Des pirates chinois ont hameçonné le Conseil national de recherches du Canada (CNRC) en utilisant des logiciels malveillants et en usurpant des mots de passe pour avoir accès à des informations scientifiques confidentielles, selon un rapport du gouvernement fédéral.

La cyberattaque, qui avait entraîné la fermeture complète du système informatique du CNRC en juillet, avait été calquée sur plusieurs autres piratages, perpétrés auparavant par le gouvernement chinois, selon l'étude, qui a été rendue publique en vertu de la Loi sur l'accès à l'information.

Des experts informatiques très qualifiés auraient utilisé des techniques sophistiquées pour infiltrer et s'implanter dans le réseau de l'organisme fédéral.

Des sections du document ont été caviardées puisqu'elles contiennent des informations sensibles sur le système informatique et sur ses méthodes de protection.

Le Conseil national de recherches du Canada mène des études approfondies - souvent avec des partenaires extérieurs - dans des domaines comme l'aérospatiale, la santé, les mines et la physique.

Le gouvernement avait confirmé publiquement la cyberattaque à la fin du mois de juillet. Le secrétariat du Conseil du Trésor avait rapidement accusé les pirates chinois d'avoir commis l'attaque. La Chine avait vivement nié sa responsabilité dans l'affaire.

L'incident a commencé par l'envoi de liens malveillants dans la boîte de courriels des employés du CNRC. Ceux qui ont malencontreusement cliqué sur les liens les ont exposés à une «attaque abreuvoir», au cours de laquelle les internautes ont été redirigés vers des sites qui activent automatiquement le téléchargement d'un logiciel nuisible.

«Dans ce cas, un logiciel malveillant a été installé dans le système lorsque des utilisateurs, qui avaient une version vulnérable d'Internet Explorer, ont visité des sites compromettants», explique le rapport.

Le logiciel a permis aux pirates d'avoir accès aux noms d'utilisateurs et aux mots de passe, et, conséquemment, aux données du Conseil de recherches.

«Il semble que l'objectif était de subtiliser de la propriété intellectuelle, des secrets industriels et des renseignements commerciaux ou de nature délicate», précise le document.

L'analyse du gouvernement ne dit pas, toutefois, si les pirates ont pu effectivement accéder à des informations confidentielles, probablement parce que les fonctionnaires évaluaient encore les dommages de l'attaque lorsqu'elle a été rédigée.

Le Commissariat à la vie privée a indiqué le mois dernier qu'il n'avait reçu aucune plainte liée à la divulgation d'informations personnelles dans l'attaque.

«Nous ne savons pas si des informations personnelles ont été exposées (...) Nous croyons que l'organisme a bien agi en signalant le problème aux employés et à toutes les parties concernées et en améliorant leur système pour éviter que cela se reproduise», a commenté la porte-parole du commissaire, Tobi Cohen.

Le Centre canadien de réponse aux incidents cybernétiques a transmis des recommandations à l'organisme, mais il ne s'attend pas à ce que les attaques cessent de sitôt en raison de leur grand succès, la plupart du temps.