La cyberguerre

Les cyberattaques pourraient paralyser les réseaux d’électricité et de communication, et faire des ravages dans les systèmes financiers. Sommes-nous prêts à nous défendre? Cet article traite des cyberconflits et de l’infoguerre, qui font désormais partie du paysage géopolitique.

Au début de 2013, l’entreprise de sécurité informatique Mandiant publiait ce que le New York Times a décrit comme un rapport de 60 pages particulièrement détaillé faisant le lien entre des cyberattaques menées contre des gouvernements et des sociétés, surtout associées à des infrastructures « essentielles », et une cellule (l’Unité 61398) de l’Armée populaire de libération de Chine.

Soupçonnée d’agir depuis un immeuble anonyme près de Shanghai, l’Unité 61398 aurait notamment ciblé Telvent Canada, division de Calgary d’une société qui conçoit des logiciels permettant de commander à distance les soupapes et jauges de gazoducs et d’oléoducs. L’entreprise, aujourd’hui propriété d’un géant français du matériel électrique, avait accès à des fichiers numériques contenant des renseignements sur une bonne partie du réseau nord-américain de pipelines. Selon le Times, lui-même victime d’opérations de piratage de l’Armée électronique syrienne à l’été 2013, le vol de données stratégiques cruciales de Telvent est l’une des « attaques les plus préoccupantes » de l’Unité 61398. D’après une enquête de la CBC, Telvent aurait informé ses clients de l’intrusion en septembre 2012.

Cette cyberattaque sérieuse et apparemment organisée contre une cible canadienne n’est pas un fait isolé. En 2010, la géante saskatchewanaise des ressources Potash Corp., objet d’une offre publique d’achat (OPA) de 38 milliards de dollars de l’Australienne BHP Billiton, a été victime de piratage. En entrevue avec la CBC, Daniel Tobok, expert judiciaire torontois en sécurité informatique embauché par la société, a qualifié l’intrusion de « très sophistiquée et ciblée ». L’objectif : des renseignements internes concernant l’OPA, une intrusion finalement bloquée le gouvernement fédéral, lui-même la cible de pirates chinois lors d’une attaque majeure sur trois sites Web ministériels en 2011. (La Chine a nié toute responsabilité dans cette attaque.)

Dans le cas de Nortel Networks, les pirates ont infiltré la société durant une décennie avant qu’on découvre l’intrusion, observe Salim Hasham, leader national du groupe Cyberrésilience chez PricewaterhouseCoopers Canada. Pendant qu’on « réduisait en ruines » l’organisation, note-il, d’autres entreprises technologiques voyaient le jour, possiblement munies de données glanées dans des documents internes de Nortel.

Tous s’entendent pour dire que les cyberconflits et l’infoguerre font désormais partie du paysage géopolitique. Le fondateur de WikiLeaks, Julian Assange, et l’ex-consultant du renseignement, Edward Snowden, ont diffusé en ligne des tonnes de documents de nature hautement délicate. Ils ont notamment révélé que les services secrets américains, dans leur traque des terroristes, surveillaient les échanges de courriels à l’échelle nationale et internationale, ce qui a irrité des alliés de longue date comme l’Allemagne. Le Canada est lui aussi montré du doigt : un organisme de renseignement d’Ottawa est accusé de cyberespionnage contre le ministère brésilien des Mines.

Comment s’en étonner? Depuis des années, les organisations des secteurs public et privé dépensent des milliards pour sécuriser leur périmètre contre les virus et autres cyberarmes circulant sur les réseaux numériques. Toutefois, à l’ère de l’infonuagique, des médias sociaux, des clés USB et des télécommunications mobiles, ce périmètre est devenu très poreux, et les pirates trouvent de nouveaux points d’entrée et de nouvelles techniques. Associations de cybercriminels, obscures bandes de pirates liées à des gouvernements et autres groupes de tous genres se complexifient et affichent une patience et un sens des affaires toujours plus grands. « Les vecteurs d’attaque, souligne Nick Galletto, leader du groupe Risques liés aux TI chez Deloitte Canada, évoluent rapidement. »

De fait, selon les experts en sécurité et des représentants du gouvernement, on constate depuis cinq ans une sophistication croissante des nouvelles formes de cyberattaques perpétrées par des réseaux de pirates hautement organisés et des groupes commandités par l’État, comme l’Unité 61398. Et il ne s’agit pas de simple vol de numéros de cartes de crédit.

Certains observateurs craignent que ces organisations tentent de paralyser d’importantes cibles politiques et économiques : institutions publiques, centrales électriques et bourses, par exemple. La GRC déclarait en 2011 : « La guerre se fera donc désormais autant sur le théâtre du cyberespace que sur le terrain des opérations. Les gouvernements devront se prémunir contre de telles offensives, notamment en protégeant leurs infrastructures critiques contre le piratage informatique. »

En 2013, dans son évaluation annuelle des « capacités » militaires de la Chine, y compris de sa capacité à mener une « guerre électronique » (GE) pour contrebalancer la supériorité des États- Unis au chapitre des armes militaires, le ministère américain de la Défense soulignait que, depuis des années, la Chine pratique un cyberespionnage soutenu et dirige des attaques virtuelles furtives contre des cibles occidentales, notamment des entreprises actives dans des secteurs essentiels. Elle construit aussi un pare-feu pour bloquer toute information politique jugée inopportune. Le Pentagone prévoit cependant de nouvelles applications encore plus terrifiantes. « Une GE efficace, signalait le rapport, est un atout décisif lors d’opérations militaires et est donc déterminante dans l’issue d’une guerre. »

Si les experts en sécurité se préparaient depuis des années à la « militarisation du cyberespace », la première véritable cyberoffensive de type militaire n’est survenue qu’en 2007, après l’annonce par le gouvernement estonien du projet de déplacement d’un monument commémoratif de guerre. Des hacktivistes en Estonie et, semble-t-il, en Russie ont réagi en coordonnant une attaque massive par déni de service (DDS) contre les ministères, banques et autres institutions du pays, entraînant un chaos pendant trois semaines. Devant cette offensive, qui aurait été menée de la Russie, on s’est demandé si l’attaque par DDS constituait une forme d’agression militaire. « Un missile lancé contre un aéroport constitue un acte de guerre.

Si les mêmes dégâts sont causés par des ordinateurs, comment qualifier autrement l’attaque? », a déclaré un porteparole estonien au New York Times.

« Bien que ces actes de cyberterrorisme aient indigné la communauté internationale, ils auraient pu être beaucoup plus dévastateurs, signalait l’analyste militaire Stephen Herzog dans un essai publié en 2011 dans le Journal of Strategic Security. Les pirates pourraient bientôt cibler les feux de circulation, l’approvisionnement d’eau, les réseaux électriques, le contrôle aérien d’un pays, voire ses systèmes d’armement militaire. »

Des gouvernements répressifs ou autoritaires n’ont pas hésité à utiliser de manière agressive la cybersurveillance et la censure d’Internet pour sévir contre les groupes dissidents.

Selon une enquête du Citizen Lab, un groupe de vigilance contre la cybersurveillance sis à l’Université de Toronto, durant la « Révolution verte » en Iran et les manifestations du Printemps arabe sur la place Tahrir au Caire, les autorités sont intervenues pour limiter l’emploi des médias sociaux, filtrer l’accès aux sites Web politiques, voire bloquer l’accès intérieur à Internet, afin de freiner les soulèvements antigouvernementaux.

Trois ans après l’attaque par DDS en Estonie, des organismes de renseignement américains et israéliens auraient poussé la cyberguerre beaucoup plus loin en introduisant un ver, nommé Stuxnet, dans les très secrets systèmes informatiques iraniens qui contrôlent des centrifugeuses capables de produire de l’uranium de qualité militaire. Le ver a accéléré la vitesse des centrifugeuses jusqu’à les détruire, mettant ainsi à mal le très controversé programme nucléaire iranien. Des attaques précédentes contre des installations nucléaires en Irak et en Syrie avaient pris la forme de frappes aériennes par des chasseurs israéliens.

Il devient de plus en plus clair que la cyberguerre mondiale aura pour enjeux des cibles économiques et commerciales précises ainsi que des entreprises technologiques fournissant des logiciels sophistiqués à des régimes hostiles.

Ainsi, il y a deux ans, des analystes du Citizen Lab ont constaté que plusieurs sites liés au gouvernement syrien et au Hezbollah étaient hébergés par des entreprises canadiennes. Ils ont aussi découvert une poignée de sociétés de sécurité Web nord-américaines qui fournissaient des technologies de « filtrage » aux régimes répressifs du Myanmar, du Yémen et de la Syrie, permettant aux gouvernements de bloquer l’accès vers des sites controversés sur le plan politique. L’une d’elles, l’entreprise californienne Blue Coat Systems, appartient en partie au Régime de retraite des enseignantes et des enseignants de l’Ontario.

« Des technologies de filtrage conçues par des entreprises nord-américaines, dont certaines du Fortune 500, sont actuellement adaptées à des fins de censure étatique, révélait en 2011 un rapport de l’Open Net Initiative. On ne parle pas d’un outil neutre, d’usage général, récupéré à des fins autres que celles visées par son fabricant. En communication constante avec les fabricants, les produits de filtrage actuels mettent à jour des listes de millions de sites Web à bloquer en fonction de dizaines de catégories de contenu, dont l’opposition politique et les droits de l’homme. »

Tandis que les régimes répressifs utilisent ces technologies contre leurs propres citoyens, d’autres groupes – dont beaucoup, bien organisés et financés, sont soutenus par l’État – dirigent leurs attaques contre d’importants acteurs économiques, soutient Rafael Etges, leader de la sécurité de l’information chez Ernst & Young (E&Y). Contrairement aux intrusions relativement simples commises par des pirates dans leur sous-sol ou aux vols de listes de cartes de crédit perpétrés par des groupes du crime organisé, ces attaques visent des dirigeants précis ayant accès à une information privilégiée.

Selon M. Etges, leurs auteurs passent généralement des semaines ou des mois à suivre l’entreprise, communiquant avec leurs victimes au moyen des médias sociaux et de courriels frauduleux qui deviennent le vecteur de virus programmés pour récupérer des documents contenant des données techniques secrètes ou autres renseignements internes.

Daniel Tobok, dont la société-conseil torontoise en sécurité a été acquise par Telus, note qu’au cours des deux ou trois dernières années, ces attaques par « harponnage » et « mystification » se sont multipliées. S’appuyant sur des renseignements accessibles en ligne ou dans les médias sociaux, les pirates envoient aux cadres supérieurs des courriels qui semblent provenir de collègues et qui comportent souvent des liens ou des pièces jointes contenant un virus. Les dirigeants d’entreprise et les représentants du gouvernement ont intérêt à redoubler de prudence quant à leur présence sur les réseaux sociaux et aux personnes qui semblent appartenir à leurs réseaux. Les tentatives d’hameçonnage par LinkedIn sont quotidiennes, selon M. Tobok.

« Le maillon faible reste l’être humain », souligne Robert Steadman, vice-président de la sécurité et de la conformité pour Le Groupe Herjavec. Il cite les cas où des pirates laissent traîner des clés USB ou des CD à l’extérieur d’une entreprise. Par curiosité, un employé ramasse ces dispositifs de stockage et les insère dans un ordinateur de l’entreprise, permettant ainsi l’introduction d’un virus programmé pour récupérer des documents ou neutraliser certains systèmes de TI.

Certaines organisations de piratage sophistiquées, poursuit Raphael Etges, mènent des campagnes élargies de cyberattaques dans des secteurs clés. Plusieurs cabinets d’avocats de Bay Street ont découvert qu’ils avaient eux aussi été victimes de pirates à la recherche de documents concernant l’OPA lors de la cyberoffensive contre Potash Corp. Les cabinets d’avocats et la direction de Potash ont ainsi constaté que l’attaque visait plusieurs cibles. Toutefois, beaucoup d’entreprises préfèrent taire ces attaques par crainte du « risque de perte de réputation », selon M. Etges. Évidemment, précise-t-il, quand les sociétés étouffent ce type d’information, elles font le jeu des pirates.

Lorsque l’attaque ne vise pas des actifs financiers, les cadres dirigeants n’en saisissent pas toujours la pleine ampleur. Ainsi, Salim Hasham évoque ses échanges récents avec les cadres d’une société d’énergie piratée par une entité étrangère. Les documents copiés et dérobés décrivaient des processus internes pour régler certains problèmes opérationnels. « Selon l’entreprise, les données subtilisées n’étaient pas importantes, se souvient- il. Or, les États sont très patients et stratégiques. » Il s’agissait apparemment d’une manœuvre tactique, selon M. Hasham, s’inscrivant dans une opération d’envergure visant à comprendre le fonctionnement du secteur énergétique.

Kevin Lo, directeur général de l’investigation juridicoinformatique chez Froese Forensic Partners, à Toronto, explique que les dirigeants ne sont pas enclins à rapporter ces vols parce qu’il n’y a pas de perte financière concrète que les forces policières pourraient aider à récupérer. Les pirates, ajoute-t-il, sont parfois à la recherche de documents internes de l’entreprise renfermant des renseignements stratégiques sur ses fournisseurs.

Kevin Lo et Salim Hasham relèvent que, dans de nombreuses sociétés, la haute direction a encore du mal à comprendre l’importance des menaces à la sécurité. Les systèmes de sécurité internes lui semblent donc coûteux et elle en délègue la responsabilité aux échelons inférieurs, déplore M. Hasham. La haute direction doit reconnaître l’importance de la sécurité, soutient- il, et celle-ci pourrait très bien relever du chef des finances, responsable ultime de la gestion du risque.

Or, d’après l’enquête mondiale 2013 sur la sécurité de l’information d’E&Y, les responsables de la sécurité relèvent directement du chef de la direction dans seulement 10 % des entreprises interrogées. Aujourd’hui, dit Raphael Etges, les experts en sécurité informatique des entreprises de secteurs vulnérables s’efforcent davantage d’échanger de l’information afin d’établir si les intrusions détectées s’insèrent dans une plus vaste opération.

Un jour viendra peut-être où les autorités de réglementation ou autres exigeront que les entreprises leur transmettent ce type d’information. Aux États-Unis et dans l’Union européenne, les autorités de réglementation des valeurs mobilières en sont à élaborer des règles de divulgation volontaire sur les atteintes « importantes » ou « substantielles » à la sécurité résultant de cyberattaques. « Cela donne une indication de ce qui s’en vient », affirme M. Hasham. (Le gouvernement canadien, à qui le vérificateur général a reproché d’avoir négligé de renforcer ses mesures de cyberdéfense, reste en marge dans ce dossier.)

Même si, à tous les niveaux, l’intérêt porté aux enjeux de cybersécurité demeure insuffisant, la couverture médiatique des fuites au sein de la National Security Agency américaine a très certainement mis en lumière la mécanique de la fuite de renseignements et attiré l’attention sur l’importance de la sécurité, selon Robert Steadman.

Cependant, précise Daniel Tobok, pour que cette prise de conscience se traduise par de meilleurs systèmes de défense, les organisations doivent cesser de croire que des investissements massifs en technologie permettront à eux seuls d’éliminer les brèches de sécurité. Une formation continue des employés, des politiques de sécurité comme la vérification des antécédents et une gouvernance prudente à l’égard des procédures internes sont essentielles à une bonne protection.

Nick Galletto ajoute que les organisations doivent aussi mettre en place un cadre clair et une approche proactive de surveillance et de gestion des cyberrisques pour évaluer et comprendre l’ensemble des menaces. Ce cadre doit englober la chaîne d’approvisionnement et l’accès des contractants externes aux bases de données et aux réseaux informatiques de l’organisation. Enfin, il doit définir clairement des protocoles d’intervention, pour éviter le cafouillage lorsqu’un incident se produit, indique-t-il.

Dans au moins un cas notable, des efforts concertés ont permis d’adopter une approche proactive dans un secteur à l’épicentre de l’économie mondiale : le marché américain des valeurs mobilières. L’été dernier, Deloitte & Touche LLP et la Securities Industry and Financial Markets Association (SIFMA), dont font partie les principaux acteurs des marchés des actions américains, ont tenu un exercice baptisé « Quantum Dawn 2 », qui simulait une cyberattaque des marchés financiers par des pirates bien organisés. Le Trésor américain, le FBI et d’autres organismes fédéraux y ont aussi participé.

Selon le Wall Street Journal, l’exercice a simulé le déclenchement d’une vente automatique et le bombardement du système de fausses informations par des pirates en possession de mots de passe volés. L’objectif, selon une analyse rétrospective de Deloitte, était de mettre à l’épreuve les mécanismes de gestion de crise et d’examiner ce qui arriverait si l’attaque paralysait une infrastructure essentielle du secteur des services financiers, obligeant les autorités de réglementation à fermer les marchés. Durant l’exercice, les pirates embauchés ont réussi à mener l’attaque, révélant du coup que les mesures en place n’étaient pas adéquates. La simulation visait aussi à déterminer ce qu’il faudrait faire pour rouvrir ensuite les marchés.

« Le scénario, rapporte l’analyse de Deloitte et de la SIFMA, comportait divers vecteurs d’attaque issus de sources externes et internes. Les attaques étaient motivées par le désir de voler d’importantes sommes d’argent, de perturber le marché des actions et de compromettre la capacité de traitement postmarché. » L’exercice, qui simulait une attaque de deux jours condensée en six heures, comprenait du matériel de télécommunications contrefait et des faux communiqués de presse. À certains égards, l’exercice ressemblait à une réplique virtuelle des attentats du 11 septembre sur le World Trade Centre.

Dans la foulée du Quantum Dawn, la SIFMA et Deloitte ont recommandé une série de mesures pour améliorer la coordination entre les divers intervenants, dont les bourses, les courtiers en valeurs mobilières et les organismes gouvernementaux. Pour éviter d’aiguiller les véritables pirates, les organisateurs ont refusé de décrire en détail les défaillances des procédures d’intervention ou les améliorations qui seront apportées aux défenses du système.

On ignore si, au Canada, le secteur des valeurs mobilières et les banques se sont livrés à des exercices similaires pour se préparer à une attaque concertée. Le groupe TMX, propriétaire de la Bourse de Toronto, a refusé de dévoiler ses propres mécanismes d’intervention, sauf pour dire qu’il a engagé d’importantes sommes dans les systèmes de sécurité. M. Tobok précise que les banques s’emploient à renforcer leur sécurité. Cependant, selon Avner Levin, directeur du Privacy and Cyber Crime Institute de l’Université Ryerson, le secteur bancaire canadien n’est pas disposé à divulguer de l’information sur la nature des menaces de sécurité auxquelles il fait face. Ses chercheurs ont décelé de possibles failles de sécurité dans certaines applications bancaires mobiles tierces utilisées par les clients. Les banques, explique-t-il, ont indiqué qu’elles ne couvriraient pas les pertes financières engendrées par du piratage à la suite de l’utilisation de ces applications tierces, ce qui laisse croire que ces dernières peuvent être vulnérables.

À la lumière de ces propos, on peut se demander sérieusement si le Canada serait prêt à se défendre en cas d’attaques cybernétiques savamment orchestrées contre des infrastructures essentielles à la santé économique du pays et à la sécurité de ses citoyens. Dans un rapport présenté au Parlement en 2012, le vérificateur général fédéral Michael Ferguson attirait l’attention sur le Centre canadien de réponse aux incidents cybernétiques, fondé par Ottawa en 2005, non seulement pour assurer une surveillance continuelle des cybermenaces, mais aussi pour coordonner, en situation d’urgence, les interventions des gouvernements provinciaux et des entreprises actives dans des secteurs d’importance stratégique.

Presque dix ans plus tard, selon M. Ferguson, les efforts de coordination restent au mieux fragmentaires. Son bureau a alors constaté que le Centre « ne disposait pas d’un tableau d’ensemble de l’évolution des cybermenaces au pays et à l’échelle internationale », faute de recevoir une information complète et opportune à ce sujet. « Sans une connaissance exhaustive de l’évolution des cybermenaces, le Centre peut difficilement analyser la situation et donner des conseils. »

Michael Ferguson a ajouté ce détail troublant : le Centre, qui devait surveiller et analyser les cybermenaces 24 heures par jour et 7 jours par semaine, n’a jamais été ouvert selon cet horaire et n’a pas non plus de plan en ce sens.

À propos de l’auteur

John Lorinc


John Lorinc est rédacteur indépendant à Toronto.

comments powered by Disqus

Faits saillants

Participez à ce rendez-vous annuel (en anglais) des dirigeants financiers d’OSBL pour obtenir des conseils sur la gestion de votre organisation et tirer parti des connaissances d’experts.

Pour ne rien manquer des principales mesures du #budget2017, suivez CPA Canada sur les médias sociaux et regardez notre vidéo en direct.