Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Liens institutionnels

Avis importants

Mécanismes de sécurité sur Internet

Nous tentons de régler les problèmes de sécurité sur Internet afin que vous puissiez, en toute sécurité, faire des transactions en ligne avec nous. Il existe de nombreuses solutions pour renforcer la sécurité sur Internet. Voici des détails sur certains des mécanismes offerts.

Sécurité informatique générale

Logiciel antivirus
Courriels
Pare-feu

Sécurité du navigateur Web

Chiffrement
Mise à jour du navigateur
Suppression du contenu de la mémoire cache
Témoins
Applets Java
JavaScript
Modification des paramètres du navigateur

Infrastructure à clé publique (ICP)

Autorité de certification
Certificats numériques
Signatures numériques
epass Canada

Sécurité informatique générale

Logiciel antivirus

Un logiciel antivirus scanne le contenu de votre ordinateur et vos courriels à la recherche de virus. Vous devez le mettre à jour périodiquement pour qu'il puisse détecter les nouveaux virus. Ce logiciel permet de mieux protéger les données contenues dans votre ordinateur ainsi que vos logiciels et votre système d'exploitation.

Courriels

Bien que le courriel soit utilisé couramment de nos jours, il n'est pas sécuritaire. Il peut être intercepté et le nom de l'expéditeur peut être modifié. Vous devriez aussi vous familiariser avec les Renseignements importants relatifs à la sécurité en ce qui a trait à la fraude par courriel. L'Agence du revenu du Canada (ARC) ne vous demandera jamais de fournir des renseignements personnels par courriel. Si vous recevez, une telle demande, ne répondez pas et communiquez immédiatement avec le Bureau d'aide des services électroniques.

Pare-feu

Un pare-feu agit comme barrière entre les ordinateurs internes d'un réseau et ceux de l'extérieur et permet de contrôler le flux d'information qui circule entre ces deux types d'ordinateurs. Lorsqu'un ordinateur externe essaie de communiquer avec un ordinateur interne, il doit d'abord communiquer avec le pare-feu, et c'est ce pare-feu qui laisse tomber, refuse ou admet les demandes avant de les transmettre au serveur Web. Ce processus protège le serveur Web des accès non autorisés.

Sécurité du navigateur Web

Chiffrement

Le chiffrement est utilisé pour transmettre des messages dans divers formats depuis des centaines d'années; il ne s'agit donc pas d'un nouveau concept propre à Internet. Les méthodes de chiffrement ont évolué au même rythme que la technologie : le codage de texte, qui se faisait autrefois manuellement, se fait désormais à l'aide de programmes informatiques complexes.

Pour chiffrer l'information, on utilise une formule mathématique et une clé de chiffrement pour embrouiller les données et empêcher les personnes non autorisées de les lire. Les données ainsi embrouillées sont ensuite décodées (ou reconverties) et ramenées à leur format d'origine au moyen de la même formule mathématique et d'une clé de déchiffrement, afin que les personnes autorisées puissent en saisir le sens. Tant que les données sont chiffrées, il est impossible de les lire.

Grâce au protocole de chiffrement Secure Sockets Layer Version 3.0 (SSLV3) sur 128 bits, la confidentialité des renseignements transmis entre votre navigateur et nos serveurs Web est assurée. Le chiffrement des renseignements permet leur transmission et leur authentification de façon sécuritaire. Les données ne peuvent pas être compromises lorsqu'on utilise le protocole SSL. Avec un tel protocole, l'identité du serveur Web peut être vérifiée. Celle du visiteur pourrait l'être aussi, toutefois, l'ARC n'utilise pas cette méthode d'identification.

Lorsque vous transmettez des données en utilisant le protocole de chiffrement SSL, ces données sont divisées en petits groupes distincts, qu'on appelle des blocs. SSL chiffre chacun des blocs, qui sont ensuite transmis par Internet en petits paquets, chacun étant adressé individuellement. Une fois tous les paquets en sûreté dans notre serveur Web sécurisé, ils sont rassemblés et déchiffrés.

Vérification de la puissance de chiffrement du navigateur

Pour que vous puissiez faire des transactions en toute sécurité et en toute confidentialité, vous devez utiliser un navigateur qui utilise le protocole de chiffrement Secure Sockets Layer version 3.0 (SSLV3) sur 128 bits. Vous pouvez vous servir de notre test du navigateur pour tester votre navigateur.

Après que vous avez établi une connexion sécurisée, un cadenas ou une clé s'affiche dans le coin inférieur droit de la fenêtre du navigateur pour vous indiquer que les données sont chiffrées. Cependant, vous devez vérifier les propriétés de votre navigateur pour déterminer le niveau de chiffrement qu'il assure.

Internet Explorer

Lancez Internet Explorer et cliquez sur le menu « Aide ». Sélectionnez ensuite l'option « À propos de Internet Explorer ». Dans la fenêtre qui s'ouvre, vous pouvez voir le numéro de version ainsi que le niveau de sécurité du navigateur. Si la puissance de chiffrement « niveau de cryptage » n'est pas de 128 bits, vous devez mettre à jour votre navigateur.

Netscape

Si le cadenas s'affiche, cela signifie que vous utilisez un protocole de chiffrement sur 128 bits. S'il ne s'affiche pas, c'est que votre logiciel utilise un protocole de chiffrement sur 40 bits; vous devez mettre à jour votre navigateur pour pouvoir utiliser un protocole de chiffrement sur 128 bits.

Chacun des services électroniques offerts par l'ARC peut exiger une différente version de navigateur et de système d'exploitation. Consultez les services suivants afin de connaître leurs exigences particulières :

Services epass de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Mise à jour du navigateur

Si votre navigateur ne satisfait pas à nos exigences en matière de sécurité, c'est-à-dire qu'il n'utilise pas le protocole de chiffrement SSL version 3.0 sur 128 bits, vous devez le mettre à jour ou en télécharger un nouveau.

Remarques
L'ARC n'est pas responsable des difficultés ou des problèmes pouvant survenir lors du téléchargement et de l'installation des logiciels. Vous devez vous adresser aux fournisseurs des logiciels pour obtenir du soutien technique.

Si votre ordinateur fait partie du réseau d'une institution, contactez l'administrateur de ce réseau avant de faire des changements à votre ordinateur.

Services epass de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Un manuel d'aide technique en direct est mis à votre disposition; il contient de l'information générale sur le téléchargement, l'installation et la configuration des navigateurs Microsoft Internet Explorer et Netscape pour que vous puissiez utiliser les services de l'ARC.

Suppression du contenu de la mémoire cache

Lorsque vous visitez un site Web, une partie du contenu des pages est stockée dans la mémoire cache de votre ordinateur et dans celle de votre navigateur. Ce dernier devrait donc afficher la page plus rapidement la prochaine fois que vous accéderez au site, car certains éléments de ce site (par exemple, des images et des fichiers) sont stockés dans la mémoire cache. Il n'a donc pas besoin de recharger tous les éléments.

Comme les renseignements stockés dans la mémoire cache de votre navigateur ne sont pas chiffrés, vider le contenu de cette mémoire en assure la sécurité. Une fois que vous avez terminé une session sécurisée, vous devriez fermer votre navigateur et le relancer pour supprimer les témoins de sessions contenus de sa mémoire cache. Si vous utilisez Internet Explorer, vous devriez aussi supprimer vos fichiers Internet temporaires avant de fermer et de rouvrir votre navigateur. Si vous utilisez Netscape Navigator, vous devriez vider le cache sur disque et le cache en mémoire avant de fermer et de rouvrir votre navigateur.

Témoins

Un témoin est un fichier texte informatique transmis au navigateur Web d'un utilisateur (le logiciel d'accès à Internet, comme Internet Explorer ou Netscape) par un serveur Web (l'ordinateur hôte du site Web) afin de mémoriser certains éléments d'information. Les témoins peuvent être utiles aussi bien aux visiteurs qu'aux opérateurs d'un site puisqu'ils permettent de réduire le temps de saisie et de traitement des renseignements similaires entrés à chaque visite.

L'information contenue dans un témoin ne peut être lue que par le serveur Web qui l'a initialement transmise, et non par les autres serveurs. Les témoins ne peuvent que stocker des données fournies par le serveur ou produites par l'intervention directe d'un visiteur.

En général, un témoin inclut les éléments d'information suivants :

nom du témoin (choisi par le site Web visité);
valeur (numéro unique du témoin qui est déterminé et stocké par le site Web aux fins d'identification et d'interventions futures);
date d'expiration;
chemin d'accès valable (détails sur la ou les pages Web visitées au moment de la transmission du témoin);
domaine valide (nom du site Web qui a créé et qui peut récupérer le témoin);
règle de connexion sécurisée (si le témoin est « sécurisé », il ne sera transmis que dans la mesure où l'utilisateur sera branché à un site Web sécurisé

Types de témoins

Il y a deux types de témoins : les témoins volatils et les témoins persistants.

Témoins volatils

Ces témoins résident dans le navigateur Web de la personne qui visite le site et expirent aussitôt qu'elle ferme celui-ci. Ils conservent l'information uniquement durant la session de navigation. Les opérateurs de site Web peuvent utiliser ces témoins pour recueillir de l'information, notamment sur la popularité de certaines parties d'un site, sur la durée des visites ou sur le navigateur utilisé par les visiteurs.

Témoins persistants

Dans la plupart des cas, l'ARC n'utilise pas les témoins persistants. Toutefois, le service Mon dossier de l'ARC utilise un témoin persistant pour la langue, afin de gérer les préférences linguistiques des clients et d'assurer l'intégrité du système. Ces témoins persistants ne conservent aucune donnée d'identification.

Les témoins persistants ont une date d'expiration, sont conservés dans un lecteur réservé aux visiteurs et sont lus par le navigateur du visiteur chaque fois qu'il visite le site Web qui a envoyé le témoin. Le site Web qui a créé le témoin peut en retarder la date d'expiration sans en aviser le visiteur. Le témoin demeurera dans le disque dur du visiteur jusqu'à la date d'expiration ou jusqu'à ce que le visiteur le supprime. Toutefois, la plupart des gens ne savent pas comment supprimer les témoins. De plus, l'existence prolongée des témoins permet de les utiliser pour surveiller les comportements de navigation Web et les habitudes d'achats. Dans certains cas, on peut également s'en servir pour identifier un visiteur Web en combinant ses données avec des renseignements d'autres sources, comme des bases de données (par exemple, faire correspondre une adresse IP au nom d'une personne).

L'utilisation des témoins par les sites Web du gouvernement du Canada

Le gouvernement du Canada a pour politique de vous informer lorsque l'un de ses sites utilise des témoins. Vous obtiendrez cette information en cliquant sur le lien « Avis importants » au bas des pages Web du gouvernement, puis sur « Avis de confidentialité ».

Les renseignements qui vous concernent sont également protégés en vertu de la Loi sur la protection des renseignements personnels du Canada.

Lorsque vous effectuez une transaction en direct sécurisée avec l'ARC dans le cadre de laquelle il vous faut fournir des renseignements personnels, nous vous en avisons et il peut arriver que votre navigateur vous demande d'accepter un témoin volatil. L'avis se présente sous forme de « Déclaration sur la protection des renseignements personnels » et apparaît dans toutes les parties du site où l'on vous demande de fournir de tels renseignements.

Comment activer ou désactiver les témoins

La plupart des navigateurs peuvent être configurés de manière à accepter une gamme d'options allant du refus de tout témoin à l'acceptation des témoins volatils seulement ou de tous les types de témoins.

Certains navigateurs peuvent également être configurés de façon à vous avertir qu'un témoin est sur le point d'être stocké dans votre ordinateur et à vous demander si vous l'acceptez ou non.

Pour déterminer la façon d'activer ou de désactiver les témoins et d'activer le déclenchement d'une alerte particulière, cliquez sur l'option « Aide » de la barre d'outils de votre navigateur Web et recherchez le mot « témoins » dans l'index de la fonction.

On trouve également sur le marché des logiciels peu coûteux qui peuvent vous aider à gérer vos témoins et vous permettre de les activer, désactiver ou supprimer facilement. Ces fonctions sont souvent incluses dans les programmes conçus pour vous permettre de procéder facilement et en toute sécurité à la suppression d'applications et de fichiers dans votre ordinateur.

Applets Java

Les applets Java sont de petits programmes qui peuvent être téléchargés à partir d'Internet et qui s'exécutent avec votre navigateur. Ils sont généralement utilisés pour personnaliser une page Web ou y ajouter des éléments interactifs. Les applets Java devraient être activés lorsque vous utilisez nos services Web.

JavaScript

JavaScript est un langage de script qui fonctionne avant tout avec des pages Web. Nous les utilisons pour détecter le système d'exploitation, le type de navigateur et la version utilisés. La fonction JavaScript devrait être activée lorsque vous utilisez nos services Web.

Modification des paramètres de votre navigateur

Services epass de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Infrastructure à clé publique (ICP)

L'ICP est une combinaison de politiques et de technologies visant à établir un environnement de travail sécurisé qui permette aux internautes de faire des transactions électroniques en toute sécurité. L'ICP fonctionne au moyen d'un système de chiffrement à clé publique et d'un certificat numérique détenu par chaque partie qui transmet de l'information au moyen d'Internet. Ainsi, les renseignements confidentiels sont protégés contre toute falsification, et l'identité des participants est garantie.

Contrairement aux systèmes de chiffrement traditionnels qui utilisent la même clé pour chiffrer et déchiffrer l'information, le chiffrement à clé publique utilise une formule mathématique ou un algorithme (aussi appelé une clé) pour chiffrer les données, puis une deuxième clé mathématique connexe pour les déchiffrer. Un utilisateur ICP détient donc deux clés : l'une, publique, qui est accessible à tous et qui est associée au certificat numérique, et l'autre, privée, qui n'est connue que de son détenteur. Un message chiffré à l'aide d'une clé publique ne peut être déchiffré qu'avec la clé privée correspondante. Ce système de clés permet de s'assurer que personne d'autre ne peut lire les messages chiffrés du détenteur de la clé privée. Dans le cas de l'ICP du gouvernement du Canada, une fois que vous avez votre clé, tout ce que vous devez retenir, c'est votre code d'utilisateur et votre mot de passe (que vous devez garder secrets).

Pour en savoir plus sur l'ICP, visitez les sites suivants :

Infrastructure à clé publique du gouvernement du Canada
(Travaux publics et Services gouvernementaux Canada)
L'infrastructure à clé publique
(Centre de la sécurité des télécommunications)

Autorité de certification

Une autorité de certification est un tiers de confiance chargé d'émettre des certificats numériques et de les gérer tout au long de leur cycle de vie. La gestion des certificats numériques comprend la création, la distribution, le renouvellement et le retrait centralisés des certificats. L'autorité de certification confirme l'identité du détenteur et publie des listes à jour de clés publiques.

Dans le cadre de l'ICP du gouvernement du Canada, deux organisations se partagent le rôle d'autorité de certification, et ce, afin d'assurer un niveau additionnel de protection des renseignements. Une organisation centrale émet les clés ICP et en gère la création, la distribution, le renouvellement et le retrait, pour tous les ministères. Cependant, les certificats conservés dans la base de données centrale ne renferment qu'un numéro unique non significatif (MBUN, de l'anglais « Meaningless But Unique Number »), et non votre identité. Chaque ministère qui utilise l'ICP vous authentifiera, et seul ce ministère connaîtra le lien entre votre MBUN et votre véritable identité. Vous pouvez décider d'utiliser un seul certificat pour toutes vos transactions avec le gouvernement du Canada ou d'en utiliser un différent pour chaque ministère.

Certificats numériques

Un certificat numérique est une preuve d'identité électronique qui permet de vérifier l'identité de son détenteur. Il est émis par une autorité de certification et renferme de l'information sur l'identité du détenteur; il est impossible de le falsifier. Le certificat numérique établit un lien entre l'identité de son détenteur et une clé publique. Il s'agit d'un outil essentiel pour assurer la sûreté et la sécurité des réseaux électroniques, car il permet d'envoyer et de recevoir de l'information protégée ainsi que d'y accéder de façon sécuritaire. Si l'on soupçonne qu'un certificat numérique a été compromis, on le retire.

Signatures numériques

Une signature numérique est une pièce d'identité électronique qui permet de confirmer l'identité de l'expéditeur d'un message, que le message soit chiffré ou non. Les signatures ne peuvent être générées que par leur signataire; elles peuvent être vérifiées, sont inviolables, ne peuvent pas être falsifiées ni répudiées, et permettent d'assurer l'intégrité de l'information contenue dans le message pendant sa transmission.

epass Canada

Afin d'accéder aux services epass de l'ARC, vous devez avoir un epass du gouvernement du Canada (un service qui utilise l'ICP). Ce service permet aux Canadiens de bénéficier de services électroniques sécuritaires de pointe au moyen d'un code d'utilisateur et d'un mot de passe, à partir de n'importe quel terminal Internet dans le monde. Lorsque vous vous enregistrez pour obtenir un epass (en fournissant vos renseignements personnels et en entrant votre code d'activation de l'ARC), vous obtenez une preuve d'identité électronique exclusive vous permettant d'accéder à des programmes et à des services gouvernementaux en direct qui doivent utiliser des mécanismes de sécurité renforcés, notamment des signatures numériques sécurisées.