Cyberattaques

Une menace de notre temps

Facebook a vu 50 millions de ses comptes piratés cette semaine. Une attaque informatique a ralenti la production du fabricant de meubles Artopex, de Granby, pendant deux jours au milieu de septembre. L’an dernier, un virus a fait perdre des centaines de millions aux géants Fed/Ex, Merck et Maersk. Personne n’est à l’abri d’une cyberattaque.

Cyberassaut

Ce n’est pas le genre de Bertrand Milot, vice-président, service-conseil en risque, performance et technologie chez Richter, de colporter des scénarios catastrophes. « Je n’en suis pas fan », dit-il. Sauf qu’il sait bien qu’aucun particulier, aucune entreprise ni aucune infrastructure ne sont à l’abri d’un piratage informatique. « Tout peut arriver, convient-il. Le pire scénario ? Sky is the limit. Imaginez la paralysie de n’importe quelle instance gouvernementale ou bancaire… »

Oui, des attaques informatiques peuvent toucher des infrastructures critiques. Le virus WannaCry a infecté le système de santé britannique en 2016, rappelle François Coallier, professeur au département de génie logiciel et des TI à l’École de technologie supérieure. Il évoque aussi la cyberattaque contre le réseau électrique ukrainien en décembre 2015. Environ 230 000 foyers avaient alors manqué de courant.

Transports, électricité, distribution de l’eau, centrales nucléaires, plusieurs infrastructures névralgiques pourraient être compromises, croit aussi le directeur général de la firme de cybersécurité Darktrace au Canada, David Masson. « Auparavant, ces systèmes étaient considérés comme sécuritaires parce qu’il y avait un trou d’air [air gap] entre eux et l’internet, mais ils deviennent plus intégrés », relève-t-il. Ce « trou d’air » signifie qu’un système est isolé physiquement des autres, ce qui le rend théoriquement impossible à atteindre à distance.

Plan d’attaque

Hameçonnage, infiltration furtive, envoi de requêtes multiples, toutes sortes de stratégies peuvent être déployées pour compromettre des systèmes informatiques ou faire main basse sur des données critiques. L’arme numérique la plus en croissance, selon un rapport du Forum économique mondial, est le rançongiciel. Il s’agit d’un virus qui bloque l’accès à un ordinateur, voire à tout un système, et exige le paiement d’une rançon pour restituer les données – et le contrôle des appareils.

Il n’a fallu qu’un week-end à WannaCry pour se propager dans des centaines de milliers d’ordinateurs situés dans 150 pays en mai 2017. « En termes de vitesse de propagation, ça ne s’était jamais vu », explique Bertrand Milot. Ce rançongiciel a créé un précédent inquiétant, selon l’expert.

« Les rançongiciels [ransomware], c’est ce que les cybercriminels font de mieux puisque c’est ce qui génère tout leur budget. » — Bertrand Milot, spécialiste en cybersécurité

NotPetya, qui a frappé le mois suivant, a notamment paralysé l’Ukraine et les activités mondiales du géant du transport de marchandises Maersk, comme le relate un récent reportage du magazine Wired. Ce virus change aussi la donne, selon Bertrand Milot, car c’était un faux rançongiciel. Que la victime paie ou non, ses données étaient détruites. « C’est [le genre de menace] qu’on ne voulait pas avoir à affronter », indique-t-il.

Erreur stratégique

En 2016, des cybercriminels se sont introduits dans un casino américain en passant par… un aquarium ! Prenant appui sur un thermostat intelligent – connecté au réseau informatique, donc – installé dans l’eau, les pirates ont dérobé 10 G de données, a révélé Darktrace.

« Auparavant, les réseaux des entreprises étaient constitués de postes de travail et de serveurs informatiques, expose David Masson. Maintenant, ces réseaux contrôlent la totalité des machines qui se connectent à l’internet : les machines à café, les systèmes de climatisation, les thermostats, poursuit le spécialiste. La présence de ces appareils se normalise au sein des entreprises et celles-ci deviennent des cibles pour les cybercriminels. »

« On ne perçoit pas les objets connectés comme des ordinateurs et c’est une erreur, tranche Bertrand Milot. Ce sont des systèmes embarqués qui sont souvent plus puissants que les ordinateurs qu’on avait il y a 20 ans. On se dit que cette petite caméra, par exemple, c’est une bébelle. Et c’est une erreur terrible. » L’autre problème, c’est qu’un fabricant de machines à café pense d’abord à faire du bon café… pas à verrouiller son produit pour empêcher les pirates d’y accéder.

Des objets connectés – des caméras, des téléviseurs et même des frigos – ont déjà été utilisés par des virus, dont Mirai qui, en octobre 2016, a notamment malmené Netflix, Twitter et Reddit. S’appuyant sur les projections d’une firme spécialisée, David Masson signale qu’il y aura plus de 20 milliards d’objets connectés d’ici 2020…

Une arme de choix

« Les cyberattaques, ça ne coûte pas cher, fait valoir François Coallier. Un petit acteur avec une équipe très compétente pourrait faire beaucoup de dégâts. » Europol constate toutefois que les attaques de type rançongiciel sont de plus en plus menées par des États. Le virus NotPetya, qui a notamment déstabilisé l’Ukraine l’an dernier, a par exemple été attribué à son voisin russe.

64 %

Pourcentage des courriels malicieux envoyés entre juillet et septembre 2017 qui constituaient une attaque de type rançongiciel, selon un rapport du Forum économique mondial.

Contrairement à une bombe, une attaque informatique constitue une menace plus diffuse, observe Bertrand Milot. Mal comprises, voire mises en doute par certains, selon lui, les cyberattaques ne mobilisent pas les populations. « Je pense que la cyberattaque est plus rentable que n’importe quel autre type d’attaque », dit-il pour justifier la menace qu’elle représente.

Lignes de défense

Une saine gestion de son réseau informatique est essentielle pour éviter le pire, selon François Coallier. « Dans beaucoup des histoires d’horreur que j’ai lues, il y avait le virus, convient-il, mais aussi le fait que les réseaux étaient mal conçus » et que les failles connues n’avaient pas été colmatées dans les systèmes informatiques.

L’affaire du casino piraté grâce à un aquarium est un cas classique de réseau mal construit, selon lui : il n’était pas segmenté de manière à en limiter l’accès, mais « plat », ce qui, dans le jargon informatique, signifie qu’une fois à l’intérieur, l’intrus pouvait se promener partout dans le système.

Les institutions et les entreprises gagnent à limiter au maximum l’accès aux systèmes les plus critiques, à segmenter les réseaux et à bien les protéger, de manière à limiter la circulation illicite. Faire ses mises à jour est aussi un pas essentiel pour assurer sa sécurité en ligne et celle de ses appareils, rappelle François Coallier.

« La complexité des infrastructures numériques fait en sorte que les équipes de sécurité ont du mal à suivre les changements, les anomalies et les procédures de sécurité. La menace est si grande, si rapide et si mouvante qu’il est impossible pour les humains de rester en phase », dit David Masson. La firme de sécurité Darktrace mise donc sur l’intelligence artificielle pour observer en temps réel la vie d’un réseau et ainsi détecter les changements qui pourraient indiquer une intention malveillante. « S’il est possible d’observer les changements en temps réel, explique-t-il, on peut réparer l’attaque sur-le-champ avant qu’elle ne devienne plus grande. »

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.