Techno

Sécurité internet: des ministères vulnérables

Le ministre Philippe Couillard vous envoie un courriel. À moi? Ciel! Pas de panique, c'est en fait un pirate informatique qui vous écrit, profitant des failles du site web du ministère de la Santé. Une exception? Pas du tout. Ces experts de la souris ont déjà réussi à parasiter les sites web de la Marine canadienne et du ministère fédéral de la Justice. Entre autres. Mais de nouveaux piratages pourraient aisément survenir, a découvert La Presse.

Publié le 4 oct. 2007

Nicolas Ritoux, collaboration spéciale LA PRESSE

De nombreuses pages web gouvernementales présentent de sérieux risques de piratage informatique, selon des experts qui ont alerté La Presse.

Deux experts ont testé pour nous la sécurité de différents sites web des gouvernements du Canada et du Québec durant le mois de septembre. Parmi eux, 12 pages du fédéral et 13 du provincial présentaient des faiblesses de sécurité qui permettraient facilement à des pirates informatiques d'en prendre le contrôle, et même de s'emparer d'informations confidentielles.

Une page de Strategis, répertoire d'entreprises d'Industrie Canada, affichait par exemple un mot de passe interne au grand jour. Quant au site du ministère de la Santé et des Services sociaux du Québec, on a pu y télécharger un document interne sur l'utilisation de l'internet sans-fil dans le réseau de la santé, tiré directement de son intranet.

Ces pages web «à risque» ont été découvertes à la suite de simples requêtes dans Google, ce qui indique qu'elles existent déjà depuis plusieurs semaines - le temps d'être indexées par le moteur de recherche.

Elles présentent toutes des faiblesses connues des professionnels de la sécurité informatique, qu'il serait facile de réparer, selon Marek Roy de Sekcore, entreprise de Québec qui pratique des tests d'intrusion dans les systèmes de ses clients pour évaluer leur niveau de sécurité.

Des dangers réels

De fait, les pirates ont déjà profité de situations semblables. Selon M. Roy, au moins sept sites gouvernementaux se sont déjà fait pirater au Canada cette année en exploitant exactement ce type de vulnérabilité (voir liste ci contre).

Chaque attaque incluait au moins un «defacement», c'est-à-dire un message laissé par un pirate, par pure bravade, pour indiquer qu'il a pris le contrôle du système. La Presse a pu vérifier en direct le dernier d'entre eux sur le site du Centre de recherche de la défense à Valcartier, mardi 25 septembre.

Ces attaques peuvent se limiter à un simple defacement, mais peuvent aller plus loin si les pirates désirent profiter de la porte ouverte. «Beaucoup de ministères ont des réseaux internes (intranets) liés à leur réseau internet, sans séparation imperméable, explique M. Roy. Il est certainement possible d'utiliser certaines des vulnérabilités qu'on a trouvées pour pénétrer dans leur intranet et s'emparer d'informations confidentielles.»

M. Roy a aussi démontré qu'il est possible de se servir d'une faiblesse de conception du site du ministère de la Santé et des Services sociaux pour envoyer un courriel depuis l'adresse ministre@msss.gouv.qc.ca. L'en-tête détaillé du courriel indiquait correctement la provenance du serveur de courriel du ministère, pouvant laisser croire à n'importe qui qu'il s'agit bien d'un message envoyé par le bureau du ministre de la Santé, Philippe Couillard. Un exemple inquiétant de ce que des esprits malveillants pourraient faire avec quelques connaissances en informatique.

Nul n'est à l'abri

Même le site de la GRC présentait une vulnérabilité dans les pages web de son journal interne, la Gazette, qui aurait pu permettre à des criminels de s'y introduire. La GRC a d'ailleurs immédiatement réagi à notre appel en corrigeant la situation, de même qu'Industrie Canada et les Forces armées canadiennes (deux pages repérées dans chaque site).

«Nous promettons de modifier nos pratiques pour tenir compte de cette découverte», a déclaré Caroline Grondin, porte-parole d'Industrie Canada, en ajoutant qu'une équipe du ministère est dédiée aux mises à jour de sécurité sur le serveur situé à Ottawa, en fonction des informations envoyées par différents fournisseurs.

Les Forces armées emploient quant à elles deux équipes travaillant en parallèle pour assurer la sécurité, l'une en cherchant les «trous», et l'autre en les réparant, selon le lieutenant-colonel Michel Drapeau, commandant du Centre d'opération des réseaux à Ottawa.

En revanche, d'autres ministères ou agences que nous avons contactés n'ont pas jugé la situation problématique. Certaines pages signalées sont d'ailleurs encore actives à l'heure de mettre sous presse.

Une situation jugée «normale»

La porte-parole du ministère de la Santé, Dominique Breton, a indiqué que les vulnérabilités dans son site étaient un «problème mineur». Quelques heures plus tard, nous recevions le fameux «vrai-faux courriel» du bureau de son ministre.

Au ministère du Développement économique, de l'innovation et de l'exportation, deux pages problématiques signalées par La Presse ont été qualifiées de «comportement normal et attendu» par la porte-parole, Lucette Bouchard, qui a d'abord consulté la personne responsable de la sécurité des sites du ministère. «Les adresses de ces pages sont mal formées et les messages d'erreur affichés sont ceux attendus.»

C'est précisément cela le problème, selon Marek Roy. Ce sont ces messages d'erreur que recherchent les pirates en formulant des adresses délibérément invalides. Cette information peut leur donner des outils pour prendre le contrôle du site et y faire ce que bon leur semble.

«Les pirates qui font de simples defacements en modifiant une page web, ce n'est pas trop méchant et c'est facile à repérer, indique Marek Roy. Mais d'autres vont plus loin en pénétrant le système de façon plus poussée. C'est eux dont il faut avoir peur. Ils ne font pas de bruit et peuvent rester là longtemps sans qu'on le sache.»

Selon M. Roy, il n'en coûterait pas très cher aux gouvernements pour mettre en place des pratiques nécessaires à une correction plus rapide de ces problèmes. «Il s'agit avant tout d'un problème d'éducation sur les dangers de ces vulnérabilités. Elles ne sont pas prises assez au sérieux», juge-t-il, en précisant que des problèmes similaires arrivent fréquemment dans les sites gouvernementaux d'autres provinces ou pays.

Techno En continu

Techno

Chine Apple retire à la demande des autorités les applications WhatsApp et Threads

(Pékin) Apple a retiré WhatsApp et Threads de sa boutique d’applications en Chine à la demande des autorités, rapporte vendredi l’agence Bloomberg qui cite le groupe américain Meta, propriétaire des deux programmes visés.

Publié à 6h46
Techno

Meta met le turbo dans l’intelligence artificielle générative avec Llama 3

(San Francisco) Meta (Facebook, Instagram) assure que Meta AI, son assistant d’intelligence artificielle (IA) générative, est désormais plus performant grâce à la nouvelle version de son modèle de langage Llama 3, dévoilé jeudi pour faire concurrence aux autres géants de la technologie.

Mis à jour hier à 21h37
Techno

Les créateurs devraient divulguer l’usage de l’IA, affirme la sœur de Mark Zuckerberg

(Toronto) Randi Zuckerberg dit croire que les créateurs devraient commencer à révéler s’ils ont utilisé l’intelligence artificielle pour produire des œuvres, car il est « de plus en plus difficile de dire ce qui est réel ».

Mis à jour hier à 15h26
Techno

Les modèles actuels d’IA ne sont « pas parfaits », admet le DG de Google News

(Pérouse) Shailesh Prakash, directeur général de Google News, a reconnu jeudi que les modèles actuels d’intelligence artificielle « ne sont pas parfaits du tout » mais « progressent rapidement », quelques semaines après la suspension d’un outil par le groupe américain pour cause d’inexactitudes historiques.

Publié hier à 14h26
Techno

Telegram revendique près de 900 millions d’utilisateurs

(Dubaï) La messagerie Telegram compte près de 900 millions d’utilisateurs et devrait franchir la barre du milliard d’ici un an, a affirmé son patron dans une interview publiée mercredi.

Publié le 17 avril
Techno

Jeux vidéo La série Fallout stimule les ventes des jeux vidéo qui l’ont inspirée

(Paris) Le succès de la série américaine Fallout, sortie jeudi sur Prime Video et adaptée d’une franchise vidéoludique très populaire, donne un coup de fouet aux ventes des jeux de la saga plusieurs années après leurs sorties.

Publié le 16 avril
Techno

Les nouveaux utilisateurs de X devront payer pour publier des messages, selon Musk

(Paris) Les nouveaux utilisateurs de X devront payer de « petits frais » pour publier sur la plateforme pendant une durée de trois mois, a suggéré lundi soir le patron du réseau social, Elon Musk, dans un message.

Publié le 16 avril
Techno

L’IA, une nouvelle frontière semée d’embûches pour le Japon

(Tokyo) Le Japon, aidé par la méfiance grandissante des Occidentaux envers la Chine, cherche à revenir à la pointe de la course technologique mondiale, y compris dans l’intelligence artificielle (IA). Mais de sérieux obstacles se présentent, comme sa culture d’entreprise dépassée.

Publié le 12 avril
Techno

iPhone Apple va corriger un bogue associant le drapeau palestinien à Jérusalem

(San Francisco) Apple a indiqué jeudi être au courant d’un bogue informatique sur les iPhone signalé par des utilisateurs : quand ils cherchent un émoticône pour illustrer un message, l’entrée « Jérusalem » donne comme résultat le drapeau palestinien.

Publié le 11 avril
Techno

Instagram veut mieux protéger les mineurs du chantage aux photos intimes

(Paris) Alors que les réseaux sociaux sont régulièrement accusés de ne pas suffisamment protéger les mineurs en ligne, Meta a annoncé jeudi de nouvelles mesures sur Instagram pour protéger les jeunes du chantage aux photos de nu.

Publié le 11 avril
Techno

Vie numérique Google restreint son forum de discussion interne

(San Francisco) Depuis près de 14 ans, un forum de discussion en ligne appelé Memegen sert de « soupape virtuelle » aux employés de Google. Un lieu où les employés ont pu critiquer sans ménagement leurs patrons ou faire de l’humour grinçant sur les suppressions d’emplois, mais cette liberté a fait monter un peu trop la température pour la direction.

Mis à jour le 10 avril
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 10 avril
01:04

Techno

Jeux vidéo World of Warcraft et Overwatch vont retrouver la Chine

(Shanghai) World of Warcraft et d’autres jeux vidéo à succès comme Overwatch 2 vont revenir en Chine dès cet été, ont annoncé mercredi leur développeur américain et son partenaire local, plus d’un an après leur retrait en raison d’un différend.

Mis à jour le 10 avril
Techno

Symposium Métavers et santé La techno dans la peau

Que va faire Meta des milliards de données récoltées lors d’échanges en télémédecine ? Un étudiant formé avec un casque de réalité virtuelle sera-t-il aussi compétent ? Et quels sont les effets sur la santé mentale des jeunes des réseaux sociaux et des jeux vidéo ?

Mis à jour le 10 avril
Techno

Microsoft va investir près de 3 milliards dans l’intelligence artificielle au Japon

(Washington) Microsoft a annoncé mardi qu’il allait investir 2,9 milliards de dollars au cours des deux prochaines années au Japon afin de soutenir l’avancée du pays dans l’intelligence artificielle (IA).

Publié le 9 avril
Techno

Le jeu très attendu Star Wars Outlaws d’Ubisoft sortira le 30 août

(Paris) Le très attendu Star Wars Outlaws, jeu vidéo dérivé de la saga créée George Lucas, sortira le 30 août, a annoncé mardi Ubisoft en dévoilant une bande-annonce.

Publié le 9 avril