La cybercriminalité n'est plus l'affaire de cracks de l'informatique travaillant dans le sous-sol de leurs parents. C'est une affaire de gros sous qui cause 23 milliards de dollars de pertes financières par année dans le monde. Le cybercrime attire aujourd'hui aussi bien le crime organisé que des malfaiteurs sans connaissances informatiques. Et toutes les entreprises sont des cibles potentielles.
À lire aussi:
Cinq stratégies pour réduire le risque
Il n'est plus nécessaire d'avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d'un colloque organisé par Finance Montréal.
En présence de deux organisateurs de l'événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d'une entreprise québécoise de lui prouver qu'il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d'un employé de l'entreprise. Une minute plus tard, le pirate lui envoyait une capture d'écran de la boîte de courriels de l'employé, dans laquelle on pouvait voir les dates d'envoi. « C'était un criminel qui vendait des noms d'utilisateurs et des mots de passe sur un site du type d'eBay, où on peut demander des catégories d'entreprises ou des noms d'entreprises spécifiques », raconte Éric Parent.
Ce dernier s'est fait offrir d'acheter un bloc de cinq mots de passe et noms d'utilisateurs pour 1,5 bitcoin, soit environ 500 $, selon le cours de ce jour-là. M. Parent a n'a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l'entreprise présenté sur la saisie d'écran lors de son allocution.
L'entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n'est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu'il ait informé l'entreprise de la situation. « Le pirate m'a dit qu'il pouvait nous obtenir de nouveau le bon mot de passe même si l'utilisateur le changeait, ce qui démontre qu'il est bien installé dans cette entreprise-là », dit M. Parent.
L'aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l'information chez PwC, soutient d'ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu'il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000 $ ou plus pour régler un problème qui lui a coûté 100 000 $ ; alors, il préfère attendre. »
Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : "Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l'étranger en train de négocier, et c'est là qu'ils vont passer à l'attaque et qu'ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte". »
De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus responsable. Dans l'État américain, la législation oblige les entreprises à se doter d'un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.
Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l'occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada's Vital Cyber Systems Act (c'est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.
À lire aussi:
Cinq stratégies pour réduire le risque
Près de la moitié des grandes entreprises compromises
Dans le monde, de nombreuses entreprises choisissent la voie de l'aveuglement volontaire en matière de cybersécurité. Cependant, selon les experts consultés, les entreprises québécoises accuseraient un retard par rapport à leurs consoeurs américaines.
Concrètement, pas moins de 42,6 % des 300 plus grandes entreprises du Québec seraient compromises. C'est du moins le résultat auquel Éric Parent est parvenu en entrant les noms de domaine et les adresses IP des entreprises concernées dans un moteur de recherche qui balaye les sites de piratage du Web invisible.
« Il y en a 128 sur 300 pour lesquelles on propose des vulnérabilités exploitables ou quelque chose pour entrer dans leur système », souligne le pdg de LogicNet.
Éric Parent a mis au point le moteur de recherche qu'il a utilisé pour réaliser son enquête sur les entreprises québécoises afin d'offrir un service de veille à ses clients. Dans un contexte où 73 % des attaques ne sont pas détectées, selon PwC, il s'agit d'un moyen supplémentaire pour que les entreprises décèlent des vulnérabilités passées sous le radar.
« Les entreprises n'ont pas d'autres choix que de se soucier de ces marchés du cyberpiratage, car ils sont de plus en plus matures », soutient Lillian Ablon, coauteure de l'étude « Markets for Cybercrime Tools and Stolen Data » et chercheuse à la RAND Corporation.
L'étude se penche notamment sur la tendance du piratage à la demande (hacking as a service), un terme inspiré de logiciel à la demande (software as a service). Elle révèle notamment qu'on peut louer une boîte à outils malicieuse (exploit kit) déjà installée sur des serveurs pour 600 $ par mois, acheter un numéro de carte de crédit pour 20 $ ou encore se procurer des mots de passe à un coût variant de 16 $ à 365 $.
« Non seulement les pirates sont prêts à travailler pour le client, mais ils offrent du soutien technique, explique Benoît Dupont, professeur spécialisé en cybersécurité à l'École de criminologie de l'Université de Montréal. Lorsque vous avez un problème, ils vous donnent un numéro de dossier et s'engagent à le régler le plus rapidement possible. »
Compte tenu de la sécurité accrue autour des cartes de crédit, Lillian Ablon soutient que les pirates s'y intéressent moins aujourd'hui. « Les comptes sur les médias sociaux sont des cibles plus faciles et ils peuvent s'avérer plus payants », explique-t-elle.
Selon la chercheuse américaine, un compte Twitter ou Facebook peut valoir de l'or dans les mains de pirates. Entre autres, ces derniers peuvent soutirer de l'argent à la victime en volant son identité ou diriger ses abonnés vers des liens malicieux.
Benoît Dupont note lui aussi qu'en 2015, le cybercrime touche moins les cartes de crédit que dans le passé. « Les outils des cybercriminels n'ont pas vraiment changé, mais ils ont diversifié leurs sources de revenus et sont prêts à jouer sur plusieurs tableaux à la fois, dit le professeur. Même si vous êtes une entreprise en région et que vous n'avez pas de cartes de crédit, vous avez probablement des informations précieuses pour un cybercriminel. »
À lire aussi:
Cinq stratégies pour réduire le risque
La fraude du président
La fraude du président est aussi simple que redoutable. Elle consiste à voler l'identité d'un cadre, comme le pdg ou le directeur des finances, afin de demander à un employé subalterne d'émettre un chèque. Pour y parvenir, les cybercriminels s'emparent habituellement de la boîte courriel du cadre. « Ils vont envoyer un courriel à partir de l'adresse du vice-président des finances en utilisant un langage semblable à celui qu'il a l'habitude d'utiliser dans ses courriels », explique Marc Fournier, consultant en sécurité de l'information chez PwC. En règle générale, les pirates envoient le courriel à l'employé du service des comptes fournisseurs et s'assurent que le montant du chèque ne sorte pas de l'ordinaire.
La prise d'otage
C'est comme un kidnapping, mais qui touche les données stratégiques de l'entreprise telles que des plans d'ingénierie et des travaux de recherche sur une innovation. Dans ce type d'attaque, des pirates - souvent à la solde du crime organisé - cryptent les données à distance pour empêcher l'entreprise d'y accéder. Et pour les récupérer, ils lui demandent de payer une rançon (souvent par le système de paiement en ligne Bitcoin), explique Michel Juneau-Katsuya, patron de The Northgate Group, une firme spécialisée dans les analyses de risques pour les entreprises. « J'ai notamment travaillé avec une entreprise du secteur de la construction au Québec. Des pirates avaient crypté ses plans de construction et ses plans d'ingénierie pour un projet », confie cet ancien agent du Service canadien du renseignement de sécurité (SCRS).
Le poisson de fond
Les « poissons de fond » constituent une menace grave que sous-estiment systématiquement la plupart des entreprises, selon Michel Juneau-Katsuya, patron de The Northgate Group, une firme spécialisée dans les analyses de risques pour les entreprises. Ce sont des « employés espions » envoyés au Canada par des gouvernements étrangers, qui ont pour mission de se faire embaucher par des sociétés oeuvrant dans des secteurs stratégiques tels que l'aérospatiale et la finance.
Et ces « poissons de fond » peuvent rester inactifs pendant des années - parfois, leur conjoint ou conjointe rencontrés au Canada ne sont même pas au courant de leur véritable identité. Puis, à un moment donné, leur gouvernement communique avec eux pour leur demander d'espionner l'entreprise où ils travaillent.
« On a même vu des dossiers où des espions avaient été inactifs pendant 15 à 20 ans sans rien faire », précise M. Juneau-Katsuya. Parfois, des « poissons de fond » ont gravi les échelons pour se rapprocher de la haute direction d'une organisation.
Quand la concurrence attaque
Les attaques perpétrées contre des entreprises par des sociétés concurrentes ont augmenté de 46 % au Canada en 2014 par rapport à 2013. Plusieurs seraient soutenues par des États et d'autres, par des amateurs. Toutefois, avec l'émergence du piratage à la demande (hacking as a service), ces dernières sont tout aussi redoutables.
Patrice Baribeau, pdg de l'hébergeur Solutions Jumpstudio, l'a appris à la dure le 19 octobre 2013. Ce jour-là, des pirates se sont emparés de ses serveurs et ont commencé à détruire systématiquement toutes les données qui s'y trouvaient. « Ils ont supprimé 5 000 comptes clients, y compris les sauvegardes qu'on entreposait sur des disques inactifs, raconte Patrice Baribeau. Ils ont vraiment fait une grosse job pour aller supprimer tout ça. »
Pour la société montréalaise, dont le chiffre d'affaires annuel s'approchait du million de dollars avant l'attaque, les conséquences ont été immédiates. Du jour au lendemain, son chiffre d'affaires a fondu de 25 %, affirme-t-elle. L'entreprise a dû négocier avec ses créanciers, Investissement Québec et la Banque de développement du Canada, pour garder la tête hors de l'eau. Beaucoup de clients ont bien entendu changé d'hébergeur à la suite de cet incident.
Ce n'est qu'après avoir parlé à un expert en cybersécurité que le mystère enveloppant l'attaque a commencé à se dissiper dans l'esprit de Patrice Baribeau.
À lire aussi:
Cinq stratégies pour réduire le risque
Selon le rapport de cet expert, joint en annexe d'une poursuite qu'a intentée Jumpstudio contre son concurrent PlanetHoster, l'attaque aurait été perpétrée à partir d'une adresse IP d'un serveur de cette entreprise de Laval.
Un concurrent qui, quelques mois plus tôt, aurait communiqué avec Solutions Jumpstudio en vue d'acheter ses activités en France. Les deux parties auraient alors signé une entente de confidentialité, jointe en annexe de la poursuite.
La poursuite mentionne que, durant cette rencontre, Patrice Baribeau aurait révélé à l'acquéreur potentiel quel logiciel de facturation il utilisait. Or, selon le rapport de l'expert en cybersécurité, les pirates auraient réussi à s'introduire sur les serveurs de Jumpstudio grâce à une vulnérabilité du logiciel de facturation de l'entreprise.
Solutions Jumpstudio poursuit aujourd'hui PlanetHoster pour quelque 519 000 $, mais aucune accusation criminelle n'a été déposée contre ses dirigeants. L'entreprise de Patrice Baribeau, qui compte huit employés, s'efforce aujourd'hui de renouer avec la croissance tout en préparant un procès qui s'annonce coûteux.
Les dirigeants de PlanetHoster ont décliné nos demandes répétées d'entrevue. Malgré tout, PlanetHoster nous a fait savoir, par un courriel émanant de son avocat, que les procédures intentées contre elle sont « des allégations non prouvées et qu'elles sont vigoureusement contestées ».
Le délit d'initié cybernétique
Le délit d'initié, qui consiste à négocier des actions en Bourse à propos desquelles on dispose d'une information privilégiée, est le crime favori d'un groupe ultra-sophistiqué de pirates, baptisé FIN4.
« Il s'agit d'un groupe extrêmement au fait du jargon financier, qui ne s'intéresse qu'à l'information privilégiée », explique Benoît Dupont, professeur spécialisé en cybersécurité à l'École de criminologie de l'Université de Montréal, pour qui ce groupe détonne par rapport aux groupes de pirates traditionnels.
FIN4, dont les agissements ont fait surface en 2014, visait des dirigeants de sociétés pharmaceutiques inscrites en Bourse. À des années-lumière des courriels d'hameçonnage plein de fautes, les courriels de ces pirates étaient très ciblés. Ils incitaient les dirigeants visés, dans un langage caractéristique du monde de la finance, à ouvrir des pièces jointes contenant des renseignements financiers. Ensuite, le groupe se contentait d'épier les boîtes de courriels infectées, à l'affût d'informations susceptibles de faire réagir le marché boursier, comme des projets d'acquisition ou des résultats de recherche clinique.
> 46 % des failles de sécurité viennent de l’intérieur de l’entreprise, et parmi elles, 46 % sont malveillantes. Source : Forrester Research
> Cette année, au moins 60 % des entreprises auront détecté une fuite de données sensibles. Par contre, au moins 80 % des entreprises en auront subi une. Source : Forrester Research
> Les pertes liées aux atteintes à la protection des données atteindront 2 100 milliards de dollars américains dans le monde en 2019. Source : Forrester Research
À lire aussi:
Cinq stratégies pour réduire le risque