Le monde à la merci des hackers?

Le Québec est très en retard sur le... (Le Soleil, Yan Doublet)

Agrandir

Le Québec est très en retard sur le reste du monde en ce qui concerne le danger du piratage informatique, signale Patrick Mathieu, organisateur du HackFest de Québec.

Le Soleil, Yan Doublet

Partage

Partager par courriel
Taille de police
Imprimer la page

(Québec) Mine de rien, il y a pas mal de pirates informatiques qui ont ajouté de très, très gros trophées de chasse à leur collection récemment...

Les courriels de Hillary Clinton. Ceux du directeur de la CIA, John Brennan, l'an dernier. Cet été, un serveur du Comité national du Parti démocrate a été complètement éventé. Il y a deux semaines, ce fut au tour du directeur de campagne de Mme Clinton, John Podesta, de voir sa correspondance électronique atterrir sur le site WikiLeaks. Quand on pense aux secrets d'État que des gens si hauts placés peuvent échanger, la liste a quelque chose de totalement irréel.

Mais comment cela est-il possible? Comment l'entourage immédiat d'une potentielle présidente des États-Unis et le patron de l'espionnage américain peuvent-ils être à ce point vulnérables? Sont-ils mal conseillés, négligents, ou les pirates sont-ils tout simplement impossibles à arrêter?

Il y a sans doute un peu des deux, disent tous les experts auxquels Le Soleil a soumis la question. «La plus grande vulnérabilité de tout système d'information, c'est toujours le facteur humain, que ce soit accidentel ou volontaire», dit Marc-André Léger, qui enseigne la sécurité informatique à l'Université de Sherbrooke.

Ainsi, il a été démontré que Mme Clinton avait utilisé un compte personnel et un serveur privé et fort mal sécurisé à sa résidence lorsqu'elle était secrétaire d'État afin d'envoyer ses courriels, dont certains contenaient des documents sensibles. Les règles du gouvernement stipulent pourtant que seuls des serveurs gouvernementaux et dûment sécurisés peuvent être utilisés. Mais il a aussi été révélé en début d'année que beaucoup de hauts placés américains, tant dans le gouvernement Obama que dans l'administration républicaine précédente, ont des comportements semblables.

Mais il n'y a pas que des erreurs humaines dans ces histoires de piratage, poursuit M. Léger, «un ordinateur impossible à hacker, ça n'existe pas. [...] Tout ordinateur branché à Internet peut être piraté. C'est une question de mettre l'énergie et le temps qu'il faut pour entrer dans le système».

En conjuguant technique et faiblesse humaine, les «trous» potentiels qu'un pirate peut exploiter sont pratiquement innombrables, dit-il. Même aux plus hauts niveaux du pouvoir.

Comme de la magie

«C'est comme les tours d'un magicien : quand on les voit, c'est très impressionnant, puis quand on comprend le truc, on se dit : "Ah, c'était juste ça." C'est pareil quand on fait le post-mortem [d'une intrusion informatique] et qu'on regarde les brèches. C'est rarement très compliqué. Habituellement, c'est au contraire quelque chose de vraiment simple, et on se dit après coup : "Wow, c'était vraiment stupide"», explique Éric Parent, qui possède la boîte de sécurité informatique LogicNet et qui donne des cours dans ce domaine à l'École polytechnique de Montréal.

Les brèches peuvent être de toutes les sortes. «En théorie, c'est vrai que ça prend un mot de passe pour avoir accès à un serveur. Mais en pratique, ça dépend. Peut-être que le mot de passe de l'administrateur est très facile à deviner, on peut utiliser un outil qui va, par exemple, essayer tous les mots du dictionnaire et éventuellement le trouver», dit M. Léger.

Et s'il est vrai que beaucoup de machines bloquent l'accès à un ordinateur après trois essais ratés, un pirate organisé et déterminé peut avoir déjà pris le contrôle de milliers d'ordinateurs personnels et les faire essayer chacun trois clés différentes, signale Patrick Mathieu, consultant en sécurité informatique et organisateur du HackFest, gros congrès (et concours) sur le piratage qui a lieu à Québec chaque année.

«Écouter» le Wi-FI

En outre, la multiplication des instruments Wi-Fi a ouvert de nouvelles portes pour les pirates parce qu'ils sont très faciles à «écouter», disent nos trois experts. 

«Il y a des logiciels gratuits qui sont faits pour analyser ce qui se passe sur le réseau d'une entreprise et qui vont écouter tout ce qui se "dit" dans un réseau Wi-Fi. Mais bien sûr, ça peut être utilisé de façon malicieuse», dit M. Mathieu.

Souvent, dit-il, les réseaux sans fil offerts dans les cafés et les restaurants ne sont pas sécurisés - la connexion entre le routeur et chaque client n'est pas encryptée. N'importe qui peut donc «écouter» ce que font les clients de l'endroit sur Internet, pourvu d'être sur place (le Wi-Fi ne se rend pas loin). Si l'un d'eux se sert de ce réseau pour accéder à son courriel, son mot de passe peut alors être «entendu». Et comme peu de gens ont l'habitude d'utiliser plusieurs mots de passe différents...

On ne saura sans doute jamais comment tous ces courriels de proches de Mme Clinton ont été piratés, mais cela peut être aussi «nono» qu'un resto proche de bureaux du Parti démocrate dont le sans-fil est mal sécurisé...

Et quand les failles techniques sont trop étroites ou trop longues à exploiter, les pirates peuvent toujours se rabattre sur le «facteur humain», comme dit M. Léger, que le milieu du piratage appelle pudiquement l'«ingénierie sociale». «C'est un des moyens les plus utilisés, dit M. Mathieu. Ça peut être d'envoyer des e-mails qui incitent à cliquer sur un lien [un logiciel malicieux s'installe alors et «vole» les mots de passe] ou d'autre chose. Dans les tests en entreprise que je fais, quand on ne réussit pas à trouver une faille informatique dans un temps donné, il suffit souvent d'un coup de téléphone, et le tour est joué. Ça peut être aussi simple que ça. Ça ne marche pas à toutes les fois, mais j'ai vu des tests en entreprise où on obtenait des taux de réussite de 100 % [pour obtenir des informations permettant à un pirate informatique d'entrer dans le système] sur des dizaines de personnes. Des fois, c'est juste 50 %, mais ce n'est jamais zéro, malheureusement. L'humain est fait pour faire confiance. Tu dis que tu travailles au soutien informatique et si ton histoire fait du sens dans le contexte de cette entreprise-là, généralement, la personne va te donner son mot de passe.»

Et quand on multiplie tout cela par le nombre de personnes qu'il y a dans l'entourage d'un chef d'État, ceux des ministres et les hauts fonctionnaires, on arrive à la même conclusion que M. Parent : «C'est impossible d'éliminer tous ces risques-là.» La seule chose que l'on peut faire, dit-il avec M. Mathieu, c'est d'allonger suffisamment le travail des pirates pour qu'ils choisissent d'autres victimes...

Le Québec insouciant à l'égard du danger

«On voit tellement d'aberrations dans les systèmes informatiques des entreprises et du gouvernement, des choses de base, de la sécurité 101 qui n'est juste pas prise en compte.»

La spécialiste de la sécurité informatique Patrick Mathieu est souvent découragé par ce qu'il voit chez ses clients : une sorte d'insouciance à l'égard du danger que peut poser le piratage informatique. Le Québec, dit-il, est en retard sur le reste du monde à cet égard, et il n'est pas le seul à le penser.

«Pour avoir des clients à l'international, je dirais que ça vaut pour le Canada en entier», dit un autre expert en sécurité informatique, Éric Parent. «Au Québec, les entreprises anglophones sont peut-être un peu plus conscientes du danger, mais elles ne font rien. Les compagnies francophones sont moins alertes, mais quand elles réalisent le risque, elles agissent plus, alors ça s'équivaut. Mais on est très en retard comparé aux États-Unis, où les compagnies sont habituées de se faire attaquer ou de se faire poursuivre pour négligence.»

M. Parent a d'ailleurs fait le test, il y a quelque temps : aller faire un tour sur le Dark Web, cette face cachée et criminelle d'Internet, et magasiner des mots de passe ou des failles dans les systèmes informatiques de compagnies québécoises. Il a rapidement trouvé un pirate prêt à lui vendre trois codes d'accès - «garantis» pendant 30 jours, d'ailleurs : en cas d'échec, le pirate était capable d'en avoir d'autres rapidement - d'une grande chaîne québécoise que M. Parent refuse de nommer. Le tout pour un bitcoin.

Il a fallu que M. Parent insiste beaucoup auprès de plusieurs personnes pour que l'entreprise finisse par engager un consultant, mais le travail fut manifestement plus cosmétique qu'autre chose. «Ils ne m'ont jamais rappelé pour connaître la séquence que j'avais faite et quels employés étaient compromis», déplore-t-il.

Quelques mois plus tard, M. Parent a réessayé les trois mots de passe. Aucun n'avait été changé...

Quelques noms du piratage...

Guccifer

Marcel Lazar Lehel, de son véritable nom, est un pirate informatique roumain célèbre. On lui attribue le piratage de courriels de l'ancien général et secrétaire d'État américain Colin Powell ainsi que de Sydney Bumenthal, un proche de la famille Clinton. Il a écopé de sept ans de prison en Roumanie en 2014, puis fut déporté aux États-Unis, qui l'ont condamné à 52 mois en septembre de cette année.

Guccifer 2.0

Émule de Guccifer, ce «2.0» est pour l'instant inconnu. Il affirme sur son blogue (guccifer2.wordpress.com) être d'origine est-européenne mais vivre ailleurs. Il revendique le piratage du Comité national démocrate, l'été dernier, mais des doutes subsistent à cet égard. En fait, dans le monde constamment embrouillé de l'espionnage et du piratage, certains supputent que Guccifer 2.0 n'est en fait personne - seulement une fausse piste créée par les renseignements russes. Allez savoir...

HackFest

Pas un groupe de pirates à proprement parler, il s'agit de la plus grosse conférence (dans son genre) en sécurité informatique au Canada, et elle a lieu à Québec chaque automne. Son organisateur Patrick Mathieu attend environ 700 personnes cette année. Parmi les activités figure un concours de piratage - légal, bien sûr - sur des systèmes «fictifs» mis sur pied par le HackFest. Information : hackfest.ca

Partager

publicité

publicité

la liste:1710:liste;la boite:91290:box

En vedette

Précédent

publicité

la boite:1608467:box; tpl:300_B73_videos_playlist.tpl:file;

Les plus populaires : Le Soleil

Tous les plus populaires de la section Le Soleil
sur Lapresse.ca
»

CONTRIBUEZ >

Vous avez assisté à un évènement d'intérêt public ?

Envoyez-nous vos textes, photos ou vidéos

Autres contenus populaires

image title
Fermer