Le mois dernier, une vague de cyberattaques lancées par un groupe d’hacktivistes prorusses prenait pour cible une vingtaine de sites web canadiens, comme celui du premier ministre Trudeau ou d’Hydro-Québec. Spectaculaires, de tels incidents ne constituent néanmoins que la partie émergée du grand iceberg de l’insécurité numérique au Canada.
« Dans l’espace, on ne vous entend pas crier », avertissait en 1979 l’affiche du film de Ridley Scott Alien. Coup de génie publicitaire, cette habile accroche devait évoquer aux cinéphiles d’alors la solitude et l’angoisse de l’individu face à un territoire immense, obscur et – comme les spectateurs allaient le découvrir – hostile. Plus de 40 ans plus tard, la formule demeure évocatrice et ne manque pas d’inspirer des parallèles avec un autre univers, plus accessible, mais recelant lui aussi son lot de périls : le cyberespace.
En effet, à en juger par les gros titres, le « techno-optimisme » qui nous a longtemps guidés semble chaque jour un peu plus contredit par la dure réalité de l’univers numérique : cyberattaques, désinformation virale, vols de données, trolling et cyberintimidation, technologies de surveillance… le cyberespace actuel paraît à mille lieues des promesses humanistes que lui prêtaient ses pionniers. Tel le « huitième passager » de Ridley Scott, l’insécurité numérique guette de plus en plus de voyageurs du cosmos virtuel. Et on ne les entend pas tous crier.
Militants épiés, entreprises piratées
Certes, les actes virtuels malveillants ne manquent pas de défrayer occasionnellement la chronique, à l’instar des récentes cyberattaques des hacktivistes prorusses.
Pour chaque cyberattaque publicisée, des dizaines d’autres restent largement étouffées par l’immensité et l’opacité du cyberespace.
Terre de furtivité et d’anonymat, il offre à différents acteurs, qu’ils soient criminels ou étatiques, la possibilité de nuire à d’autres de manière discrète, à bonne distance et bien souvent en toute impunité.
Depuis 2020, notre équipe de recherche à l’Observatoire des conflits multidimensionnels répertorie et analyse par exemple les cyberincidents à caractère géopolitique ayant touché le Canada. Ces efforts ont permis d’en recenser – sans prétention à l’exhaustivité – pas moins de 97 depuis 2010, dont 14 pour la seule année 20221. Visant aussi bien des entités gouvernementales que des entreprises privées, le monde universitaire ou des acteurs de la société civile, ces actions restent pour l’heure souvent inconnues du grand public. Elles affectent pourtant la vie quotidienne de nombreuses personnes au Canada.
En novembre 2022, on apprenait par exemple que des membres de la diaspora iranienne établis au Canada faisaient l’objet d’une campagne de cybersurveillance et d’intimidation du régime de Téhéran, en marge du mouvement de protestation qui secoue la République islamique. Auparavant, en 2021, on découvrait que des pirates du renseignement chinois avaient potentiellement compromis plusieurs centaines d’organisations canadiennes, au cours d’une vaste campagne de cyberespionnage instrumentalisant le logiciel Microsoft Exchange. Plus récemment, début avril, une fuite d’informations révélait que des pirates informatiques prorusses auraient compromis les systèmes de gestion de pipelines d’une compagnie pétrolière canadienne, en vue (affirmaient les malfaiteurs) de pouvoir déclencher un accident industriel.
Parler pour pouvoir agir
Il existe de nombreuses raisons pour lesquelles on n’entend pas crier la majorité des victimes de l’insécurité numérique. Les citoyens ordinaires ou militants de la société civile restent à bien des égards démunis et esseulés, notamment parce que les agences de sécurité publique traditionnelles demeurent mal outillées pour gérer les menaces virtuelles. Les entreprises, appréhendant le potentiel de mauvaise presse, préfèrent le plus souvent camoufler plutôt que dénoncer les cyberincidents dont elles font l’objet. Les pouvoirs publics eux-mêmes préfèrent souvent taire l’existence de cyberattaques étrangères, estimant que de tels enjeux sont mieux gérés derrière une porte close et sous le couvert du secret d’État.
Cette loi du silence, toutefois, recèle son lot de méfaits, à commencer par celui-ci : tant que l’on ignore l’ampleur réelle des actes malveillants qui affectent le cyberespace canadien, il reste difficile d’estimer correctement les ressources nécessaires pour juguler le problème – et plus encore de justifier publiquement ces investissements. À cet égard, on observe qu’il aura fallu de (trop) nombreux cas de cyberespionnage de militants et dissidents sur le sol canadien pour qu’Ottawa se décide, en mars dernier, à accorder 50 millions de dollars supplémentaires à la GRC pour s’y attaquer.
Il importe donc qu’à l’avenir nous tendions une oreille plus attentive à ceux qui crient dans le cyberespace. Il est également primordial que les acteurs privés et publics, qui à l’inverse s’y refusent, fassent œuvre de plus de transparence. En marge du bourgeonnement de solutions technocentrées développées à grands frais, c’est aussi – et peut-être même surtout – à travers un débat public plus ouvert et plus franc sur ces enjeux que nous rendrons notre environnement numérique plus sûr.
L’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand vient de publier son État des lieux 20231 sur les cyberincidents géopolitiques au Canada.
1. Lisez Cyberincidents géopolitiques au Canada – État des lieux 2023 Qu'en pensez-vous? Exprimez votre opinion