•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les rançongiciels, un fléau coûteux

L’attaque par rançongiciel ayant mené à la paralysie de Colonial Pipeline en mai aux États-Unis a rappelé la fragilité de la cybersécurité d’infrastructures critiques. De notre côté de la frontière, les cyberincidents signalés se sont multipliés dans la dernière année, au point où les primes de cyberassurance des entreprises pourraient augmenter substantiellement.

Une personne devant un écran d'ordinateur

L’entreprise de sécurité Emisoft avance qu’au moins 18 milliards de dollars ont été versés à des cybercriminels qui ont utilisé des rançongiciels l’année dernière.

Photo : Radio-Canada

La Société de transport de Montréal réclame 5 millions de dollars en dédommagements à son assureur après avoir été victime d'un rançongiciel en octobre 2020.

Ces logiciels malveillants infectent les systèmes informatiques et bloquent l’accès des individus et des organisations à leurs données. Les malfaiteurs menacent ensuite de diffuser les informations exfiltrées et exigent une somme d’argent, parfois de plusieurs millions de dollars, pour les restaurer. L’implantation massive du télétravail, qui a créé de nouvelles brèches de sécurité potentielles, a facilité leurs opérations nuisibles.

Appelée à témoigner de son expérience d'octobre 2020, la Société de transport de Montréal a préféré décliner notre requête, ses experts considérant que le sujet est encore trop sensible et qu’aucune entreprise, malgré la robustesse et la rigueur de ses systèmes de sécurité, ne peut affirmer être totalement à l’abri d’un nouvel événement.

La société de transport a refusé de payer la rançon de 2,8 millions de dollars exigée par les malfaiteurs. La remise en service et la sécurisation de ses serveurs touchés par le logiciel malveillant RansomExx ont néanmoins conduit à une réclamation globale de 5 millions de dollars à son assureur, selon ce qu'a appris Radio-Canada. Les frais sont attribuables aux déboursés directs auprès de firmes spécialisées et aux heures consacrées par les employés de la Société de transport de Montréal à la gestion de la crise.

Plusieurs autres attaques de ce type ont été médiatisées, dont celles à l’encontre d’hôpitaux, de Sollio Groupe Coopératif, de Promotuel Assurance, d’un ancien sous-traitant du syndicat de la Sûreté du Québec et de municipalités. Mais nombre d’entreprises préfèrent demeurer discrètes et payer les fraudeurs lorsqu’elles en sont victimes pour éviter d’entacher leur réputation. Des petites et moyennes entreprises, dont des cabinets d’avocats, font partie du lot.

Le Groupe national de coordination contre la cybercriminalité de la Gendarmerie royale du Canada (GNC3) ne recommande pas de payer une rançon suite à ce genre d’attaque.

« Le paiement pourrait faire de l’organisation une cible à répétition et encourager les criminels. »

— Une citation de  GNC3

Un fardeau croissant pour les assureurs

Le Bureau d’assurance du Canada indique que les assureurs ont dû débourser 3,71 $ en indemnisations pour chaque dollar de prime perçu pour la couverture de cyberresponsabilité en 2020, contre 99 ¢ un an plus tôt.

Ce n’est pas soutenable pour n’importe quelle compagnie d’assurance, considère Vincent Gaudreau, courtier et vice-président de Gaudreau Assurances. C’est sûr qu’il va y avoir des conséquences sur le marché dans les prochaines années.

M. Gaudreau observe d’ailleurs que les primes augmentent actuellement de 10 à 20 % dans certains dossiers de cyberassurance et que des assureurs rehaussent leurs procédures de souscription. Ils exigent par exemple des entreprises qu’elles aient de meilleurs systèmes de protection tels qu'une authentification multifacteur chez les employés.

Le GNC3 indique avoir reçu 1600 demandes d’aide depuis un an, dont le tiers étaient liées aux rançongiciels. Le GNC3 coordonne les enquêtes de cybercriminalité au pays et collabore avec des partenaires à l’étranger, mais il ne sera pleinement opérationnel qu'en 2023.

Au Service de police de la Ville de Montréal, l’unité de cyberenquêtes a traité 15 dossiers associés aux rançongiciels l’année dernière. Au cours des six derniers mois seulement, le nombre de dossiers a bondi à 27.

Rançongiciels : un fléau qui coûte de plus en plus cher

Une solution complexe

Selon une analyse réalisée par Flare Systems auprès de mille entreprises victimes de rançongiciels l’année dernière, moins de 10 % d’entre elles auraient dévoilé publiquement l’intrusion dans leurs systèmes informatiques.

Le projet de loi 64, actuellement à l'étude à l’Assemblée nationale du Québec, vise à moderniser la protection des renseignements personnels et prévoit une obligation de signalement lorsqu’un incident présente un risque sérieux pour la confidentialité. À Ottawa, une pièce législative semblable (C-11) a également été déposée en novembre dernier.

Flare Systems aide des organisations à protéger leur environnement numérique externe afin de réduire leur surface d’attaques potentielles. Son président, Mathieu Lavoie, insiste sur l’importance d’une bonne hygiène de cybersécurité. Malheureusement, dit-il, la solution, c’est la solution la plus complexe : l’éducation des utilisateurs. Je ne pense pas qu’une solution technologique va régler le problème à 100 %.

En effet, bien souvent, les programmes de type rançongiciel vont s’introduire subtilement dans les systèmes informatiques à la suite, par exemple, de l’ouverture par un employé d’un fichier en pièce jointe dans un courriel en apparence crédible.

« C’est le pont-levis de la forteresse du château qui est descendu et l’accès est donné. Ce n’est pas malicieux. La personne voulait bien faire, mais est tombée dans le piège. »

— Une citation de  Mathieu Lavoie, président, Flare Systems

La cyberattaque qui a paralysé Colonial Pipeline, qui transporte près de 45 % du carburant consommé sur la côte est américaine, a été rendue possible par l’accès sans authentification multifacteur à un vieux réseau privé virtuel (RVP, VPN en anglais) qui permet souvent à des employés de travailler de la maison.

Si Colonial Pipeline a pu reprendre ses opérations et récupérer une partie de la rançon de 4,4 millions de dollars américains versés en bitcoins, le dénouement est souvent autre. La société de cybersécurité Sophos révèle dans son rapport The State of Ransomware 2021 que, dans les faits, seulement 8 % des entreprises ayant payé une rançon ont récupéré la totalité de leurs données.

Sophos rapporte que le nombre d’attaques, globalement, semble avoir diminué en 2021 par rapport à 2020, mais que l’impact financier pour une organisation a plus que doublé à 1,85 millions de dollars américains pendant cette période.

Une prise d’otage numérique

L’émergence des rançongiciels dans la dernière décennie est un fléau sans frontières et opaque. Les attaques proviennent d’individus ou de groupes – parfois soutenus par un gouvernement – ayant des motivations diverses et généralement de la Russie, de la Chine, de la Corée du Nord, de l’Iran, de l’Inde et du Pakistan.

Repérer ces pirates demeure difficile dans ce contexte et le corps policier d’une municipalité se retrouve rapidement à court de ressources. Les progrès technologiques permettent de mieux préserver l’anonymat des cybercriminels, souligne le GNC3, ce qui vient accroître la complexité des enquêtes policières.

Une toute récente cyberattaque de grande ampleur aurait fait des victimes dans plus d’une douzaine de pays ces derniers jours. Une faille de sécurité a permis à un rançongiciel du groupe présumé russe REvil d’infiltrer un système de gestion informatique de l’américaine Kaseya. De nombreuses entreprises dans le monde sont devenues inopérantes. Les caisses enregistreuses de l’une des principales chaînes de supermarchés en Suède ont notamment été bloquées.

Selon une publication sur un blogue qu'il utilise, REvil exige le paiement d’une rançon de 70 millions de dollars en bitcoins en échange d’une clé pour décrypter les fichiers des victimes.

REvil était aussi à l'origine de la cyberattaque, fin mai, contre le géant mondial de la viande JBS, qui a cédé au chantage et payé une rançon de 11 millions de dollars américains aux pirates informatiques.

Montréal se positionne en cybersécurité

La métropole québécoise compte de plus en plus d’entreprises spécialisées en cybersécurité. Parmi les jeunes pousses, Mantle Technologie propose une solution dite de nouvelle génération.

Le président Pascal Leblanc se base sur la chaîne de blocs, cette technologie qui sous-tend les cryptomonnaies, et la transinfonuagique pour sécuriser les données des entreprises en les décentralisant.

Il s’agit de passer les données dans un déchiqueteur, puis de les stocker à des endroits de stockage différents. Advenant qu’un pirate insère un rançongiciel, décrit-il, ce ne sera pas grave parce qu’on pourra reconstruire les données avec les autres fragments accessibles. Un fragment saisi individuellement et crypté ne permettrait pas en revanche d’obtenir des informations pertinentes.

Tout au long du processus d’une cyberattaque, M. Leblanc fait remarquer qu’il y a de l’incertitude : On ne sait pas si les pirates ont vraiment une copie des informations ou s’ils peuvent seulement les verrouiller.

« Le statu quo ne peut plus durer. C’est le temps de se tourner vers des technologies émergentes pour répondre aux problèmes d’hier. »

— Une citation de  Pascal Leblanc, président et fondateur, Mantle Technologie

Mais de nombreuses organisations semblent encore trop peu sensibles à cette guerre invisible. Les gouvernements auraient avantage à accélérer la cadence, selon le président du Groupe RHEA, André Sincennes. Sans l’apport du gouvernement, il est difficile au niveau des plus petites entreprises et même des grands secteurs de l’économie québécoise de bien se préparer.

« Il y a un délai important entre une priorité au niveau gouvernemental, son appréciation, la sensibilisation et la planification financière. »

— Une citation de  André Sincennes, président, Groupe RHEA

Le Groupe RHEA, dont le siège social est en Belgique, est présent dans onze pays, dont le Canada, et offre une technologie bouclier en matière de cybersécurité pour des infrastructures critiques sur la terre comme dans l’espace.

Avec Hydro-Québec, Desjardins, la Banque Nationale, Deloitte, IBM et plusieurs universités, le Groupe RHEA fait partie de Cybereco. Cet organisme se destine à l’accélération du développement de la main-d'œuvre et de solutions technologiques pour une économie prospère et sécuritaire au Québec.

Ce qui fait dire à André Sincennes que la province n’est pas désorganisée en la matière et qu’il s’agit plutôt de débloquer les budgets pour épauler les ministères, les grandes entreprises et les plus petites.

Comme pour une assurance, il est toujours plus difficile d’investir dans ce qu’on ne voit pas. Quand le malheur frappe, les conséquences d’une cybersécurité déficiente peuvent pourtant devenir bien tangibles.

À voir :

STM : La cyberattaque (reportage de l'émission Découverte)

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !