Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Liens institutionnels

Mécanismes de sécurité sur Internet

Nous tentons de régler les problèmes de sécurité sur Internet afin que vous puissiez, en toute sécurité, faire des transactions en ligne avec nous. Il existe de nombreuses solutions pour renforcer la sécurité sur Internet. Voici des détails sur certains des mécanismes offerts.

Sécurité informatique générale

Logiciel antivirus
Courriels
Pare-feu

Sécurité du navigateur Web

Chiffrement
Mise à jour du navigateur
Suppression du contenu de la mémoire cache
Témoins
Applets Java
JavaScript
Modification des paramètres du navigateur

Infrastructure à clé publique (ICP)

Signatures numériques

Sécurité informatique générale

Logiciel antivirus

Un logiciel antivirus scanne le contenu de votre ordinateur et vos courriels à la recherche de virus. Vous devez le mettre à jour périodiquement pour qu'il puisse détecter les nouveaux virus. Ce logiciel permet de mieux protéger les données contenues dans votre ordinateur ainsi que vos logiciels et votre système d'exploitation.

Courriels

Bien que le courriel soit utilisé couramment de nos jours, il n'est pas sécuritaire. Il peut être intercepté et le nom de l'expéditeur peut être modifié. Vous devriez aussi vous familiariser avec les Renseignements importants relatifs à la sécurité en ce qui a trait à la fraude par courriel. L'Agence du revenu du Canada (ARC) ne vous demandera jamais de fournir des renseignements personnels par courriel. Si vous recevez, une telle demande, ne répondez pas et communiquez immédiatement avec le Bureau d'aide des services électroniques.

Pare-feu

Un pare-feu agit comme barrière entre les ordinateurs internes d'un réseau et ceux de l'extérieur et permet de contrôler le flux d'information qui circule entre ces deux types d'ordinateurs. Lorsqu'un ordinateur externe essaie de communiquer avec un ordinateur interne, il doit d'abord communiquer avec le pare-feu, et c'est ce pare-feu qui laisse tomber, refuse ou admet les demandes avant de les transmettre au serveur Web. Ce processus protège le serveur Web des accès non autorisés.

Sécurité du navigateur Web

Chiffrement

Le chiffrement est utilisé pour transmettre des messages dans divers formats depuis des centaines d'années; il ne s'agit donc pas d'un nouveau concept propre à Internet. Les méthodes de chiffrement ont évolué au même rythme que la technologie : le codage de texte, qui se faisait autrefois manuellement, se fait désormais à l'aide de programmes informatiques complexes.

Pour chiffrer l'information, on utilise une formule mathématique et une clé de chiffrement pour embrouiller les données et empêcher les personnes non autorisées de les lire. Les données ainsi embrouillées sont ensuite décodées (ou reconverties) et ramenées à leur format d'origine au moyen de la même formule mathématique et d'une clé de déchiffrement, afin que les personnes autorisées puissent en saisir le sens. Tant que les données sont chiffrées, il est impossible de les lire.

Grâce au protocole de chiffrement Secure Sockets Layer Version 3.0 (SSLV3) sur 128 bits, la confidentialité des renseignements transmis entre votre navigateur et nos serveurs Web est assurée. Le chiffrement des renseignements permet leur transmission et leur authentification de façon sécuritaire. Les données ne peuvent pas être compromises lorsqu'on utilise le protocole SSL. Avec un tel protocole, l'identité du serveur Web peut être vérifiée. Celle du visiteur pourrait l'être aussi, toutefois, l'ARC n'utilise pas cette méthode d'identification.

Lorsque vous transmettez des données en utilisant le protocole de chiffrement SSL, ces données sont divisées en petits groupes distincts, qu'on appelle des blocs. SSL chiffre chacun des blocs, qui sont ensuite transmis par Internet en petits paquets, chacun étant adressé individuellement. Une fois tous les paquets en sûreté dans notre serveur Web sécurisé, ils sont rassemblés et déchiffrés.

Vérification de la puissance de chiffrement du navigateur

Pour que vous puissiez faire des transactions en toute sécurité et en toute confidentialité, vous devez utiliser un navigateur qui utilise le protocole de chiffrement Secure Sockets Layer version 3.0 (SSLV3) sur 128 bits.

Après que vous avez établi une connexion sécurisée, un cadenas ou une clé s'affiche dans le coin inférieur droit de la fenêtre du navigateur pour vous indiquer que les données sont chiffrées. Cependant, vous devez vérifier les propriétés de votre navigateur pour déterminer le niveau de chiffrement qu'il assure.

Internet Explorer

Lancez Internet Explorer et cliquez sur le menu « Aide ». Sélectionnez ensuite l'option « À propos de Internet Explorer ». Dans la fenêtre qui s'ouvre, vous pouvez voir le numéro de version ainsi que le niveau de sécurité du navigateur. Si la puissance de chiffrement « niveau de cryptage » n'est pas de 128 bits, vous devez mettre à jour votre navigateur.

Netscape

Si le cadenas s'affiche, cela signifie que vous utilisez un protocole de chiffrement sur 128 bits. S'il ne s'affiche pas, c'est que votre logiciel utilise un protocole de chiffrement sur 40 bits; vous devez mettre à jour votre navigateur pour pouvoir utiliser un protocole de chiffrement sur 128 bits.

Chacun des services électroniques offerts par l'ARC peut exiger une différente version de navigateur et de système d'exploitation. Consultez les services suivants afin de connaître leurs exigences particulières :

Services d'ouverture de session de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Mise à jour du navigateur

Si votre navigateur ne satisfait pas à nos exigences en matière de sécurité, c'est-à-dire qu'il n'utilise pas le protocole de chiffrement SSL version 3.0 sur 128 bits, vous devez le mettre à jour ou en télécharger un nouveau.

Remarques
L'ARC n'est pas responsable des difficultés ou des problèmes pouvant survenir lors du téléchargement et de l'installation des logiciels. Vous devez vous adresser aux fournisseurs des logiciels pour obtenir du soutien technique.

Si votre ordinateur fait partie du réseau d'une institution, contactez l'administrateur de ce réseau avant de faire des changements à votre ordinateur.

Services d'ouverture de session de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Suppression du contenu de la mémoire cache

Lorsque vous visitez un site Web, une partie du contenu des pages est stockée dans la mémoire cache de votre ordinateur et dans celle de votre navigateur. Ce dernier devrait donc afficher la page plus rapidement la prochaine fois que vous accéderez au site, car certains éléments de ce site (par exemple, des images et des fichiers) sont stockés dans la mémoire cache. Il n'a donc pas besoin de recharger tous les éléments.

Comme les renseignements stockés dans la mémoire cache de votre navigateur ne sont pas chiffrés, vider le contenu de cette mémoire en assure la sécurité. Une fois que vous avez terminé une session sécurisée, vous devriez fermer votre navigateur et le relancer pour supprimer les témoins de sessions contenus de sa mémoire cache. Si vous utilisez Internet Explorer, vous devriez aussi supprimer vos fichiers Internet temporaires avant de fermer et de rouvrir votre navigateur. Si vous utilisez Netscape Navigator, vous devriez vider le cache sur disque et le cache en mémoire avant de fermer et de rouvrir votre navigateur.

Remarque
Vider votre mémoire cache lorsque vous utilisez les services d'ouverture de session de l'ARC, peut supprimer les témoins qui sont emmagasinés dans le navigateur de votre ordinateur. Par conséquent, chaque fois que vous ouvrez une session dans les services d'ouverture de session de l'ARC, en vous servant de cet ordinateur, il est possible que l'on vous demande de répondre à une des questions de sécurité que vous avez choisies. Si vous ne désirez pas répondre à une des questions préalablement choisies et que cet ordinateur est celui que vous utilisez le plus souvent pour ouvrir une session aux services d'ouverture de session de l'ARC, ne videz pas votre mémoire cache.

Témoins

Un témoin est un fichier texte informatique transmis au navigateur Web d'un utilisateur (le logiciel d'accès à Internet, comme Internet Explorer ou Netscape) par un serveur Web (l'ordinateur hôte du site Web) afin de mémoriser certains éléments d'information. Les témoins peuvent être utiles aussi bien aux visiteurs qu'aux opérateurs d'un site puisqu'ils permettent de réduire le temps de saisie et de traitement des renseignements similaires entrés à chaque visite.

L'information contenue dans un témoin ne peut être lue que par le serveur Web qui l'a initialement transmise, et non par les autres serveurs. Les témoins ne peuvent que stocker des données fournies par le serveur ou produites par l'intervention directe d'un visiteur.

En général, un témoin inclut les éléments d'information suivants :

nom du témoin (choisi par le site Web visité);
valeur (numéro unique du témoin qui est déterminé et stocké par le site Web aux fins d'identification et d'interventions futures);
date d'expiration;
chemin d'accès valable (détails sur la ou les pages Web visitées au moment de la transmission du témoin);
domaine valide (nom du site Web qui a créé et qui peut récupérer le témoin);
règle de connexion sécurisée (si le témoin est « sécurisé », il ne sera transmis que dans la mesure où l'utilisateur sera branché à un site Web sécurisé

Types de témoins

Il y a deux types de témoins : les témoins volatils et les témoins persistants.

Témoins volatils

Ces témoins résident dans le navigateur Web de la personne qui visite le site et expirent aussitôt qu'elle ferme celui-ci. Ils conservent l'information uniquement durant la session de navigation. Les opérateurs de site Web peuvent utiliser ces témoins pour recueillir de l'information, notamment sur la popularité de certaines parties d'un site, sur la durée des visites ou sur le navigateur utilisé par les visiteurs.

Témoins persistants

L'ARC utilise les témoins persistants pour certains de ses services, y compris les services d'ouverture de session de l'ARC, et s'en sert pour déterminer de quelle manière les internautes consultent son site Web, afin d'améliorer la navigation et la satisfaction des utilisateurs. Ces témoins ne conservent aucune donnée d'identification.

Les témoins persistants ont une date d'expiration, sont conservés dans un lecteur réservé aux visiteurs et sont lus par le navigateur du visiteur chaque fois qu'il visite le site Web qui a envoyé le témoin. Le site Web qui a créé le témoin peut en retarder la date d'expiration sans en aviser le visiteur. Le témoin demeurera dans le disque dur du visiteur jusqu'à la date d'expiration ou jusqu'à ce que le visiteur le supprime. Toutefois, la plupart des gens ne savent pas comment supprimer les témoins. De plus, l'existence prolongée des témoins permet de les utiliser pour surveiller les comportements de navigation Web et les habitudes d'achats. Dans certains cas, on peut également s'en servir pour identifier un visiteur Web en combinant ses données avec des renseignements d'autres sources, comme des bases de données (par exemple, faire correspondre une adresse IP au nom d'une personne).

L'utilisation des témoins par les sites Web du gouvernement du Canada

Le gouvernement du Canada a pour politique de vous informer lorsque l'un de ses sites utilise des témoins. Vous obtiendrez cette information en cliquant sur le lien « Avis importants » au bas des pages Web du gouvernement, puis sur « Avis de confidentialité ».

Les renseignements qui vous concernent sont également protégés en vertu de la Loi sur la protection des renseignements personnels du Canada.

Lorsque vous effectuez une transaction en direct sécurisée avec l'ARC dans le cadre de laquelle il vous faut fournir des renseignements personnels, nous vous en avisons et il peut arriver que votre navigateur vous demande d'accepter un témoin volatil. L'avis se présente sous forme de « Déclaration sur la protection des renseignements personnels » et apparaît dans toutes les parties du site où l'on vous demande de fournir de tels renseignements.

Comment activer ou désactiver les témoins

La plupart des navigateurs peuvent être configurés de manière à accepter une gamme d'options allant du refus de tout témoin à l'acceptation des témoins volatils seulement ou de tous les types de témoins.

Certains navigateurs peuvent également être configurés de façon à vous avertir qu'un témoin est sur le point d'être stocké dans votre ordinateur et à vous demander si vous l'acceptez ou non.

Pour déterminer la façon d'activer ou de désactiver les témoins et d'activer le déclenchement d'une alerte particulière, cliquez sur l'option « Aide » de la barre d'outils de votre navigateur Web et recherchez le mot « témoins » dans l'index de la fonction.

On trouve également sur le marché des logiciels peu coûteux qui peuvent vous aider à gérer vos témoins et vous permettre de les activer, désactiver ou supprimer facilement. Ces fonctions sont souvent incluses dans les programmes conçus pour vous permettre de procéder facilement et en toute sécurité à la suppression d'applications et de fichiers dans votre ordinateur.

Applets Java

Les applets Java sont de petits programmes qui peuvent être téléchargés à partir d'Internet et qui s'exécutent avec votre navigateur. Ils sont généralement utilisés pour personnaliser une page Web ou y ajouter des éléments interactifs. Les applets Java devraient être activés lorsque vous utilisez nos services Web.

JavaScript

JavaScript est un langage de script qui fonctionne avant tout avec des pages Web. Nous les utilisons pour détecter le système d'exploitation, le type de navigateur et la version utilisés. La fonction JavaScript devrait être activée lorsque vous utilisez nos services Web.

Modification des paramètres de votre navigateur

Services d'ouverture de session de l'ARC (Mon dossier des particuliers, Mon dossier d'entreprise et Représenter un client) - Votre navigateur

Infrastructure à clé publique (ICP)

L'ICP est une combinaison de politiques et de technologies visant à établir un environnement de travail sécurisé qui permette aux internautes de faire des transactions électroniques en toute sécurité. L'ICP fonctionne au moyen d'un système de chiffrement à clé publique et d'un certificat numérique détenu par chaque partie qui transmet de l'information au moyen d'Internet. Ainsi, les renseignements confidentiels sont protégés contre toute falsification, et l'identité des participants est garantie.

Contrairement aux systèmes de chiffrement traditionnels qui utilisent la même clé pour chiffrer et déchiffrer l'information, le chiffrement à clé publique utilise une formule mathématique ou un algorithme (aussi appelé une clé) pour chiffrer les données, puis une deuxième clé mathématique connexe pour les déchiffrer. Un utilisateur ICP détient donc deux clés : l'une, publique, qui est accessible à tous et qui est associée au certificat numérique, et l'autre, privée, qui n'est connue que de son détenteur. Un message chiffré à l'aide d'une clé publique ne peut être déchiffré qu'avec la clé privée correspondante. Ce système de clés permet de s'assurer que personne d'autre ne peut lire les messages chiffrés du détenteur de la clé privée. Dans le cas de l'ICP du gouvernement du Canada, une fois que vous avez votre clé, tout ce que vous devez retenir, c'est votre code d'utilisateur et votre mot de passe (que vous devez garder secrets).

Pour en savoir plus sur l'ICP, visitez les sites suivants :

Infrastructure à clé publique du gouvernement du Canada
(Travaux publics et Services gouvernementaux Canada)
L'infrastructure à clé publique
(Centre de la sécurité des télécommunications)

Signatures numériques

Une signature numérique est une pièce d'identité électronique qui permet de confirmer l'identité de l'expéditeur d'un message, que le message soit chiffré ou non. Les signatures ne peuvent être générées que par leur signataire; elles peuvent être vérifiées, sont inviolables, ne peuvent pas être falsifiées ni répudiées, et permettent d'assurer l'intégrité de l'information contenue dans le message pendant sa transmission.