23 février 2011
Trois questions à Stéphane Leman-Langlois
Sur les cyberattaques contre le gouvernement fédéral
Partager : 
Le piratage informatique des données du ministère fédéral des Finances, du Conseil du Trésor et de l’Agence de recherche et de développement du ministère de la Défense a secoué les Canadiens par l’importance des organisations touchées. Selon Stéphane Leman-Langlois, titulaire de la Chaire de recherche du Canada en surveillance et construction sociale du risque, de tels piratages n’ont rien d’étonnant.
Q Pourquoi le Canada est-il ciblé par les pirates informatiques?
R Le cas du Canada n’a rien de particulier. En 2009, plus d’une centaine de pays dans le monde sur 200 ont eu affaire à GhostNet. Selon des chercheurs de l’organisme SecDev, des serveurs hébergés en Chine auraient aussi été à la source d’attaques contre les ordinateurs du dalaï-lama en volant un paquet de fichiers sensibles sur les négociations et sa position par rapport à d’autres pays. GhostNet s’en est pris ensuite à Google, notamment en ciblant certains de ses algorithmes de recherche, très importants dans son modèle d’affaires. Grâce à Google, on peut aussi avoir accès aux secrets industriels des compagnies qui utilisent le service Google Docs pour stocker ou partager leurs dossiers, leur paperasse de bureau. Une véritable mine d’or de renseignements. Les attaques sont donc continues. Pour GhostNet, les diplomates et les agents de la CIA en poste à Pékin semblaient convaincus que les ordres d’attaquer Google venaient directement du Politburo chinois à Pékin, selon des câbles diplomatiques récemment révélés par WikiLeaks. Cela dit, l’attribution des attaques reste un problème fondamental: on ne sait tout simplement pas qui en est responsable.
Q Le Canada va investir 90 millions de dollars pour sécuriser les systèmes informatiques publics, dix fois moins que le gouvernement britannique. Prend-on le problème au sérieux ici?
R Le niveau d’investissement n’est pas proportionnel au niveau de protection. Sur le plan de l’attaque informatique, il faut ajouter le volet social, l’arnaque effectuée tout simplement par des individus. La technique de hacking la plus simple consiste à appeler un employé dans l’entreprise en se faisant passer pour le service informatique au troisième étage. Trois fois sur quatre, les gens donnent leur mot de passe au téléphone, sous prétexte de redémarrer leur compte. Le hacker le plus connu dans le monde, Kevin Mitnick, n’était pas très bon pour contourner des dispositifs de sécurité, mais cet acteur incroyable pouvait se faire passer pour n’importe qui et soutirer des mots de passe! La sécurité ne dépend donc pas seulement de l’argent investi. L’attaque dont il est question ici faisait appel au spear fishing, qui consiste à tromper l’utilisateur pour s’emparer de son mot de passe réseau.
Q Que faut-il faire alors pour sécuriser les systèmes?
R Il aurait peut-être fallu se réveiller avant. Ce genre d’attaque n’a rien de nouveau. Dans la plupart des cas, les experts en informatique remarquent que les hackers utilisent entre autres les failles d’Internet Explorer. Ils suggèrent donc d’utiliser d’autres applications, surtout avec du matériel sensible. Des produits comme Acrobat, Adobe et l’environnement Java sont aussi des corridors sans fin de portes ouvertes. Enfin, certaines applications très anciennes, qui dans le pire des cas ont été abandonnées par leur créateur depuis des années, comportent des failles qui n’ont jamais été colmatées. J’ai vu des postes de travail à Radio-Canada qui fonctionnent sous Windows XP avec Internet Explorer 6, la combinaison parfaite pour se faire démolir. C’est sûr que cela coûte cher pour changer tous ces programmes non fiables, et faire la mise à jour dans une grande organisation peut se révéler un travail énorme. Cependant, la solution rapide qui consiste à écrire des lois plus sévères contre les hackers ne sert à rien. Cela touche surtout l’internaute ordinaire qui télécharge une chanson sur Internet et non les professionnels qui savent rester anonymes. En plus, comme le présent cas le démontre, les individus les plus dangereux ne sont pas forcément des citoyens soumis aux lois canadiennes.
Propos recueillis par Pascale Guéricolas
Q Pourquoi le Canada est-il ciblé par les pirates informatiques?
R Le cas du Canada n’a rien de particulier. En 2009, plus d’une centaine de pays dans le monde sur 200 ont eu affaire à GhostNet. Selon des chercheurs de l’organisme SecDev, des serveurs hébergés en Chine auraient aussi été à la source d’attaques contre les ordinateurs du dalaï-lama en volant un paquet de fichiers sensibles sur les négociations et sa position par rapport à d’autres pays. GhostNet s’en est pris ensuite à Google, notamment en ciblant certains de ses algorithmes de recherche, très importants dans son modèle d’affaires. Grâce à Google, on peut aussi avoir accès aux secrets industriels des compagnies qui utilisent le service Google Docs pour stocker ou partager leurs dossiers, leur paperasse de bureau. Une véritable mine d’or de renseignements. Les attaques sont donc continues. Pour GhostNet, les diplomates et les agents de la CIA en poste à Pékin semblaient convaincus que les ordres d’attaquer Google venaient directement du Politburo chinois à Pékin, selon des câbles diplomatiques récemment révélés par WikiLeaks. Cela dit, l’attribution des attaques reste un problème fondamental: on ne sait tout simplement pas qui en est responsable.
Q Le Canada va investir 90 millions de dollars pour sécuriser les systèmes informatiques publics, dix fois moins que le gouvernement britannique. Prend-on le problème au sérieux ici?
R Le niveau d’investissement n’est pas proportionnel au niveau de protection. Sur le plan de l’attaque informatique, il faut ajouter le volet social, l’arnaque effectuée tout simplement par des individus. La technique de hacking la plus simple consiste à appeler un employé dans l’entreprise en se faisant passer pour le service informatique au troisième étage. Trois fois sur quatre, les gens donnent leur mot de passe au téléphone, sous prétexte de redémarrer leur compte. Le hacker le plus connu dans le monde, Kevin Mitnick, n’était pas très bon pour contourner des dispositifs de sécurité, mais cet acteur incroyable pouvait se faire passer pour n’importe qui et soutirer des mots de passe! La sécurité ne dépend donc pas seulement de l’argent investi. L’attaque dont il est question ici faisait appel au spear fishing, qui consiste à tromper l’utilisateur pour s’emparer de son mot de passe réseau.
Q Que faut-il faire alors pour sécuriser les systèmes?
R Il aurait peut-être fallu se réveiller avant. Ce genre d’attaque n’a rien de nouveau. Dans la plupart des cas, les experts en informatique remarquent que les hackers utilisent entre autres les failles d’Internet Explorer. Ils suggèrent donc d’utiliser d’autres applications, surtout avec du matériel sensible. Des produits comme Acrobat, Adobe et l’environnement Java sont aussi des corridors sans fin de portes ouvertes. Enfin, certaines applications très anciennes, qui dans le pire des cas ont été abandonnées par leur créateur depuis des années, comportent des failles qui n’ont jamais été colmatées. J’ai vu des postes de travail à Radio-Canada qui fonctionnent sous Windows XP avec Internet Explorer 6, la combinaison parfaite pour se faire démolir. C’est sûr que cela coûte cher pour changer tous ces programmes non fiables, et faire la mise à jour dans une grande organisation peut se révéler un travail énorme. Cependant, la solution rapide qui consiste à écrire des lois plus sévères contre les hackers ne sert à rien. Cela touche surtout l’internaute ordinaire qui télécharge une chanson sur Internet et non les professionnels qui savent rester anonymes. En plus, comme le présent cas le démontre, les individus les plus dangereux ne sont pas forcément des citoyens soumis aux lois canadiennes.
Propos recueillis par Pascale Guéricolas
