Les « pirates » déjouent les entreprises canadiennes
Un vrai jeu d’enfant d’obtenir des informations sensibles pouvant nuire aux Québécois
De grandes entreprises canadiennes et des sociétés d’état comme Hydro-québec ont offert sur un plateau d’argent des secrets à « certains des meilleurs pirates informatiques » au pays.
Hydro-québec, Bell Canada, Metro, Télé-québec et des banques canadiennes ont légalement été la cible des plus grands « hackers » au Canada, durant une compétition qui s’est tenue dans le cadre du Hackfest à Québec, la semaine dernière.
Notre Bureau d’enquête a obtenu les résultats de ces tests d’intrusion au cours desquels des sociétés privées et publiques ont divulgué au téléphone des confidences.
« Sur les huit entreprises ciblées, toutes ont fourni des informations qui donneraient à un attaquant un avantage supplémentaire en cas d’attaque à distance », explique le responsable de la compétition, l’américain Shane Macdougall, un chercheur en sécurité et spécialiste de ce type d’attaques depuis 1989.
« INGÉNIERIE SOCIALE »
Ils ont utilisé une technique qualifiée d’« ingénierie sociale », qui facilite le vol de documents confidentiels et qui demeure « la principale menace » pour les entreprises et les gouvernements. Avec ces données, des pirates malicieux peuvent faire énormément de dommages.
L’objectif de ce concours de « piratage éthique » était simple : les 10 participants devaient contacter les sociétés sélectionnées au hasard à l’aide d’une simple ligne téléphonique et soutirer le maximum d’informations, en vertu d’un questionnaire précis.
Les « hackers » avaient une semaine pour préparer des scénarios qui leur permettraient de décrocher plusieurs confidences ( voir autre texte).
Sans se méfier, 75 % des employés joints au téléphone ont, à la suggestion du « hacker », visité un site internet. Geste risqué puisque si le lien avait été malicieux, le pirate aurait facilement infecté le poste de l’utilisateur en accédant à son réseau.
Ils ont ainsi aisément obtenu une masse de renseignements ( voir encadré).
INFORMATIONS PRÉCIEUSES
« Ce sont des informations inestimables pour un attaquant, affirme M. Macdougall. Aucune entreprise ne savait que nous allions appeler. Il s’agissait d’une démonstration, en direct, de la facilité avec laquelle les entreprises peuvent devenir la proie de ces attaques », relate M. Macdougall.
Les données obtenues ont « de quoi faire peur », admettent les participants interrogés par notre Bureau d’enquête.
Même son de cloche du côté de Patrick Mathieu, cofondateur du Hackfest. « Jusqu’à ce que nous puissions amener les entreprises canadiennes à reconnaître la véritable menace, nous allons continuer à voir des violations massives de données et des piratages », convient l’expert qui souhaite sensibiliser les milieux d’affaires et le gouvernement.