Techno

« Les cybercriminels cherchent des proies faciles »

PHOTO HUGO-SÉBASTIEN AUBERT, LA PRESSE

Guillaume Clément, associé chez KPMG, qui coordonne la cybersécurité de quelque 250 entreprises au Canada

Des cybercriminels spécialisés, certains trouvant les failles et d’autres les monnayant. Une seule vulnérabilité, celle des serveurs Microsoft Exchange, qui représente les deux tiers des attaques des derniers mois. Et des milliers d’entreprises qui ont été victimes d’une intrusion informatique sans le savoir. Bienvenue dans le monde de Guillaume Clément, associé chez KPMG, qui coordonne la cybersécurité de quelque 250 entreprises au Canada, et qui a accordé une rare entrevue à La Presse. Son objectif : déboulonner certains mythes sur les pirates informatiques.

Publié le 18 oct. 2021

Karim Benessaieh La Presse

Dressez-nous d’abord un portrait de la situation. Quelles cyberattaques touchent les entreprises en ce moment ?

Pour les 18 derniers mois, on est intervenus pour à peu près 125 évènements majeurs au Québec et au Canada. Dans un fort pourcentage, ce sont des cyberextorsions, donc utilisant un rançongiciel où il y avait demande de rançon au bout du compte.

Récemment, la source initiale de compromission était la fameuse faille sur les serveurs Microsoft Exchange, qui est l’ancêtre d’Office 365, le fameux serveur de courriels qui était implanté dans 98 % des entreprises. À l’époque, tout le monde avait des serveurs Exchange et il y a encore des reliquats, il y a encore des entreprises qui ont des serveurs Exchange en production.

Dans les trois ou quatre derniers mois, les deux tiers des attaques de type rançongiciel ou cyberextorsion ont été menées par l’entremise de cette faille, qui existe dans le code depuis longtemps, mais qui a été découverte et démocratisée cette année. Juste un peu avant, il y avait des failles dans les pare-feu. C’est un mixte, souvent, c’est un contexte, ce n’est pas toujours une faille qui est exploitée, une seule faiblesse. C’est souvent un cumul de faiblesses qui va mener au succès d’une attaque.

Vous parlez d’une faille « démocratisée ». Donc, à partir du moment où elle a été rendue publique, ça a entraîné une deuxième vague de pirates qui l’ont découverte et se sont approprié les outils pour l’exploiter ?

Exactement. Chez les cybercriminels, il y a divers groupes d’acteurs. Il y en a qui vont se spécialiser pour compromettre des actifs et installer une porte dérobée. C’est comme un VPN inversé, un logiciel installé sur la machine qui, elle, contacte le serveur de l’attaquant, ou carrément s’affiche sur l’internet en disant : « Voici, c’est une porte ouverte. » Souvent, les attaquants vont installer une porte dérobée et vont ensuite revendre cet accès à d’autres groupes qui, eux, vont l’exploiter.

Il y a donc une spécialisation des tâches chez les cybercriminels ?

Oui, on peut dire ça. Il y a différents groupes d’acteurs. Il y en a qui vont même développer des outils, des services, le « rançongiciel comme un service », qui vont te louer ou te prendre une commission sur les outils que tu vas utiliser. C’est un outil, une plateforme web aussi. Quand tu demandes une rançon, tu laisses un lien, tu as quelqu’un qui se connecte, tu vas aller sur un beau portail avec une salle de clavardage. Si tu veux avoir du succès dans le monde de la cybercriminalité, il ne suffit pas d’avoir les compétences et certains outils. Quand on veut monnayer une attaque ou un vol de données, c’est un peu plus complexe. Quand tu pars à zéro au moment où tu as monnayé, ça peut être relativement complexe si tu es mal outillé. C’est pour ça qu’il y a maintenant des groupes qui vont se spécialiser pour monter des services, des coffres à outils. Tu vas avoir tout ce qu’il te faut pour commettre ton crime de façon extrêmement fluide.

Arrive-t-il dans vos interventions que vous tombiez sur des entreprises qui ont déjà été compromises, mais chez lesquelles l’attaque n’était pas allée loin ?

Oui, ça arrive souvent. Dans plus de 50 % des dossiers, voire 60 %, on découvre que l’entreprise a déjà été victime d’une intrusion, d’une cyberattaque. Certaines ont été dommageables, mais c’était restreint. Parfois l’entreprise ne l’a pas dit ou ç’a été oublié. Des fois, ça ne s’est pas manifesté non plus. Pourquoi ? On constate qu’il y a eu intrusion, l’intrus a pris le contrôle de certaines machines ou a installé des logiciels de cryptage, a peut-être volé de la donnée, mais on ne le sait pas. Qu’est-ce qui explique ça ? Ça peut être une attaque qui est relativement automatisée, et les premières étapes ont échoué et l’attaquant n’a pas continué manuellement. Peut-être que l’attaquant s’est cogné le nez, il n’était pas assez expérimenté, pas assez outillé, qu’il a tout simplement abandonné. Ça peut être tout simplement par manque de temps, par manque d’intérêt.

Comment peut-on se protéger, considérant évidemment que le risque zéro n’existe pas ?

Il y a des classiques. L’authentification multifacteur, sur tous les services d’accès à distance et infonuagiques.

Il faut aussi une bonne protection antivirale. On parle beaucoup de protection Endpoint Detection and Response (EDR). Ce sont des antivirus de nouvelle génération, une solution de haute qualité, de protection des appareils et des serveurs, c’est super important. On ne parle plus d’antivirus classiques.

La clé, c’est d’avoir une copie de sauvegarde qui n’est pas connectée au réseau. Il ne faut pas que l’attaquant puisse toucher à ces sauvegardes-là.

Êtes-vous optimiste pour l’avenir ?

Oui, honnêtement, depuis deux ou trois ans, il y a vraiment eu une amélioration fulgurante. Il reste beaucoup de choses à faire dans certaines entreprises. Mais je pense qu’il y a de moins en moins de proies faciles, fondamentalement. La plupart des attaques sont opportunistes, c’est rarement ciblé, de façon proactive. Les cybercriminels visent à faire de l’argent facile. Si tu es le moindrement pas dans la catégorie des proies faciles, ils vont sûrement aller ailleurs.

Ce qui nous fait mal, actuellement, ce sont des failles critiques soudaines, comme Exchange, et il va y en avoir d’autres. Mais les forces sont pas mal égales. Il faut faire attention, les attaquants vont s’ajuster. Il y a trop d’argent à faire pour qu’ils baissent les bras. Ils vont se retrousser les manches pour continuer leur festin.

Par souci de lisibilité et de concision, cette entrevue a été éditée.

En chiffres

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Les pirates informatiques procèdent souvent à des cyberextorsions. Ils utilisent un rançongiciel et demandent une rançon au bout du compte.

18 milliards US

Total minimal estimé des rançons versées dans le monde en 2020, le total maximal étant estimé à 74 milliards US, pour 506 185 demandes. (Source : rapport 2021, EMSISoft)

4000

Nombre estimé d’attaques par rançongiciel en 2020 au Canada. On évalue les demandes totales de rançons entre 202 et 703 millions. (Source : rapport 2021, EMSISoft)

De 5 à 10 %

Estimation des cybercrimes et fraudes qui sont signalés à la police au Canada. (Source : GRC)

35 %

Pourcentage d’attaques informatiques dans le monde en 2020 exploitant une vulnérabilité, comme celle de Microsoft Exchange. Pour la première fois cette année-là, cette catégorie a dépassé celle de l’hameçonnage. (Source : X-Force Threat Intelligence Index 2021, IBM)

123 millions US

Gains estimés en 2020 du rançongiciel le plus actif, Sodinokibi, qui représenterait à lui seul 22 % des évènements rapportés dans le monde. (Source : X-Force Threat Intelligence Index 2021, IBM)

Quatre constats

Crime organisé

Difficile de croire que le crime organisé classique, des mafias aux bandes de motards criminels en passant par les triades, ne soit pas appâté par une activité plusieurs fois milliardaire. « C’est clair que certains groupes investissent en cybercriminalité, estime Guillaume Clément, associé chez KPMG. Deux mondes se rencontrent : on a les cybercriminels de métier, qui ont vu le jour sous cette forme, et le criminel plus généraliste, classique, qui s’est intéressé ou a investi. Il faut aussi constater que quand on commet un cybercrime, c’est beaucoup moins risqué de se faire prendre que dans les cas d’autres crimes plus physiques. »

Rançons

Une entreprise dont les données ont été dérobées et cryptées devrait-elle payer la rançon demandée ? Le tiers, voire les deux tiers d’entre elles le feraient, selon diverses estimations. « Souvent, quand on conseille les organisations, on leur dit d’emblée qu’à la base, on ne paie pas de rançon, explique M. Clément. Après ça, par contre, une fois que tu as mis la morale de côté, tu prends une décision d’affaires en analysant le temps que ça va prendre pour revenir en vie, les efforts et les coûts pour ramener les données perdues... »

Crédibilité

Contre toute attente, les cyberpirates qui vous ont crypté et volé vos données vont généralement respecter leur parole une fois la rançon encaissée. C’est un constat qu’on fait sans fausse honte chez KPMG. « C’est très complexe comme prise de décision, mais oui, ils sont de parole, relativement. Le problème, à la base, c’est qu’on a créé un monstre. Les cybercriminels ont développé un modèle d’affaires parce qu’ils étaient capables d’avoir du volume. Si plus personne ne payait de rançon, que les assureurs ne couvraient plus, leur modèle d’affaires exploserait. Ils ont intérêt à être de parole. »

Hameçonnage

Et le bon vieil hameçonnage, dans tout ça ? Loin d’avoir disparu, puisqu’il représenterait grosso modo 31 % des attaques dans le monde, il serait cependant devenu plus difficile. « Les antivirus sont meilleurs, la protection des appareils est meilleure, estime l’expert en cybersécurité. Envoyer un fichier Word ou Excel corrompu, qui est malicieux, qui prend le contrôle de ton poste de travail sans que je me fasse bloquer, c’est de plus en plus difficile. C’était facile il y a quelques années, quelques mois encore. Alors, ils s’orientent vers autre chose. Mais ça va revenir, ce sont des cycles. »

Techno En continu

Techno

Sony forcé de faire machine arrière face à la révolte des joueurs de Helldivers 2

(Paris) En voulant imposer aux joueurs PC de « Helldivers 2 », un jeu de tir coopératif très populaire, de s’inscrire sur son service en ligne Playstation Network, le géant du jeu vidéo Sony a provoqué une fronde qui l’a poussé à revenir sur sa décision.

Publié à 8h57
Techno

États-Unis Des démocrates critiquent la politique publicitaire de Meta

(Atlanta) Plusieurs démocrates ont envoyé une lettre à la société mère de Facebook, lui demandant de cesser d’autoriser les publicités prétendant que l’élection présidentielle de 2020 a été volée.

Publié le 3 mai
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 1^er mai
Techno

Robots tueurs Le « moment Oppenheimer » de l’intelligence artificielle

Si les gouvernements souhaitent contrôler l’émergence d’une nouvelle génération de machines de mort dotées d’intelligence artificielle (IA), il est minuit moins une. C’est l’avertissement qui leur a été lancé lundi.

Mis à jour le 1^er mai
Techno

Vie numérique Le grand ménage techno du printemps

Il n’y a pas que le garage ou la cour qui ont besoin d’un bon ménage du printemps. Vos appareils, particulièrement les ordinateurs, les téléphones et plus globalement votre réseau internet, méritent de temps en temps quelques soins pour retrouver leur rapidité. Voici neuf conseils, trois pour chaque département, récoltés auprès de connaisseurs.

Mis à jour le 1^er mai
Techno

Beats Solo 4 Le compromis chirurgical de D^rDre

Le casque d’écoute Beats Solo 4 a de quoi rendre perplexes les critiques. Totalement intégré à l’écosystème Apple, il est remarquable par sa portabilité, son autonomie de 50 heures et la précision du son. Mais cette précision confine à la sécheresse, il n’est pas recommandé dans des environnements bruyants et sa configuration est minimale.

Publié le 30 avril
Techno

Sonicare DiamondClean Smart 9350 Un mentor pour les dents

Sans être aussi bardée de fonctions que ses rivales haut de gamme d’Oral-B, la brosse à dents électriques Sonicare DiamondClean Smart 9350 a quelques atouts bien à elle : un brossage guidé, des avertissements clairs pour les étapes et, coquetterie, un socle-chargeur en forme de verre.

Publié le 29 avril
$Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯$

Techno

Qui pourrait acheter TikTok ? ¯\_(ツ)_/¯

La loi signée mercredi par le président Biden donne à TikTok un an pour trouver un propriétaire non chinois, sous peine d’être interdit aux États-Unis. Cet ultimatum au propriétaire de TikTok, le géant techno chinois ByteDance, semble simple. Mais ce n’est pas le cas. Voici trois questions auxquelles il n’y a pas de réponse claire.

Mis à jour le 27 avril
01:16

Techno

Le fabuleux destin de Kabosu, chienne star emblème du dogecoin

(Sakura) La chienne d’Atsuko Sato est devenue mondialement célèbre avec une photo qui a inspiré une vague de blagues décalées en ligne et l’emblème du dogecoin, une cryptomonnaie créée à l’origine pour plaisanter, mais dont Elon Musk s’est entichée.

Publié le 26 avril
Techno

Les États-Unis rétablissent l’accès égalitaire à internet, aboli par Trump

(Washington) L’autorité américaine des télécoms a décidé jeudi de rétablir le principe de « neutralité du net », qui garantit l’accès égalitaire à internet et que l’administration Trump avait aboli.

Publié le 25 avril
Techno

Critique de la Kobo Libra Colour En couleur et en autonomie

Pour la première fois en près de 14 ans, Kobo lance une liseuse couleur, la Libra Colour, avec une autonomie nettement améliorée. On ne confondra pas son processeur avec celui d’un iPad, mais l’évolution est notable.

Publié le 25 avril
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 24 avril
Techno

Union européenne TikTok Lite suspend ses récompenses accusées de susciter la dépendance

(Bruxelles) Le réseau social TikTok a annoncé mercredi qu’il suspendait « volontairement » la fonction de sa nouvelle application TikTok Lite qui récompense les utilisateurs pour le temps passé devant les écrans, accusée dans l’UE de susciter la dépendance.

Mis à jour le 24 avril
01:09

Techno

En Chine, des cours de TikTok pour mieux exporter

(Canton) Dernier jour de cours d’une session de deux semaines dédiées à TikTok : vêtues de hijabs et d’abayas par-dessus leurs shorts et débardeurs, des étudiantes chinoises se filment et s’entraînent à vendre des vêtements sur l’application mondialement connue.

Publié le 24 avril
Techno

Vie numérique Vous pouvez maintenant discuter avec Facebook

Apparemment, les gens publient moins sur Facebook et Instagram, alors Meta ajoute une nouvelle fonctionnalité : un robot d’intelligence artificielle (IA), et vous pouvez discuter avec lui.

Mis à jour le 24 avril
Techno

« Souveraineté culturelle et géants numériques » « Nous sommes des nains de jardin »

Il faudrait 32 millions d’écoutes sur Spotify pour qu’un artiste québécois récolte l’équivalent de la vente de 40 000 albums. Les plateformes numériques sont « des voitures qu’on met sur la route pour lesquelles on regarde le nombre de morts avant d’intervenir ». Et les petites nations, comme le Québec ou la Belgique, sont « des nains de jardin » devant le rouleau compresseur des Netflix, Facebook et autres Google.

Mis à jour le 24 avril