COMMENT DÉJOUER LES PIRATES
Personne n'est à l'abri d'une cyberattaque Découvrez les menaces qui pèsent sur votre entreprise.
Il n’est plus nécessaire d’avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d’un colloque organisé par Finance Montréal.
En présence de deux organisateurs de l’événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d’une entreprise québécoise de lui prouver qu’il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d’un employé de l’entreprise. Une minute plus tard, le pirate lui envoyait une capture d’écran de la boîte de courriels de l’employé, dans laquelle on pouvait voir les dates d’envoi. « C’était un criminel qui vendait des noms d’utilisateurs et des mots de passe sur un site du type d’eBay, où on peut demander des catégories d’entreprises ou des noms d’entreprises spécifiques », raconte Éric Parent.
Ce dernier s’est fait offrir d’acheter un bloc de cinq mots de passe et noms d’utilisateurs pour 1,5bitcoin, soit environ 500$, selon le cours de ce jour-là. M. Parent a n’a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l’entreprise présenté sur la saisie d’écran lors de son allocution.
L’entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n’est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu’il ait informé l’entreprise de la situation. « Le pirate m’a dit qu’il pouvait nous obtenir de nouveau le bon mot de passe même si l’utilisateur le changeait, ce qui démontre qu’il est bien installé dans cette entreprise-là », dit M. Parent.
L’aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l’information chez PwC, soutient d’ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu’il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000$ ou plus pour régler un problème qui lui a coûté 100 000$; alors, il préfère attendre. »
Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : “Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l’étranger en train de négocier, et c’est là qu’ils vont passer à l’attaque et qu’ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte”. »
De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus respon-
sable. Dans l’État américain, la législation oblige les entreprises à se doter d’un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.
Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l’occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada’s Vital Cyber Systems Act (c’est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.
Près de la moitié des grandes entreprises compromises
Dans le monde, de nombreuses entreprises choisissent la voie de l’aveuglement volontaire en matière de cybersécurité. Cependant, selon les experts consultés, les entreprises québécoises accuseraient un retard par rapport à leurs consoeurs américaines.
Concrètement, pas moins de 42,6% des 300 plus grandes entreprises du Québec seraient compromises. C’est du moins le résultat auquel Éric Parent est parvenu en entrant les noms de domaine et les adresses IP des entreprises concernées dans un moteur de recherche qui balaye les sites de piratage du Web invisible.
« Il y en a 128 sur 300 pour lesquelles on propose des vulnérabilités exploitables ou quelque chose pour entrer dans leur système », souligne le pdg de LogicNet.
Éric Parent a mis au point le moteur de recherche qu’il a utilisé pour réaliser son enquête sur les entreprises québécoises afin d’offrir un service de veille à ses clients. Dans un contexte où 73% des attaques ne sont pas détectées, selon PwC, il s’agit d’un moyen supplémentaire pour que les entreprises décèlent des vulnérabilités passées sous le radar.
« Les entreprises n’ont pas d’autres choix que de se soucier de ces marchés du cyberpiratage, car ils sont de plus en plus matures », soutient Lillian Ablon, coauteure de l’étude « Markets for Cybercrime Tools and Stolen Data » et chercheuse à la RAND Corporation.
L’étude se penche notamment sur la tendance du piratage à la demande ( hacking as a service), un terme inspiré de logiciel à la demande ( software as a service). Elle révèle notamment qu’on peut louer une boîte à outils malicieuse ( exploit kit) déjà installée sur des serveurs pour 600$ par mois, acheter un numéro de carte de crédit pour 20$ ou encore se procurer des mots de passe à un coût variant de 16$ à 365 $.
« Non seulement les pirates sont prêts à travailler pour le client, mais ils offrent du soutien technique, explique Benoît Dupont, professeur spécialisé en cybersécurité à l’École de criminologie de l’Université de Montréal. Lorsque vous avez un problème, ils vous donnent un numéro de dossier et s’engagent à le régler le plus rapidement possible. »
Compte tenu de la sécurité accrue autour des cartes de crédit, Lillian Ablon soutient que les pirates s’y intéressent moins aujourd’hui. « Les comptes sur les médias sociaux sont des cibles plus faciles et ils peuvent s’avérer plus payants », explique-t-elle.
Selon la chercheuse américaine, un compte Twitter ou Facebook peut valoir de l’or dans les mains de pirates. Entre autres, ces derniers peuvent soutirer de l’argent à la victime en volant son identité ou diriger ses abonnés vers des liens malicieux.
Benoît Dupont note lui aussi qu’en 2015, le cybercrime touche moins les cartes de crédit que dans le passé. « Les outils des cybercriminels n’ont pas vraiment changé, mais ils ont diversifié leurs sources de revenus et sont prêts à jouer sur plusieurs tableaux à la fois, dit le professeur. Même si vous êtes une entreprise en région et que vous n’avez pas de cartes de crédit, vous avez probablement des informations précieuses pour un cybercriminel. »