Cryptique César!

Dans la foulée du piratage informatique de Sony Picture mentionné dans mon dernier billet, on apprend maintenant que l’entreprise a décidé de répliquer en effectuant une attaque distribuée de déni de service (DDOS) sur plusieurs serveurs utilisés par les pirates pour divulguer l’information volée.

Le but de Sony Picture ici est d’empêcher au maximum la diffusion de l’information sensible volée. Compte tenu de la facilité à laquelle l’information circule facilement sur Internet, c’est une stratégie qui est ultimement vouée à l’échec. Mais à court terme, elle pourrait être suffisamment efficace pour faire taire la machine à scandale, le temps que les médias décident de s’intéresser à une autre histoire.

On peut se poser des questions éthiques quant à l’utilisation de tels moyens par une entreprise. Il s’agit d’un acte criminel dans plusieurs juridictions et dont sont victimes un grand nombre d’organisations légitimes à chaque année. Ce genre de vigilantisme n’a normalement pas sa place dans les sociétés démocratiques, et on pourrait très bien dire que ce principe s’applique à Internet. Après tout, beaucoup de contenu parfaitement légitime peut également se retrouver sur ces serveurs, et la réplique de Sony Picture aura également un effet sur leur disponibilité – créant des victimes collatérales, quoi.

Dans une société de droit, on devrait plutôt demander à Sony Picture de faire confiance aux autorités judiciaires compétentes. Et c’est là qu’on frappe un mur: les ententes internationales et méthodes d’enquêtes – sans compter les priorités nationales en matière de lutte au crime – ne sont pas encore capables de gérer efficacement le phénomène du piratage informatique international. Sony Picture a décidé de prendre les choses en main tout simplement parce que personne d’autre n’allait vraiment le faire.

Et ce n’est pas la première fois que des acteurs industriels en viennent à cette conclusion. Tout récemment, l’entreprise de sécurité Novetta a publié un rapport sur l’opération SMN, qu’elle a organisée en collaboration avec de nombreux grands acteurs commerciaux de l’informatique aux États-Unis. Cette opération avait pour but d’attaquer le groupe chinois Axiom, soupçonné d’un grand nombre d’attaques informatiques dans le passé, et de stopper leurs activités chez le plus grand nombre possible de victimes. On parle ici d’une opération de grande envergure, demandant la collaboration d’entreprises qui ne sont pas toujours habituées à travailler ensemble. En comparaison, la réplique de Sony Picture est beaucoup plus banale dans sa complexité.

Axiom, tout comme Gardian of Peace, sont des groupes de pirates qu’on soupçonne fortement d’être influencés, financés ou carrément contrôlés par les gouvernements Chinois et Nord-Coréen. Ceci est démenti par les autorités respectives, mais c’est tout à leur avantage de faire ainsi, surtout qu’il demeure pratiquement impossible de démontrer ces liens hors de tout doute. On se retrouve donc avec des acteurs commerciaux effectuant des attaques informatiques illégales sur des cibles qui sont potentiellement des actifs gouvernementaux de puissances étrangères. Un cocktail qui pourrait s’avérer explosif dans le futur.

Sony Picture, un producteur et distributeur cinématographique bien connu, est la dernière grande victime d’un acte de piratage informatique révélé fin novembre. On en parle déjà comme le pire cas de l’histoire, et ce qu’il y a de malheureux avec cette distinction, c’est que les records existent pour être battus.

Tout y est passé. Salaires des cadres et employés, incluant producteurs, directeurs et acteurs de renoms qui sont associé(e)s à l’entreprise. Budgets de l’ensemble des départements. Information personnelle et médicale des employés. Correspondance par courriel. Notes internes. Scripts en attentes d’être filmés, et films en attentes d’être distribués.

Non seulement près de 100 téraoctets (!) d’information ont ainsi été subtilisées des systèmes de l’entreprise, mais plusieurs d’entre eux ont été délibérément mis hors service pendant plusieurs jours. C’est en soit inhabituel, mais cet aspect et certains autres détails reliés au crime rappellent beaucoup l’attaque sur les systèmes sud-coréens en 2013.

Le crime est impressionnant et unique à cause de la grande quantité et la grande variété des informations subtilisées. Dans le crime informatique classique, l’objectif est souvent de mettre la main sur de l’information ayant une valeur marchande; la victime n’est que de circonstance. Ici, le but est de carrément faire mal (très mal) à une entreprise japonaise prestigieuse. Le motif n’est pas l’appât du gain, mais la volonté de nuire. Et l’effort déployé pour organiser une telle attaque dépasse les ressources de « cyber protestataires » cherchant à faire parler d’eux avec un coup d’éclat.

Des spéculations informées n’ont pas tardé à faire surface quant à l’identité des auteurs. L’acte a été revendiqué par un groupe qui se nomme Gardien of Peace (GOP), et qu’on soupçonne fortement d’être soit affilié, soit directement contrôlé par le gouvernement nord-coréen.

Sony Picture s’apprête en effet à présenter une comédie (The Interview) mettant en « vedette » le dirigeant Kim Jong-Un, un geste qui a été vocalement critiqué, parce que vu comme un affront venant du Japon, un pays en froid depuis longtemps avec le régime de Pyongyang. Les auteurs ont d’ailleurs explicitement exigé son retrait du grand écran.

Il est encore trop tôt pour savoir dans quel état Sony Picture émergera de cette expérience, mais on est en droit de se demander quelle sera la réaction du gouvernement japonais à un acte qui pourrait être interprété comme étant de guerre économique, surtout dans un contexte où le Japon est de plus en plus anxieux face aux menaces militaires constantes provenant de son voisin. Le crime informatique deviendrait donc pour la Corée un outil de plus à utiliser dans ses conflits incessants avec ses voisins. C’est un outil fort utile, parce qu’il n’est pas évident d’en attribuer l’auteur, ce qui rend escalades et représailles potentielles de la victime plus difficile à justifier sur une scène internationale.

Il s’agit également d’une démonstration sans équivoque de l’utilité de telles attaques informatiques pour un pays en manque de ressources comme la Corée du Nord, affaiblie par des sanctions économiques depuis des décennies. Si un tel niveau de sophistication opérationnelle leur est possible, alors il l’est également pour bien d’autres pays et organisations qui pourraient tout autant bénéficier de ce type de soft power. Et si une attaque informatique destructrice à grande échelle est possible face à une entreprise privée comme Sony, elle l’est également contre un tas d’autres systèmes informatiques dont la perte aurait des conséquences beaucoup plus néfastes.

Maintenant que la poussière est quelque peu retombée, j’aimerais commenter les évènements qui ont eu lieu la semaine dernière au Canada; je parle ici des meurtres de militaires à St-Jean et à Ottawa. On soupçonne dans les deux cas les coupables d’être des individus instables et motivés par la propagande extrémiste musulmane.

J’essaie ici de bien choisir mes mots, à cause des nombreuses choses qui se sont dites et écrites sur le sujet au cours des derniers jours dans la presse canadienne et sur les blogues et forums de discussion. Dans le cas de Martin Couture-Rouleau, l’influence de la propagande de l’ISIS s’est confirmée rapidement à travers les traces qu’il a laissées sur internet, et les services de sécurité ont admis avoir eu le meurtrier en observation à cause de son intérêt manifeste à rejoindre la lutte en Syrie. Dans le cas du second, il n’était pas connu des forces de l’ordre. Ces dernières affirment être en possession d’un vidéo prouvant que Michael Zehaf-Bibeau avait des motifs idéologiques et politiques pour commettre son geste, mais au moment d’écrire ces lignes, ce vidéo n’est pas encore disponible au public. À la lumière de ce que nous en savons à ce stade-ci des enquêtes respectives, on peut tout de même en conclure qu’il s’agit d’actes terroristes, fort probablement influencé par la propagande venant de l’ISIS, en Syrie et en Iraq.

Influencé ne veut pas dire « dirigé », ou « engagé par ». Personne ne prétend ici que les deux meurtriers avaient reçu directement la commande de la part d’un groupe terroriste d’effectuer ces actes. Mais l’ISIS, depuis plusieurs semaines déjà, encourage publiquement ses sympathisants venant de partout dans le monde occidental à commettre ce genre de crimes pour leur cause, sans planification ni engagement particulier autre que le salut éternel. Et des évènements semblables, impliquant encore une fois des sympathisants intégristes, mais citoyens des pays concernés, ont eu lieu ces derniers temps un peu partout, en Australie, en Grande-Bretagne et ailleurs en Europe. C’est donc plutôt normal d’y voir une piste des plus évidentes pour expliquer les motivations des deux individus.

Il ne faut pas avoir peur d’appeler un chat un chat, et cela vaut également pour le terrorisme. J’ai l’impression qu’une partie de la gauche désire ardemment éviter d’appeler ainsi ces deux incidents, peut-être parce qu’ils pensent que le faire reviendrait à soutenir les institutions fédérales de sécurité et de surveillance, avec toutes les critiques qu’on a peu leur faire ces dernières années. Mais c’est, en soi, un raisonnement un peu cynique. On peut reprocher aux gouvernements occidentaux d’avoir historiquement joué avec la carte du terroriste islamique pour fouetter l’électorat, mais cela ne veut pas dire qu’il faut en faire un débat sémantique en niant l’évidence.

D’autres crient déjà à la perte des libertés civiles. Par un hasard qui a tout l’air de sincère, le gouvernement s’apprêtait le jour même à déposer une loi (le projet de loi C-44) modifiant le mandat et les pouvoirs du CSRC, l’agence de sécurité canadienne. À première vue, cette loi semble réellement indépendante des évènements de la semaine dernière; elle donne principalement le droit à l’organisation d’opérer à l’étranger (au lieu de continuellement se fier à des pays alliés comme source d’information) et précise les règles de confidentialité des témoins en cas de procès pour rendre leurs droits similaires à ceux aux informateurs policiers. De quoi exciter le poil des jambes de ceux qui remettent en question l’existence d’une agence de renseignement au Canada. Personnellement j’y vois plutôt des ajustements nécessaires qui n’auraient pas eu toute cette attention médiatique en circonstances normales.

Harper a annoncé que d’autres mesures visant spécifiquement à répondre aux meurtres de la semaine dernière seraient présentées prochainement. Du peu que j’en ai lu, celles-ci permettraient aux agences de polices d’enquêter plus rapidement sur les individus qui publieraient de la propagande violente sur Internet. Comme toujours il est préférable d’attendre la teneur du texte de loi, mais une telle mesure n’est pas s’en susciter des craintes, bien justifiées, sur le genre d’abus que peut engendrer la volonté de légiférer sur l’expression libre des citoyens canadiens, aussi violentes soit-elle.

Il y a ceux qui relativisent le risque que cause le type de menace du « terrorisme spontanée ». Ce genre d’acte, effectué par des individus isolés et non organisé, et influencé par une propagande extrémiste, est un risque réel et qui dépasse même l’islamisme radical. Qu’on pense à Justin Bourque, qui a tué trois policiers à Moncton au début de l’été, et qui associe ouvertement son geste à des idées et groupes survivalistes d’extrêmes droites. Lui non plus ne faisait pas parti d’un groupe terroriste organisé. Mais l’incidence de tels évènements est si basse qu’on pourrait, individuellement, les ignorer facilement à comparer à des risques beaucoup plus communs (les accidents automobiles pour ne nommer que le plus évident). Si c’est si rare, pourquoi nous en faire avec un ou deux morts de plus? Ce n’est pas la première fois que des individus instables en viennent à commettre de tels actes, pourquoi s’en faire précisément avec ceux-là? Ce ne sont pas de mauvais arguments.

Sauf qu’il y a quelque chose de dangereux à vouloir ignorer les crimes motivés idéologiquement. Dans les trois cas (St-John, Ottawa, et Moncton avec Justin Bourque), les meurtriers ont été influencés par de la propagande extrémiste islamique pour les deux premiers, et libertano-survivaliste (à défaut d’avoir meilleure expression) pour le troisième. Leur geste (ou sacrifice, de leur point de vue), contribue à promouvoir l’idéologie qu’ils représentent. Les ignorer serait, pour une société démocratique, une façon de légitimer cette stratégie dans le discours politique. De plus, le caractère médiatique du terrorisme encourage ses initiateurs à continuellement chercher au plus grand coup d’éclat. Il s’en est fallu de bien peu pour que Michael Zehaf-Bibeau ne parvienne à faire bien plus de victimes, incluant des élus canadiens. Et les conséquences d’un tel geste d’auraient pas pu s’exprimer par le simple dénombrement des victimes.

Une petite manchette dans Le Soleil du premier octobre porte sur un appel d’offres du directeur général des élections du Québec. Ce dernier est à la recherche d’une solution de détection des intrusions pour ses installations informatiques et de services professionnels pour s’assurer que les incidents détectés sont traités correctement.

Le journaliste pose quelques questions à la représentante de l’organisme auprès des médias, sans obtenir de réponses bien concluantes. Ce n’est ni surprenant, ni suspect.

Les systèmes informatiques branchés sur internet sont régulièrement bombardés de code malicieux de toute sorte – virus, vers, chevaux de Troie – qu’on regroupe sous le nom générique de « malware » en anglais.

Dans la plupart des cas, ce code malicieux est généré automatiquement par d’autres ordinateurs déjà infectés et éparpillés dans le monde. Ceux-ci tentent d’étendre l’infection de manière automatique à tout autre ordinateur vulnérable et non protégé qui pourraient se retrouver sur internet. Leurs cibles sont donc plus ou moins aléatoires, sans égards aux fonctions particulières des systèmes touchés. Il s’agit d’une première catégorie d’attaques informatiques que les systèmes de détection d’intrusions sont en mesure de détecter et même de bloquer instantanément.

Ces mêmes systèmes de détection pourraient également identifier des attaques plus pernicieuses, qui viseraient directement le DGEQ et ses systèmes dans le but de les compromettre et en atteindre à la confidentialité et à l’intégrité des informations gardées par l’organisme. C’est le scénario qui fait peur, et auquel on pense immédiatement lorsqu’on lit ce genre d’article, mais il est important de garder à l’esprit que ces attaques demeurent rares en comparaison à la première catégorie, qui sont suffisamment problématique à elles seules pour motiver le DGEQ à se protéger correctement.

Les systèmes de détections d’intrusions nécessitent souvent une expertise très pointue pour s’assurer qu’ils sont configurés correctement. Il faut, par exemple, s’assurer d’éliminer certains faux positifs qui pourraient amener l’organisation à se croire victime d’une attaque alors qu’il n’en est rien. Face à trop de faux positifs, le personnel pourrait en venir à ignorer les avertissements du système de détection en cas d’incident réel, ce qui n’est évidemment pas souhaitable.

Finalement, le système de détection et ses processus d’exploitations doivent être liés au processus de gestion des incidents internes de l’organisation; en cas d’incident de sécurité informatique, le personnel en TI doit être prêt à identifier correctement la nature de l’incident, ségréguer le serveur du reste des équipements informatiques afin d’empêcher l’infection de se propager, et effectuer les opérations nécessaires à son éradication du serveur compromis.

Que peut-on déduire de l’intérêt aujourd’hui de le DGEQ pour ce type de technologie? En vérité, pas grand-chose. Toutes les organisations moyennement importantes pratiquent la détection d’intrusions d’une façon ou d’une autre, via une expertise interne ou celle d’une tierce partie spécialisée. Sans avoir lu l’appel d’offres concerné, les exigences exprimées par le DGEQ ressemblent à celles qu’on retrouve ailleurs sur le marché.

Plusieurs compagnies québécoises se spécialisent dans la détection et la réponse aux intrusions pour des clients locaux et internationaux. Un second article sur le même sujet mentionne Above Security, une compagnie de Montréal, mais il en existe d’autres. Parions qu’elles seront intéressées à ajouter un client prestigieux comme celui-ci à leur feuille de route.

Les révélations de Snowden ont visiblement été un choc pour plusieurs et suscitent encore les passions. Cette réaction peut s’expliquer en partie par la façon dont la divulgation des documents de la NSA fut pratiquée (quelque chose que j’ai mentionné dans ce billet, le plus populaire de l’histoire de mon jeune blogue), mais aussi tout simplement par le peu d’intérêt général que les gens ont pour les enjeux de sécurité nationale, en dehors évidemment des grandes manchettes. Je crois parfaitement sincères les gens qui remercient Snowden de les avoir renseignés sur certaines pratiques « illégales » des états-nations. Je pense aussi que cet aveu en dit plus long sur leur propre culture personnelle que sur la moralité des États-Unis ou tout autre pays d’envergure qui s’adonnent à des activités d’espionnage en apparence pas trop catholique, parfois au détriment d’autres pays perçus comme alliés.

Les relations internationales sont souvent vues avec un brin de naïveté qui s’est accentué avec la Pax America. En été 2013, alors que Greenwald publiait ses premiers articles, plusieurs se demandaient ouvertement pourquoi les États-Unis voyaient d’un si mauvais oeil le fait que Snowden aille se réfugier en Russie. Ne sont-ils pas nos amis? La guerre froide n’est-elle pas terminée? À la lumière de la révolution Ukrainienne et de tout ce qui en a découlé, une telle question ne se pose plus, mais il y a un an, c’était les professionnels qui se faisaient traiter d’ignorants et de machiavélique pour remettre en doute le narratif présenté par Snowden.

Les pays modernes, même les plus démocratiques, ont encore des adversaires. Ces adversaires peuvent avoir des objectifs incompatibles avec les leurs. La nécessité des états-nations de se doter des outils nécessaires à l’exécution de leur politique étrangère n’est pas magiquement disparue.

C’est d’ailleurs ce que beaucoup de commentateurs ont encore de la difficulté à comprendre. On critique – souvent avec raison – les activités des agences d’écoute électronique (comme la NSA, ou le CSE chez nous au Canada) lorsqu’elles sont pratiquées sur leurs propres citoyens à cause des risques d’abus. Mais dès que l’analyse se tourne vers les activités traditionnelles de ces agences (l’espionnage étranger), c’est le dérapage au nom du droit absolu et universel à la vie privée.

Ce genre d’appel à la pureté idéologique, sans aucune perspective historique et concrète, est emmerdant et ne peut que générer de fausses attentes. Ceux qui retiennent leur souffle en exigeant le démantèlement de ces institutions vont attendre très longtemps. Bien au contraire, tout indique que nous assisterons à une croyance des activités reliées à l’exploitation de l’univers électronique; la surveillance de cibles étrangères, le vol d’information sensible, jusqu’à l’utilisation de logiciels malveillants visant à saboter des installations informatiques.

Du point de vue des nations, ces outils et techniques modernes s’inscrivent parmi l’ensemble des moyens qu’ils se dotent pour faire avancer leur politique étrangère. Il y en a évidemment bien d’autres. La diplomatie en est un. L’invasion militaire en est un autre. Personne de sensible n’est pour la guerre, avec ses morts et sa destruction. Mais tout aussi rares sont les gens qui prôneraient, avec sérieux, le démantèlement des institutions militaires de leur pays. Autant les conflits armés sont quelques choses de répréhensible, autant aucun gouvernement sérieux ne proposerait de carrément empêcher son propre pays d’y recourir. Il y a une différence fondamentale entre la théorie idéologique, et la volonté pratique qu’ont les états de se munir de moyens leur permettant d’établir un rapport de force avec leurs compétiteurs. La même logique s’applique aux activités des agences de renseignement. Alors que l’informatique et les communications prennent de plus en plus d’importance dans le monde, les états sont amenés à investir de plus en plus dans ces pratiques, sous peine de voir leurs compétiteurs les dépasser dans ce nouveau champ de bataille. Vous pouvez y voir une nouvelle course aux armements; à bien des égards, c’est le cas.

Ces nouveaux outils et techniques ont d’énormes avantages par rapport aux moyens plus traditionnels et sanglants d’imposer son point de vue. Tout comme on s’attendra toujours d’une nation qu’elle privilégie la diplomatie avant tout chose, je crois qu’il est tout aussi souhaitable de voir les nations tenter de régler leurs différents par l’espionnage d’une puissance étrangère, voir le sabotage électronique d’une infrastructure, plutôt que par les bombardements, les morts et la destruction. Et le plus fascinant, c’est qu’il existe déjà un excellent exemple de cela.

En 2010, des entreprises de sécurité informatiques ont annoncé la découverte d’un virus, appelé Stuxnet, à bien des égards unique et révolutionnaire, et dont la grande sophistication laissant entendre qu’un une organisation aux poches profondes en était l’instigateur. L’enquête a permis de découvrir que ce virus, très probablement conçu conjointement par les experts américains et israéliens, avait été spécialement conçu pour s’attaquer aux centrifugeuses iraniennes utilisées pour l’enrichissement d’uranium. De ce que nous en savons, Stuxnet et ses dérivés ont été utilisés avec succès, ce qui a ralenti le programme nucléaire iranien.

On peut critiquer ici l’ingérence de ces deux pays dans les affaires internes de l’Iran, mais on peut difficilement prétendre que l’utilisation de Stuxnet au lieu de moyens plus meurtrier n’a pas été quelque chose de bien. De nombreuses rumeurs faisaient état des pressions israéliennes qui voulaient coûte que coûte bombarder les installations nucléaires de l’Iran, avec toutes les conséquences que cela pouvait représenter. Entre les deux scénarios, je sais celui que je préconiserais.

Depuis, l’Iran a élu un nouveau premier ministre plus modéré que l’ancien. Les Iraniens auraient-ils voté ainsi s’ils se remettaient d’un bombardement? Des discussions multilatérales ont été entamées entre les pays impliqués pour tenter de dénouer la question nucléaire par les moyens diplomatiques. Je n’ai aucune idée si elles vont aboutir, mais je doute qu’elles aient pu avoir lieu si les deux pays se relevaient d’un conflit armé.

Il y en aura évidemment toujours qui prétendent critiquer les moyens, mais qui en ont en fait contre le principe même d’une politique étrangère. À les écouter, les pays ne devraient tout simplement pas être en mesure d’influencer ou d’imposer leurs préférences sur leurs voisins, quels qu’ils soient. Je n’ai pas de réponses faciles pour ces gens, sauf leur dire qu’ils risquent de trouver fastidieuse la lecture de ce blogue.

Face à ces premiers succès de l’espionnage et des attaques informatiques, et voyant la sophistication des moyens et la valeur des cibles augmentant d’année en année, il est bien évident pourquoi les états ne sont pas prêts à abandonner ce genre de pratiques de sitôt. Cela ne veut pas dire que nous devons être cyniques et tolérer sans broncher les problèmes que ces nouvelles techniques nous causeront. Mais il faut aussi apprendre à choisir nos batailles. Et celle de l’espionnage étrangé est perdue d’avance. On l’appelle le deuxième plus vieux métier du monde, et ce n’est pas parce qu’il repose de plus en plus sur des moyens informatiques que cela est appelé à changer.

Le Conseil national de recherche du Canada (CNR) a récemment admis avoir été victime d’une attaque cybernétique d’envergure, suffisante pour paralyser ses activités pendant un certain temps. L’information personnelle du public n’est, dit-on, pas en danger, mais entre vous et moi, les coupables n’ont pas visé cet organisme pour les informations personnelles des Canadiens. Le gouvernement s’est empressé d’identifier les services chinois comme le coupable numéro un. Il est peu probable que cela entraîne de véritables répercussions entre les deux pays tant ce genre d’espionnage économique est monnaie courante depuis longtemps déjà.

Ce n’est évidemment pas la première fois que les médias relaient ce genre de nouvelle, mais on imagine souvent à tort qu’il s’agit d’un problème ne concernant que les Américains (et les Chinois). Dans la pratique, les organisations canadiennes sont des cibles tout aussi intéressantes pour les services secrets étrangers, et on ne peut donc pas se surprendre quand ce sont nos propres institutions qui sont les victimes.

Afin de faire un peu de lumière sur la situation, le réseau CTV a interviewé Anthony Seaboyer, expert en sécurité nationale au Collège militaire royal du Canada, et Maxime Lamothe-Brassard, professionnel de la sécurité de l’information et frère de votre humble serviteur. Comme c’est souvent le cas avec ce genre d’article, on ne fait que survoler des problématiques très complexes auxquelles il n’y a pas toujours de solutions évidentes. Par manque d’espace, il n’est pas possible aux journalistes de s’étendre un peu sur le sujet – chose que les blogueurs de mon espèce se permettent de faire.

Notez que je n’ai pas directement discuté du dossier avec mon frangin, mais comme il lira ce billet, je suis certain qu’il se fera un plaisir d’y répondre et de rectifier sa pensée s’il le juge nécessaire.

M. Seaboyer mentionne dans l’article que la législation canadienne (et celles de tous les autres pays – nous sommes loin d’être seuls avec ce problème) ne parvient pas à suivre l’évolution du risque en sécurité TI. Il a raison, mais je crois que le problème dépasse la simple législation. Les organisations ayant des besoins en sécurité de l’information commencent à s’habituer aux risques de base; les « menaces de marchandise » (commodity threats), et les contrôles et investissements nécessaires pour s’en prémunir. Or, les ressources nécessaires pour se protéger efficacement contre des menaces avancées (advanced threats) des états nations sont bien plus importantes. Ces états sont devenus dans les dernières années des acteurs incontournables dans la sécurité de l’information et leur rôle et influence ne saura qu’augmenter dans le futur. Les entreprises œuvrant dans industries ciblées – et les normes qu’ils doivent respecter – devront s’ajuster à cette nouvelle forme de menace pour leur sécurité.

Plusieurs entreprises ayant des responsabilités en sécurité informatique continuent aujourd’hui à se buter contre les commodity threats. Dans ces circonstances, même des législations plus strictes n’aideront pas à régler le problème. Gérer correctement la sécurité de l’information d’une organisation est une tâche complexe et coûteuse, et qui peut être rendue caduque par une seule erreur. C’est vrai dans le secteur privé – l’essentiel de mon expérience personnelle – et je suis certain que ce l’est également dans le secteur public. Il ne s’agit donc pas d’une question de loi, mais plutôt de maturité organisationnelle. Les entreprises ont de la difficulté à faire ce qu’on leur demande déjà de faire, pas nécessairement par ignorance ou manque de persévérance, mais à cause de la complexité de la tâche, souvent relié à un changement de culture.

Cette constatation en cache une autre plus subtile: celle de la profonde asymétrie entre l’attaque et la défense dans sécurité de l’information. Il est bien moins coûteux – en terme d’effort, de temps et de ressources – pour un hacker de s’infiltrer dans une organisation, que pour une organisation de se protéger efficacement contre l’ensemble des risques TI auxquelles elle fait face. Tant que cette asymétrie demeure (et ce n’est pas près de changer de sitôt), les infrastructures critiques demeureront des cibles de choix pour les espions étrangers.

Cette tendance lourde entraîne progressivement un changement de stratégie pour les organisations cherchant à se prémunir contre les attaques commandées par des gouvernements étrangers, et c’est l’origine de la remarque de Maxime Lamothe Brassard sur nécessité de détecter les attaques au lieu de chercher à complètement les éviter. Cela peut sembler une admission de défaite, mais c’est en fait une stratégie pragmatique compte tenu de la situation. C’est d’ailleurs ce qui semble s’être produit avec le CNR. Sans être idéale, une telle approche a beaucoup plus de chances de réussir à long terme à mitiger le risque envers les infrastructures critiques nationales.

Les représentants du CNR parlent maintenant de rebâtir l’infrastructure technologique de l’organisation pour éviter qu’un tel incident se reproduise de nouveau. Cela peut sembler exagéré, mais ce n’est pas particulièrement inusité. Dans la pratique, lorsqu’un réseau est infiltré électroniquement, il est souvent souhaitable d’effacer et de rebâtir un grand nombre de systèmes, même lorsque ceux-ci ne présentent pas nécessairement des symptômes montrant qu’ils ont été compromis. La nature des attaques informatiques est telle qu’il est parfois très difficile d’en déterminer précisément la source. C’est d’autant plus vrai lorsque ces attaques viennent d’une agence de renseignement étrangère.

Non, je n’ai pas l’intention de me transformer en critique du grand écran, mais deux films en production attirent particulièrement mon attention. Vous allez vite comprendre pourquoi:

Ce n’était qu’une question de temps avant que l’histoire d’Edward Snowden, délateur extraordinaire, soit portée à nos écrans. C’est Oliver Stone qui assurera la direction. Quand je pense à lui, je pense à JFK, un film qui m’avait fortement impressionné dans ma jeunesse et que j’avais beaucoup aimé. Par contre, ce n’est pas un amour partagé par plusieurs historiens professionnels, qui lui reproche d’être plutôt libéral avec les faits. Je vois très bien Stone faire un JFK de Snowden, et je me méfie donc du ton qui sera choisi pour traiter de l’affaire. On verra bien. Le projet n’est qu’en pré-production et on devrait en entendre un peu plus parler dès l’année prochaine.

Deuxièmement, il y a The Imitation Game, un film biographique portant sur la vie et l’œuvre de Alan Turing. Turing est considéré à la fois comme un des pères de l’informatique et de la cryptographie, ayant créé l’un des premiers ordinateurs dans le cadre de ses recherches portant sur le déchiffrage des codes secrets allemands de la seconde guerre mondiale. Sa vie mouvementée pourrait servir de base à une très belle (bien que tragique) histoire, et j’espère que le résultat sera meilleur que les tentatives antérieures de qualité douteuse. Benedict Cumberbatch, le Sherlock de Sherlock, assurera le rôle principal. Sa sortie est prévue pour novembre 2014.

Le chiffrement de données ayant pour but d’en protéger la confidentialité est utilisé depuis longtemps sur Internet dans toutes sortes de contextes, souvent sans que l’utilisateur n’en soit conscient. Par exemple, l’accès à des pages web contenant de l’information particulièrement sensible – disons votre site bancaire – est protégé automatiquement de la sorte. Avez-vous déjà remarqué un petit icône de cadenas sur la barre de navigation de votre fureteur? Sa présence signifie que la transmission avec ce site via SSL, un protocole de chiffrement largement utilisé.

Protéger ainsi l’information dans sa transmission est une application commune de la cryptographie (la science derrière les techniques de chiffrement), mais il y en a d’autres. Des technologies similaires peuvent être utilisées pour protéger la confidentialité de n’importe quel type de données. Les cybercriminels cherchant à cacher leurs agissements, les professionnels désirant protéger de l’information sensible de la vue de compétiteurs ou de pays étranger, ou les défenseurs des droits humains vivant dans la clandestinité ont tous pris conscience au cours des années de l’importance de comprendre et d’utiliser ces technologies pour leur propre sécurité. Suite aux révélations sur la NSA, c’est maintenant monsieur et madame tout le monde qui se sent concerné, pour toutes sortes de raisons.

Contre les menaces électroniques à la confidentialité de l’information, les technologies de chiffrement demeure le moyen technique le plus efficace et pour lequel nous avons un haut niveau de confiance. Du moins en théorie. Mais qu’en est-il de la pratique? Sont-elles réellement utilisées, particulièrement par les utilisateurs non professionnels? Le sont-elles efficacement?

Cet article du magazine Wired nous donne une partie de la réponse, du moins dans le contexte de l’écoute électronique de cybercriminels par les forces policières américaines. Les données sont intéressantes. En 2013, la police a procédé à 3500 opérations d’écoute électronique. Elle n’a observé l’utilisation du chiffrement que dans 41 cas sur ces 3500, ce qui est bien peu. Et dans 32 de ces 41 cas, elle a tout de même été en mesure de contourner la technologie en place et d’accéder à l’information, pour un total de seulement 9 utilisations fructueuses d’une technologie de chiffrement. L’article n’indique malheureusement pas la nature de ce contournement.

Il est indéniable que ces nombres sont appelés à augmenter dans les prochaines années alors que les questions de protection de l’information et de vie privée continuent à prendre de l’importance. On peut quand même se désoler non seulement de cette faible utilisation, mais de la fréquence avec laquelle les forces policières parviennent tout de même à la contourner. Ce n’est pas particulièrement surprenant dans le contexte où l’implantation pratique des technologies de chiffrement a toujours leurs talons d’Achille – de simples bogues qui ne sont pas présents dans les considérations théoriques peuvent venir bousiller l’implantation d’un protocole pourtant solide. Il n’y a pas meilleur exemple que Hearthbleed, un bogue dont nous avons discuté récemment ici, et qui affectait OpenSSL, une implantation du protocole SSL mentionné plus haut. Notez que l’article du Wired est avare de détails à ce niveau – il est tout aussi possible que les forces policières aient accès à d’autres indices pour faire avancer leur enquête, rendant inutile le déchiffrement du message codé.

Dans tous les cas, les technologies de chiffrement ont tendance à être trop difficiles à utiliser (et surtout à utiliser de façon sécuritaire) par le commun des mortels. Afin d’aider les utilisateurs communs à utiliser ces technologies, des outils spécialement adaptés pour eux voient le jour. Cet article en présente un. Je ne suis pas vraiment en mesure de le recommander – trop de détails peuvent rendre un produit intéressant complètement inutilisable dans la pratique. Mais si ce n’est pas lui, d’autres suivront. L’intérêt pour le chiffrement n’a jamais été aussi élevé, et beaucoup de gens veulent encourager leur utilisation par toutes sortes de moyens.

J’ai adoré l’article de Rima Elkouri dans La Presse cette semaine sur la mode des exercices de confinement dans les écoles. Ces exercices ont pour but de préparer les élèves à la présence d’un tireur dans l’école, un crime fortement médiatisé depuis plusieurs années. Je savais que ce genre d’initiative existait aux États-Unis depuis longtemps, mais j’ignorais qu’on faisait de même ici.

J’ai adoré parce que ce n’est pas un article populiste qui exploite la peur des gens, mais qui cherche plutôt à expliquer pourquoi mettre des jeunes dans une telle situation, même simulée, peut être une mauvaise idée à cause du caractère hautement émotionnel de ce genre d’évènements. Si on accuse les médias de prendre trop souvent le côté du sensationnalisme, on ne peut que les féliciter lorsqu’ils font le contraire. Sans trop de surprises, les nombreux commentaires qu’elle a reçus (disponible en fin d’article) semblent indiquer que plusieurs lecteurs demeurent sceptiques, même si les observations de Mme Elkouri et des gens qu’elle a rencontrés sont très légitimes. Personnellement, je ne crois pas que ce genre d’exercice de confinement soit particulièrement utile, et je pense qu’ils peuvent carrément être contreproductifs en marquant négativement un enfant en bas âge.

Peu importe la perception, hautement influencée par les médias de masse, que les cas de fusillades dans les écoles ou dans d’autres endroits publics sont significativement en hausse depuis plusieurs années, les chiffres sont loin d’être convaincants. Aux États-Unis, les décès annuels causés par ce genre d’incident fluctuent d’une année à l’autre, ce qui n’est pas vraiment surprenant lorsqu’on parle d’une incidence aussi faible (autour de 100 décès par année, et cela inclus tous les lieux publics). Ils sont tout simplement plus médiatisés, et des drames qui n’auraient profité auparavant que d’une couverture locale sont maintenant montrés par les chaînes nationales d’information continue.

Ces décès, extrêmement tragiques mais tout aussi rares, sont à comparer aux 81.5 millions inscrits aux études primaires, secondaires et post-secondaires, toujours aux États-Unis. Les chances de mourir dans un tel incident sont donc une fraction de pourcentage. Les chances de vivre un tel incident (être présent dans une école sans être directement impliqué) sont évidemment plus grandes, mais demeure tout de même minuscules.

De l’autre côté, on peut se demander l’impact psychologique sur un enfant d’un exercice de confinement spécifiant la présence d’un tueur leur voulant du mal. Il s’agit d’une menace personnelle qui peut être stressante, surtout pour un enfant de bas âge. Si seulement une petite fraction d’entre eux en vient à être affectée, on parle quand même de millions d’enfants, tout ça pour se prémunir d’un risque comparativement bien plus rare. Affecté doit évidemment être pris ici au sens large: de mauvais souvenirs jusqu’au développement d’anxiété face au risque de fusillade, une anxiété qui n’est pas rationnelle par rapport au risque réel qu’ont des enfants à fréquenter le milieu scolaire.

Qui plus est, ce genre d’exercice n’est véritablement efficace (en tant que mesure de sécurité) que s’il est pratiqué de façon répétée, tout comme les exercices d’évacuations à cause en cas d’incendie sont pratiqués annuellement. 4000 feux sont déclarés à chaque année dans des établissements scolaires américains, et même si la vaste majorité de ces feux ne causent pas de pertes de vie humaine, il s’agit d’un risque bien plus commun que les fusillades.

La palme des mesures les plus contre-productive revient par contre à certaines écoles américaines qui ont décidé de s’équiper d’arme à feu pour se défendre, dans le scénario hollywoodien qu’ils se sont créé, d’un éventuel forcené. Heureusement, je ne crois pas voir de telles initiatives au Québec de sitôt.

La banque Montréalaise a eu une bien mauvaise surprise cette semaine lorsque deux gamins Manitobains encore à l’école secondaire ont exposé le fait que l’accès à au moins un de leur guichet était contrôlé avec le mot de passe par défaut du fabricant écrit dans le manuel d’utilisateur et disponible à qui le veut sur Internet.

Ça va sembler cynique, mais ce n’est pas particulièrement inusité. Je ne veux surtout pas excuser une entreprise (financière!) qui vient de se faire prendre les culottes baissées à ne pas configurer correctement la sécurité de ses appareils, mais c’est un problème tellement commun qu’on ne peut que hocher la tête et soupirer.

Si au moins la vulnérabilité avait été exploitée par des criminels, l’entreprise aurait pu jouer à la victime de méchants pirates, mais quand ce sont des garçons de 14 ans, cette tactique de relation publique n’est plus très efficace.

Je ne suis pas au courant de la réaction du personnel en sécurité de chez BMO, mais on peut spéculer qu’ils voudront au plus tôt auditer l’ensemble de leur parc de guichets, et changer leur mot de passe si on découvre que le problème est répandu. Remarquez que ce n’est pas nécessairement trivial comme démarche – pour diverses raisons, ça peut représenter un défi logistique ou technique pour le personnel concerné. L’accès aux guichets peut-il être reconfiguré à distance, ou est-il nécessaire de faire l’opération localement sur chaque guichet? Le mot de passe (différent pour chaque guichet) doit-il être communiqué à plusieurs départements au sein de l’entreprise? Comment gère-t-on le roulement du personnel ayant connaissance de ces mots de passe – doit-on le changer à chaque fois que quelqu’un démissionne ou prend sa retraite (ou pire, est remercié avec cause)? Cela peut sembler bête comme considérations, mais par expérience je vous dirais qu’elles font souvent toute la différence.

Sans connaître l’ensemble des contrôles de sécurité utilisés par BMO, rien ne nous permet non plus de savoir s’il existait un risque réel pour l’intégrité des guichets. Si les mots de passe par défaut ne sont pas changés (parce que les processus pour le faire coûteraient trop cher par exemple), peut-être que d’autres contrôles compensatoires sont en place pour mitiger ce manque, contrôles qui n’ont pas été dévoilés ici. Ça peut sembler tordu, mais je vous jure que cela arrive bien plus souvent qu’on le pense.

Finalement, un petit conseil général à ceux et celles qui voudraient s’inspirer des exploits de ces adolescents en testant le mot de passe de d’autres guichets de BMO, ou ceux d’autres banques: c’est une très mauvaise idée.

BMO a eu l’intelligence de ne pas entreprendre des démarches judiciaires contre des enfants – il y a une limite à avoir l’air fou sur la place publique – mais ce n’est pas du tout une réaction typique: beaucoup d’autres pirates en herbe se sont retrouvés du mauvais côté de la loi après avoir découvert et rapporté des vulnérabilités sur les systèmes corporatifs d’entreprises dont ils sont client. Même pour un professionnel, communiquer un tel problème sans avoir établi au préalable une entente avec le propriétaire d’un système est une opération délicate. La découverte et l’exploitation, même partielle, d’une vulnérabilité peuvent représenter un risque pour la disponibilité des systèmes concernés sans qu’on puisse s’en rendre compte de l’externe – BMO aurait-elle réagi différemment si les deux jeunes, par mégarde ou ignorance, avaient effectué une opération irréversible ou coûteuse sur un appareil de la banque? De plus, les entreprises peuvent douter des motivations réelles derrière le travail des amateurs – est-ce une tentative détournée de les faire chanter? – alors que les professionnels ont une réputation ou un code d’éthique pour les soutenir.