•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Cyberattaques : un bouclier canadien pour protéger les citoyens

En haut de l'image, une femme utilise son téléphone intelligent; dans le bas de l'image, des applications sont montrées sur un iPad.

Grâce au Bouclier canadien, un utilisateur ne serait pas directement redirigé vers un site malveillant en cliquant sur un hyperlien.

Photo : The Canadian Press / Nathan Denette

Radio-Canada

Marie Fortin (Nouvelle fenêtre), journaliste à la recherche à La facture

Alors que plusieurs analystes en cybersécurité constatent une augmentation fulgurante des attaques en lien avec la pandémie actuelle, l’Autorité canadienne pour les enregistrements Internet (ACEI) a lancé le 23 avril le Bouclier canadien, un système gratuit de protection contre les cyberattaques destiné aux particuliers. Les experts consultés par La facture saluent l’initiative, tout en formulant quelques réserves.

Bloquer les cyberattaques

Pour expliquer l’utilité du Bouclier canadien, le directeur des techniques informatiques à l’ACEI, Jacques Latour, y va d’une analogie : Les Canadiens ont en général accès à l’eau potable et tiennent pour acquis que c’est normal; le Bouclier canadien rend le service Internet potable en enlevant les virus, les logiciels malveillants [...].

L’ACEI gère les noms de domaines se terminant par .ca, comme Radio-Canada.ca. Cet organisme sans but lucratif basé à Ottawa offrait déjà aux entreprises un système de protection semblable (Nouvelle fenêtre), mais payant.

Bien qu'il ait été lancé en pleine crise de la COVID-19, le projet avait été amorcé bien avant et ratisse plus large que les arnaques liées au nouveau coronavirus.

Les instructions de mise en oeuvre du Bouclier se trouvent sur le site de l’ACEI (Nouvelle fenêtre).

Une fois installé, voici comment le système fonctionne :

  • vous tentez d’accéder à un site Internet en tapant son nom ou encore en cliquant sur un lien;

  • avant de vous donner accès à ce site, le Bouclier consulte sa liste noire, sur laquelle sont répertoriés des sites malveillants;

  • si le site que vous voulez consulter figure sur cette liste, le Bouclier vous en bloquera l’accès.

Un schéma représentant les cyberattaques et le système de protection du Bouclier canadien.Agrandir l’image (Nouvelle fenêtre)

Si le Bouclier est installé sur le routeur d'un domicile, il couvre tous les appareils utilisant son réseau.

Photo : Autorité canadienne pour les enregistrements Internet (ACEI)

La liste noire, nerf de la guerre

L’efficacité du système repose sur la qualité de la liste noire utilisée, explique José M. Fernandez, professeur à Polytechnique Montréal, où il enseigne et conduit des recherches en cybersécurité. Et cette liste doit être continuellement mise à jour : Le time-to-protect est très variable d'une compagnie à l'autre et c'est ce qui fait toute la différence. Selon lui, l’efficacité d’un système de protection réside dans toute l'armée d'analystes qui sont derrière.

La capacité de l’ACEI de déployer son Bouclier repose sur des partenariats, dont celui avec Akamai, une entreprise du Massachusetts dont le réseau de diffusion de contenu Internet représente jusqu’à 30 % du trafic mondial sur le web. Akamai fournit la grande majorité, plus de 95 % [du contenu] de la liste noire, précise Jacques Latour. La capacité élevée de détection des menaces d’Akamai permet d’ajouter plus de 100 000 nouvelles menaces par jour à la liste noire, affirme l’ACEI (Nouvelle fenêtre).

La portion restante de la cruciale liste vient du Centre canadien pour la cybersécurité. Cette organisation relève du service de renseignement en cyberopérations du gouvernement canadien, le Centre de la sécurité des télécommunications. L’apport du Centre pour la cybersécurité est concentré sur les attaques spécifiques contre les Canadiens, explique M. Latour. 

Nous ajoutons [à la liste] tout ce que nous constatons nous-mêmes ou qui nous est signalé sur toute activité criminelle visant le gouvernement. Nous incluons aussi tout type d’activité parrainé par un État que nous pouvons bloquer, a expliqué à la CBC (Nouvelle fenêtre) Scott Jones, dirigeant principal du Centre pour la cybersécurité. En fait, nous mettons à la disposition des Canadiens tout ce que nous utilisons pour défendre le Canada, afin que ceux-ci puissent se défendre eux-mêmes, a-t-il conclu.

Pas infaillible

Pour les attaques à grande échelle, un système comme le Bouclier est efficace, dit le professeur Fernandez, mais attention, il n’est pas infaillible. Pour le contourner, l’attaquant va changer de lien constamment, il va enregistrer de nouvelles adresses, pour essayer de battre de vitesse [...] le système de liste noire. Ça devient un jeu de Whac-A-Mole, une espèce de course d'armement, ajoute-t-il.

Mais si une grande partie de la population adhère [au Bouclier canadien], on vient de rendre l'effort que le criminel doit faire plus important, on réduit sa marge de profit, peut-être qu'effectivement il y un effet de réduction de crime qu'on peut aller chercher. C'est un peu comme les antivols sur les voitures.

José M. Fernandez, professeur titulaire à Polytechnique Montréal

Est-ce que M. Fernandez envisage d’installer le Bouclier canadien chez lui? Bonne question. Oui, pourquoi pas?

Autre bémol, le sentiment de sécurité que crée le Bouclier. Comme le Dr Horacio Arruda au sujet du port du masque (ou du couvre-visage), le professeur Frédéric Cuppens, de Polytechnique Montréal, dit redouter que le Bouclier ait pour effet secondaire de faire baisser le niveau de vigilance de ceux qui l’auront installé. Cela pourrait ouvrir la porte à des attaques que le Bouclier n’aura pas bloquées, déplore l’expert en cybersécurité qui critique la façon dont ce système est présenté par l’ACEI.

Ça fait 30 ans que je fais de la cybersécurité, il faut éviter de faire croire aux gens qu'il y a une solution miracle qui va résoudre tous les problèmes. Ça n'existe pas!

Frédéric Cuppens, professeur titulaire à Polytechnique Montréal

La meilleure solution passe par la sensibilisation aux mesures à prendre pour se protéger, martèle M. Cuppens. Cela dit, la solution dans son principe est très, très bien, [je n’ai] rien à redire.

L’installera-t-il chez lui? Non, parce que je suis vigilant sur le phishing [hameçonnage]. Je préfère faire [...] mon analyse sur les mails que je reçois. Je préfère me faire confiance.

Un arobas suspendu à un hameçon.

Les cyberattaques par hameçonnage ou maliciel liées à la COVID-19 sont en hausse.

Photo : Radio-Canada / Marie Dionne

Protection des renseignements personnels

Dans une entrevue à la CBC (Nouvelle fenêtre), Wesley Wark, expert renommé en sécurité et renseignement de l’Université d’Ottawa, a dit voir le Bouclier d’un œil positif, mais qu’on doit porter attention à l’anonymisation des données qu’il recueille. L’anonymisation est sans doute l’enjeu le plus sensible. L’anonymisation [des données] est un exercice délicat (a tricky business) [qui] peut échouer et, le cas échéant, il peut avoir des impacts sur la vie privée.

À ce sujet, Nicolas Vermeys, professeur à la Faculté de droit de l’Université de Montréal spécialisé en cybersécurité, se fait rassurant : La politique de confidentialité [de l’ACEI] est rédigée de façon exemplaire. Le texte est court et cohérent et il prévoit qu’outre l’adresse IP [des utilisateurs] pour 24 heures, aucune information n’est conservée.

Quant à savoir si l’ACEI va respecter sa politique, a priori, on n’a pas de raison d’en douter tranche-t-il. Il estime que le risque est relativement faible, sous réserve de préciser quel usage est fait de nos données pendant les 24 heures où elles sont conservées.

L’ACEI affirme s’engager à participer à un audit annuel complet sur la confidentialité qui sera effectué par des auditeurs tiers. Selon Jacques Latour, le rapport annuel de cet audit sera fort probablement public.

Il est possible, selon Nicolas Vermeys, qu’un site légitime, qui aura été piraté puis réparé, soit difficile à faire retirer de la liste noire : Ce risque existe, il n’y pas de solution facile à ça.

Et installerait-il chez lui le Bouclier? Après quelques esquives, bon joueur, il laisse entendre que oui.

Le score final est donc de deux experts contre un.

Et vous, l’installerez-vous?

NDLR : Contactés par La facture, les organismes suivants ont répondu ne pas être en mesure de faire de commentaires sur le Bouclier canadien :

  • Option consommateurs : en raison d’un conflit d’intérêts, car l'organisme a reçu du financement de l’ACEI;

  • Public Interest Advocacy Centre : en raison du travail supplémentaire causé par la pandémie, l'organisme n'a pas encore eu l’occasion de se pencher sur la question en profondeur et d’en dégager les caractéristiques et avantages pour les consommateurs;

  • L’Union des consommateurs : car ses analystes n'ont pas encore étudié le Bouclier canadien.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !