiciel (ou mettez-le à jour) en suivant les instructions données par le fournisseur.

Site Web du navigateur Netscape

Rappelez-vous que vous n'avez peut-être pas besoin de télécharger le navigateur en entier. Vous pouvez peut-être simplement le mettre à jour, ce qui prend moins de temps.

Téléchargement de Netscape avec le protocole de chiffrement sur 128 bits

• Accédez au site Web de Netscape.
• Choisissez la langue voulue.
• Allez à la page << Téléchargement >> et sauvegardez le fichier dans votre ordinateur.
• Installez le logiciel ou mettez-le à jour en suivant les instructions données par le fournisseur.

Un manuel d'aide technique en direct est mis à votre disposition; il contient de l'information générale sur le téléchargement, l'installation et la configuration des navigateurs Microsoft Internet Explorer et Netscape pour que vous puissiez utiliser les services de l'ASFC.

Suppression du contenu de la mémoire cache

Lorsque vous visitez un site Web, une partie du contenu des pages est stockée dans la mémoire cache de votre ordinateur et dans celle de votre navigateur. Ce dernier devrait donc afficher la page plus rapidement la prochaine fois que vous accéderez au site, car certains éléments de ce site (par exemple, des images et des fichiers) sont stockés dans la mémoire cache. Il n’a donc pas besoin de recharger tous les éléments.

Comme les renseignements stockés dans la mémoire cache de votre navigateur ne sont pas chiffrés, vider le contenu de cette mémoire en assure la sécurité. Une fois que vous avez terminé une session sécurisée, vous devriez fermer votre navigateur et le relancer pour supprimer les témoins de sessions contenus de sa mémoire cache. Si vous utilisez Internet Explorer, vous devriez aussi supprimer vos fichiers Internet temporaires avant de fermer et de rouvrir votre navigateur. Si vous utilisez Netscape Navigator, vous devriez vider le cache sur disque et le cache en mémoire avant de fermer et de rouvrir votre navigateur.

Témoins

Notre serveur Web principal n’utilise pas les témoins («  cookies ») ni aucune autre méthode de gestion des connexions à fin de recueillir les renseignements personnels sur les visiteurs qui recherchent de l’information sur notre site. Toutefois, lorsque vous accédez à notre site Web pour faire certaines transactions, votre navigateur pourra être invité à accepter notre témoin de session, une petite chaîne de texte qui renferme un numéro d’identification de session. Nous utilisons ce témoin pour gérer chaque session sécurisée sur notre site Web de sorte à assurer votre identification et l’exactitude des renseignements que vous nous envoyez. Seule une personne ayant un témoin valide enregistré dans son navigateur peut faire une transaction pendant cette session.

Le témoin que nous utilisons renferme un numéro d’identification de session, mais il ne contient aucun renseignement permettant d’identifier un particulier ou une entreprise. De plus, il ne peut pas extraire d’information de votre disque dur. Autrement dit, quelqu’un qui examinerait vos témoins ne pourrait pas faire de transactions sur notre site Web en se faisant passer pour vous. Nos témoins ne sont pas enregistrés sur votre disque dur; ils sont stockés dans votre navigateur pour une seule session et seront supprimés lorsque vous fermerez votre navigateur.

Si vous refusez le témoin, vous ne pourrez pas faire de transactions par Internet avec nous.

Applets Java

Les applets Java sont de petits programmes qui peuvent être téléchargés à partir d'Internet et qui s'exécutent avec votre navigateur. Ils sont généralement utilisés pour personnaliser une page Web ou y ajouter des éléments interactifs. Les applets Java devraient être activés lorsque vous utilisez nos services Web.

JavaScript

JavaScript est un langage de script qui fonctionne avant tout avec des pages Web. Nous les utilisons pour détecter le système d’exploitation, le type de navigateur et la version utilisés. La fonction JavaScript devrait être activée lorsque vous utilisez nos services Web.

Modification des paramètres du navigateur

Les instructions qui suivent vous permettront d’ajuster les paramètres de sécurité de votre navigateur et d’activer les témoins, les applets Java et les JavaScript.

Remarques
Si votre ordinateur fait partie du réseau d’une institution, contactez l’administrateur de ce réseau avant de faire des changements à votre ordinateur.

Ces instructions s’appliquent aux navigateurs utilisant le système d’exploitation Windows. Si vous utilisez d’autres systèmes d’exploitation comme Macintosh, Linux ou Solaris, consultez le fichier d’aide de votre navigateur pour savoir comment modifier vos paramètres.

Internet Explorer 5 et 6

• Cliquez sur le menu « Outils », puis sur « Options Internet ».
• Sélectionnez l’onglet « Sécurité ».
• Cliquez sur l’icône « Internet » dans la boîte des zones de contenu Web.
• Cliquez sur le bouton « Personnaliser le niveau…  ». Le système ouvre alors la fenêtre « Paramètres de sécurité » :
  • faites défiler la liste jusqu’au paramètre « Cookies ». Sous la rubrique « Autoriser les cookies par session (non stockés) », vérifiez que l’option « Activer » est bien sélectionnée;faites défiler la liste jusqu’à « Microsoft VM ». Sous la rubrique « Autorisations Java », vérifiez que l’option « Haute sécurité » est bien sélectionnée;
  • faites défiler la liste jusqu’à « Script  ». Sous la rubrique « Script des applets Java », vérifiez que l’option « Activer » est bien sélectionnée;
  • dans la boîte « Rétablir les paramètres personnalisés », cliquez sur la flèche pour faire afficher la liste déroulante et sélectionnez l’option « Moyen »;
  • cliquez sur « OK ». La fenêtre « Paramètres de sécurité » se refermera.
• De retour dans l’onglet « Sécurité », cliquez sur « Appliquer » et sur « OK ».

Netscape 4

• Cliquez sur le menu « Édition », puis sur l’option « Préférences ».
• Dans la boîte « Catégorie », cliquez sur « Avancées ». De nouveaux paramètres s’affichent alors à droite de la fenêtre :
  • vérifiez que les cases « Activer Java » et « Activer JavaScript » sont bien cochées et que l’option « Accepter tous les cookies » est bien sélectionnée.
• Cliquez sur « OK ».

Netscape 6 et 7

• Cliquez sur le menu « Édition », puis sur l’option « Préférences ».
• Dans la boîte « Catégorie », cliquez sur « Confidentialité et sécurité », puis sur « Cookies ».
  • Vérifiez que l’option « Accepter tous les cookies » est bien sélectionnée.
• Dans la boîte « Catégorie », cliquez sur « Avancé ». De nouveaux paramètres s’affichent alors à droite de la fenêtre :
  • Vérifiez que l’otion « Activer Java » est bien sélectionnée, et;
  • pour Netscapae 6,dans cette même liste de paramètres, sélectionnez « Activer JavaScript pour Navigator »;
  • pour Netscape 7, dans la boîte « Catégorie  », cliquez sur « Scripts et modules externes » et sélectionnez l’option « Activer JavaScript pour Navigator ».
• Cliquez sur « OK ».

Infrastructure à clé publique (ICP)

L'ICP est une combinaison de politiques et de technologies visant à établir un environnement de travail sécurisé qui permette aux internautes de faire des transactions électroniques en toute sécurité. L'ICP fonctionne au moyen d'un système de chiffrement à clé publique et d'un certificat numérique détenu par chaque partie qui transmet de l'information au moyen d'Internet. Ainsi, les renseignements confidentiels sont protégés contre toute falsification, et l'identité des participants est garantie.

Contrairement aux systèmes de chiffrement traditionnels qui utilisent la même clé pour chiffrer et déchiffrer l'information, le chiffrement à clé publique utilise une formule mathématique ou un algorithme (aussi appelé une clé) pour chiffrer les données, puis une deuxième clé mathématique connexe pour les déchiffrer. Un utilisateur ICP détient donc deux clés : l'une, publique, qui est accessible à tous et qui est associée au certificat numérique, et l'autre, privée, qui n'est connue que de son détenteur. Un message chiffré à l'aide d'une clé publique ne peut être déchiffré qu'avec la clé privée correspondante. Ce système de clés permet de s'assurer que personne d'autre ne peut lire les messages chiffrés du détenteur de la clé privée. Dans le cas de l'ICP du gouvernement du Canada, une fois que vous avez votre clé, tout ce que vous devez retenir, c'est votre code d'utilisateur et votre mot de passe (que vous devez garder secrets).

Pour en savoir plus sur l'ICP, visitez les sites suivants :

• Infrastructure à clé publique du gouvernement du Canada
  (Secrétariat du Conseil du Trésor du Canada)
• L'infrastructure à clé publique
  (Centre de la sécurité des télécommunications)

Autorité de certification

Une autorité de certification est un tiers de confiance chargé d'émettre des certificats numériques et de les gérer tout au long de leur cycle de vie. La gestion des certificats numériques comprend la création, la distribution, le renouvellement et le retrait centralisés des certificats. L'autorité de certification confirme l'identité du détenteur et publie des listes à jour de clés publiques.

Dans le cadre de l' ICP du gouvernement du Canada, deux organisations se partagent le rôle d'autorité de certification, et ce, afin d'assurer un niveau additionnel de protection des renseignements. Une organisation centrale émet les clés ICP et en gère la création, la distribution, le renouvellement et le retrait, pour tous les ministères. Cependant, les certificats conservés dans la base de données centrale ne renferment qu'un numéro unique non significatif (MBUN, de l'anglais « Meaningless But Unique Number »), et non votre identité. Chaque ministère qui utilise l'ICP vous authentifiera, et seul ce ministère connaîtra le lien entre votre MBUN et votre véritable identité. Vous pouvez décider d'utiliser un seul certificat pour toutes vos transactions avec le gouvernement du Canada ou d'en utiliser un différent pour chaque ministère.

Certificats numériques

Un certificat numérique est une preuve d'identité électronique qui permet de vérifier l'identité de son détenteur. Il est émis par une autorité de certification et renferme de l'information sur l'identité du détenteur; il est impossible de le falsifier. Le certificat numérique établit un lien entre l'identité de son détenteur et une clé publique. Il s'agit d'un outil essentiel pour assurer la sûreté et la sécurité des réseaux électroniques, car il permet d'envoyer et de recevoir de l'information protégée ainsi que d'y accéder de façon sécuritaire. Si l'on soupçonne qu'un certificat numérique a été compromis, on le retire.

Signatures numériques

Une signature numérique est une pièce d'identité électronique qui permet de confirmer l'identité de l'expéditeur d'un message, que le message soit chiffré ou non. Les signatures ne peuvent être générées que par leur signataire; elles peuvent être vérifiées, sont inviolables, ne peuvent pas être falsifiées ni répudiées, et permettent d'assurer l'intégrité de l'information contenue dans le message pendant sa transmission.

epass Canada

Le nouveau service epass Canada, qui utilise l'ICP, permet aux Canadiens de bénéficier de services électroniques sécuritaires de pointe au moyen d'un code d'utilisateur et d'un mot de passe, à partir de n'importe quel terminal Internet dans le monde. Lorsque vous demandez une carte d'identité électronique, vous obtenez une preuve d'identité électronique exclusive vous permettant d'accéder à des programmes et à des services gouvernementaux en direct qui doivent utiliser des mécanismes de sécurité renforcés, notamment des signatures numériques sécurisées.