Des experts s’inquiètent
Des experts en cybersécurité croient que les gouvernements doivent redoubler de vigilance pour détecter les fuites de mots de passe qui pourraient compromettre leurs informations et celles de leurs employés.
« Ce n’est pas encore pris au sérieux », affirme l’expert en cybersécurité Mathieu Jacques.
Selon lui, les autorités devraient systématiquement informer leurs employés de la présence de mots de passe leur étant associés sur le web clandestin, même s’ils ont été changés et qu’ils sont associés à des fuites déjà connues.
« Tous les utilisateurs devraient être notifiés pour leurs propres problèmes », soutient M. Jacques, fondateur de Microfix, une firme qui aide les entreprises à colmater leurs vulnérabilités informatiques.
PLUSIEURS FAÇONS
Comment ces données sontelles arrivées entre les mains de pirates ?
La réponse varie énormément selon les cas, disent les experts.
√ La victime peut avoir utilisé son adresse courriel professionnelle comme identifiant pour se connecter à un autre site qui s’est fait pirater, comme Linkedin, Dropbox ou Ashley Madison.
« C’est généralement la source d’information piratée la moins valide, ne serait-ce que parce que l’information sur ces brèches est connue et les usagers diligents ont déjà changé leur mot de passe », explique M. Jacques.
√ Quelqu’un peut avoir utilisé un ordinateur à la maison ou ailleurs, infecté par un virus, pour se connecter à son compte professionnel, et s’être alors fait voler l’information.
Pour ce faire, les pirates peuvent utiliser le keylogging : un logiciel espion qui transmet les touches sur lesquelles tape la victime, et enregistre son activité.
√ La victime peut avoir été « hameçonnée » ( phishing) : au téléphone, par texto, par courriel ou à l’aide d’un faux site, le pirate l’a convaincue de partager son mot de passe en se faisant passer pour un interlocuteur légitime.
√ Pire scénario : l’organisme lui-même peut avoir directement été victime d’une attaque ou d’un vol d’informations, comme Desjardins et le ministère de l’éducation.
GRAVE PROBLÈME
Chose certaine, le vol de mots de passe est un grave problème dans les organisations, publiques ou privées, assure Damien Bancal, spécialiste en cyberintelligence.
« Des fuites, il y en a à profusion, dit-il. Après le vol, les pirates peuvent utiliser les informations pendant des années, les revendre plusieurs fois… »
Les gouvernements prennent-ils la chose à la légère ? « Ça évolue dans le bon sens, note M. Bancal. Mais leurs experts en sécurité ne peuvent pas surveiller chaque employé. »