•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

L’ordinateur du fils d’un cadre serait à l’origine de la cyberattaque contre l’OACI

Le lanceur d'alerte Vincent Smith a travaillé pour l'OACI et d'autres agences de l'ONU.

Photo :  CBC/Charles Contant

Radio-Canada

La plus grave cyberattaque contre l’Organisation de l’aviation civile internationale (OACI), agence de l’ONU basée à Montréal, aurait été lancée à partir de l’ordinateur du fils du président de son conseil, a dévoilé à CBC un lanceur d’alerte.

Selon un texte de Debra Arbec pour CBC News

En février dernier, CBC/Radio-Canada dévoilait que l’OACI avait tenté de dissimuler une cyberattaque sans précédent contre son réseau, orchestrée en novembre 2016.

Cinq mois plus tard, le directeur de l’administration et des services de l’agence, Vincent Smith, sort publiquement et accuse la secrétaire générale de l’OACI, Fang Liu, et le président du conseil de l’agence, Olumuyiwa Benard Aliu, de mauvaise conduite.

M. Smith a indiqué à CBC qu’on l’avait prévenu qu’il s’apprêtait à faire un suicide professionnel, mais il juge qu’il est de son devoir de dévoiler ces informations.

Il y a de la fumée et rien n’est fait, a indiqué Vincent Smith en entrevue. Je me préoccupe pour l’agence. Je dois être conséquent avec ma conscience.

Fang Liu et Olumuyiwa Benard Aliu sont assis l'un à côté de l'autre dans une salle de conférence.

Fang Liu (gauche) et Olumuyiwa Benard Aliu (droite) lors d'un forum de l'OACI en novembre 2015

Photo : La Presse canadienne / Paul Chiasson

Dans différents rapports rédigés par M. Smith en juin et juillet et destinés aux 36 pays membres de l’agence en plus de son bureau d’éthique, le cadre détaille la façon dont la cyberattaque s’est déroulée et de quelle manière les espions ont pu infiltrer le réseau de l’OACI.

CBC a obtenu une copie de ces rapports avec l’aide d’une source confidentielle.

Dans l’un de ces rapports, M. Smith raconte avoir reçu le 25 février dernier un courriel de la part du responsable de la sécurité des systèmes d'information de l’OACI, Si Nguyen Vo, dans lequel il est expliqué que l’ordinateur portable d’un ancien agent en informatique, Maxim Aliu, a été infecté lors d’un voyage au bureau régional de l’agence à Pékin en 2010.

Maxim Aliu est le fils du président du conseil de l’OACI, Olumuyiwa Benard Aliu, qui était, en 2010, le représentant du Nigeria au conseil.

« Patient zéro »

Le courriel envoyé par M. Vo fait référence à Maxim Aliu comme étant le « patient zéro » et que son ordinateur portable a servi de porte d’entrée au groupe Emissary Panda pour accéder au réseau informatique de l’OACI.

Emissary Panda est un groupe très raffiné et discret de cyberespions ayant des liens avec le gouvernement chinois.

Un rapport de l’ONU a dévoilé que M. Aliu avait un statut d’administrateur de réseau entre avril 2012 et janvier 2015, explique Vincent Smith.

Les comptes des administrateurs de réseau et des administrateurs de domaine auraient été compromis lors de la cyberattaque, donnant accès aux espions aux adresses courriel et aux mots de passe de l’OACI.

M. Vo a également écrit à M. Smith pour lui indiquer qu’une chronologie de l’attaque avait été réalisée et que « plusieurs » autres brèches auraient été découvertes, dont une concernant des fonds communs.

Le responsable de la sécurité des systèmes d’information a également dévoilé à M. Smith qu’un dossier de sécurité aurait été effacé entre novembre 2018 et janvier 2019, entraînant la perte de toute information sur les brèches informatiques, y compris les procédures, les plans d’action et l’historique des attaques.

Dans un échange de courriels avec CBC, l’OACI réfute les allégations de Vincent Smith quant à l’origine de la cyberattaque.

Nous pouvons confirmer [qu’un rapport] sur ce sujet en 2017 n’attribuait pas la responsabilité de la brèche de sécurité à une personne en particulier ou à un appareil, indique un porte-parole de l’OACI, William Raillant-Clark.

Selon le porte-parole, l’OACI a également invité l’ONU et des experts indépendants à mener une enquête approfondie sur son plan d’action face à l’attaque informatique.

Environnement de travail « toxique et hostile »

Au-delà de la cyberattaque orchestrée par Emissary Panda, c’est l’environnement de travail à l’OACI qui inquiète particulièrement Vincent Smith.

Dans ses rapports, le directeur Vincent Smith décrit l’OACI sous la gouverne de Fang Liu comme un environnement toxique et hostile caractérisé par du favoritisme et du copinage.

Cela a non seulement créé une culture d’impunité et innocenté des contrevenants allégués, mais a favorisé un culte de la personnalité et une loyauté indéfectible envers la secrétaire générale de la part de ces personnes innocentées sans enquête, a écrit M. Smith tout en précisant que ces personnes sont des employés de sa direction.

Extérieur de l'édifice de l'Organisation de l'aviation civile internationale (OACI) à Montréal.

Un lanceur d'alerte travaillant pour l'OACI dénonce un culte de la personnalité autour de la directrice générale de l'agence.

Photo : Reuters / Christinne Muschi

Rappelons que quatre membres de l’équipe des technologies de l’information et de la communication de l’OACI avaient tenté de dissimuler des preuves de leur propre incompétence.

CBC/Radio-Canada avait dévoilé en février dernier que ces personnes étaient toujours employées de l’OACI et qu’aucune enquête interne n’avait été menée à leur sujet.

Aucune des personnes ayant supposément fait de l’obstruction lors de la cyberattaque de 2016-2017 n’a fait l’objet d’une enquête et je suis toujours leur superviseur, mais sans aucune autorité sur elles, se désole Vincent Smith.

M. Smith accuse Mme Liu d’être allée à l’encontre des recommandations formulées par le Bureau des services de contrôle interne de l’ONU, qui exigeait une enquête sur les quatre employés des TIC.

Le directeur dénonce aussi comment cette même culture a fait de lui une cible de harcèlement, d’intimidation et de représailles par ces employés impliqués dans la dissimulation de preuves, en plus de leur patron. Selon M. Smith, en n’ayant pas à faire l’objet d’une enquête, ces employés se sont sentis encouragés à le mettre de côté.

J’étais maintenant perçu comme un ennemi déloyal et indigne de confiance, dénonce M. Smith dans l’un de ses rapports. Le directeur juge que cette expérience a nui à sa santé, et il est en congé de maladie depuis le 26 mars.

Plus stressant qu’être au front

Vincent Smith n’a pas voulu donner plus de détails à CBC sur ses rapports écrits, indiquant que les documents parlent d’eux-mêmes. Il a par contre donné plus de précisions sur l’environnement de travail à l’OACI.

M. Smith a longtemps travaillé pour l’ONU, dont deux décennies dans des missions de maintien de la paix dans des régions tumultueuses comme l’Afghanistan, la Somalie, Haïti et le Liberia.

Un jeune Vincent Smith portant un chandail de l'ONU.

Vincent Smith lors de la mission de l'ONU en Somalie en 1993.

Photo : Gracieuseté

Aucun de ces déploiements ne l’a rendu aussi malade que le climat empoisonné à l’OACI, a-t-il indiqué en entrevue avec CBC.

Dans toutes mes missions avec l’ONU, j’ai tout le temps su que, même dans les moments où j’étais en danger, la culture de l’ONU a toujours été d’offrir le meilleur soutien à ses employés, de réaliser son mandat de manière éthique et pour le plus grand bien de ceux que l’ONU sert, explique M. Smith dans un courriel à CBC.

Malheureusement, mon expérience à l’OACI a été très différente et ne respecte pas les standards que doit respecter une agence de l’ONU. Je trouve également très malheureux que tout employé qui désire adhérer à ces standards soit d’abord ignoré puis freiné et finalement attaqué.

Vincent Smith

Dans ces rapports écrits, Vincent Smith critique l’OACI pour avoir tu des informations et pour avoir été insensible aux risques potentiels de la cyberattaque pour des Canadiens.

Il y fait référence à l’article de CBC sur la cyberattaque, qui a révélé que les pirates informatiques ont eu accès aux dossiers personnels d’employés anciens et actuels, aux dossiers médicaux des personnes ayant été soignées à la clinique de l’OACI, aux dossiers des transactions financières et aux données personnelles de tous les visiteurs des bureaux de l’OACI et des personnes inscrites au site web de l’agence.

À l’époque, l’OACI avait réfuté ces allégations.

Après ces révélations, le directeur des communications de l’agence, Anthony Philbin, avait publié un communiqué dans lequel il rassurait le public en indiquant que l’OACI ne gardait aucune information privée ou financière qui pourrait représenter un risque pour des Canadiens.

Dans ses rapports, Vincent Smith soutient plutôt que l’OACI détient effectivement des dossiers sur ses employés qui incluent, entre autres, des numéros d’assurance sociale, des numéros de passeport, des comptes de finance.

En réponse à ces allégations de la part de M. Smith, le porte-parole de l’agence, William Raillant-Clark, soutient qu’aucun employé de l’OACI n’a rapporté de menace ou de dommage occasionné par une vulnérabilité informatique.

M. Smith exige une enquête indépendante sur la conduite de Fang Liu, en plus de celle du président du conseil Olumuyiwa Benard Aliu. Il veut également que ces deux cadres se récusent pour une telle enquête.

Selon Vincent Smith, le président du conseil, M. Aliu, est en conflit d’intérêts puisque c’est l’ordinateur portable de son fils qui serait à l’origine de l’attaque. M. Smith souligne également que l’OACI a contrevenu à ses propres règles contre le népotisme en employant le père et le fils.

Dans son courriel à CBC, M. Raillant-Clark affirme que l’agence a reçu plusieurs allégations relativement à l’incident de 2016 et qu’elle a lancé un processus pour les examiner. Il serait donc inapproprié de les commenter publiquement.

Vincent Smith a également exigé la protection contre les lanceurs d’alerte en vertu d’un nouveau règlement interne adopté en juin dernier, cinq mois après la publication de l’article de CBC sur la cyberattaque.

Cybercriminalité

Justice et faits divers