Depuis la dernière décennie, la cybersécurité joue un rôle de plus en plus important dans notre vie quotidienne. La pandémie globale de COVID-19 a davantage accéléré cette tendance en nous poussant à remplacer des services et activités traditionnels avec des alternatives en ligne. Les services reliés à la pandémie, tel que la prise de rendez-vous de vaccination et le passeport de vaccination, ne sont pas des exceptions. Étant donné le scepticisme exprimé pas plusieurs au sujet de la pandémie et les mesures de réponses, il est capital que ces services soient correctement sécurisés. Une brèche de sécurité dans ces systèmes ne ferait qu’éroder la confiance du publique et confirmer leur scepticisme.
Récemment, une telle brèche de sécurité est survenue dans le portail de vaccination de L’Ontario. Deux personnes, dont un employé du Gouvernement de l’Ontario, sont accusés d’avoir accédé et utilisé les données personnelles d’Ontariens afin de faire de l’hameçonnage par texto. Selon la police provinciale de l’Ontario, les deux accusés auraient illégalement accédé aux données personnelles de gens qui utilisaient le portail afin de les cibler à l’aide de textos frauduleux.
Dans une entrevue sur Radio-Canada, Alexandre LaRocque, spécialiste en cybersécurité et PDG de la société Ardent Cybersécurité Inc., nous fait part de ses pensées sur cette brèche :
« […] Les employés sont le meilleur moyen de défense des entreprises, mais ironiquement, ce sont aussi le maillon le plus faible. Dans ce cas-ci, c’est un cas typique de ce qu’on appelle une menace interne. Ça c’est un type d’attaque qui va prendre beaucoup plus d’ampleur avec le temps. Il y a deux types de menaces internes. Il y a les attaques internes involontaire. C’est-à-dire, un employé peu porter préjudice à l’infrastructure d’une entreprise sans le savoir. Par exemple, il clique sur un courriel d’hameçonnage [ou] un fraudeur l’appelle, se fait passer pour quelqu’un d’autre, puis l’employé divulgue de l’information confidentielle. […] Dans le cas des menaces internes malveillantes, c’est une personne qui commet un geste malicieux ou criminel de façon délibérée, puis ça peut être motive par la vengeance, par l’appât du gain facile ou, tout simplement, parce qu’il a été corrompu par une tierce partie. »
Cette dernière semblerait être le cas pour cette brèche, puis ce que la police a procédé à des arrestations. Lors d’une conférence de presse, la Solliciteure Générale de l’Ontario, Sylvia Jones, déclarait que la province enquêtait de manière approfondie sur toutes violations potentielles et, qu’à sa connaissance, personne n’avait été victime d’une arnaque. M. Laroque, semblant un peu sceptique de cette déclaration, refuse de commenter : « En fait, moi je ne pourrais commenter sur une telle déclaration. Il faudrait savoir exactement l’ampleur de la fuite des données qui ont été volées ou exfiltrées. Donc, je vais laisser ça aux soins de la justice de poursuivre son enquête. »
Malgré le manque de détails concernant les données volées et leurs contenues, M. LaRocque nous offre son analyse de l’incident basée sur l’information disponible publiquement :
« Il y des bonnes choses et de moins bonnes choses. […] Donc premièrement, les bonnes choses, c’est que le gouvernement Ontarien a la capacite de surveiller et d’enregistrer les actions faites sur leurs réseaux informatiques. Ça c’est très bien, en fait, je recommanderais ça à toutes les entreprises. Cependant, il y a [aussi] des lacunes. Il faut toujours se poser la question « pourquoi ». Par exemple, quand l’employé [qui est accusé] a accédé à la base de données du portail, pourquoi il n’y a pas eu une levée d’un drapeau rouge. Pour moi, le temps de réponse de l’équipe de défense semble inadéquat. Bon, qu’est-ce que c’est le temps réponse? C’est le temps que ça prend entre la détection d’un acte potentiellement malicieux sur le réseau puis l’investigation de cette alerte par un analyste de l’équipe de défense. Clairement, il y a eu soit de retard, soit du laxisme de leur part. Deuxièmement, en informatique, il y a le principe du moindre privilège. C’est-à-dire, qu’on doit restreindre les accès des utilisateurs au strict minimum nécessaire pour qu’ils puissent remplir leurs tâches de façon adéquate. Donc, pourquoi dans ce cas-ci? Pourquoi l’employé avait-il accès à cette base de données? Je pense qu’il faudrait répondre à cette question. Troisièmement, en plus de faire une simple vérification des antécédents pour devenir employé du gouvernement. Ce que je suggèrerais serait de demander clairement une cote de sécurité de type 1 ou 2, soit secret ou très secret, aux employés qui peuvent manipuler ou accéder à des renseignements personnels aussi important que ça. C’est un non-sens d’avoir quelqu’un ayant accès aux données personnelles de millions d’Ontariens qui n’a pas été approuvé par la GRC. »
M. LaRocque nous offre, ensuite, sa dernière pensée qui est au sujet de la culture de sécurité organisationnelle :
« Finalement, ce que je recommanderais, c’est vraiment de changer la culture à l’interne, puis de mettre en place un programme pour aider à lutter contre les menaces internes. Par exemple, c’est possible que des employés soient sollicités par des tierces parties comme le crime organisé. Ils peuvent être corrompus par différentes façons, que ça soit par chantage, problèmes de dettes [ou] menaces physiques. »
Il décrit ce changement de culture comme une relation réciproque entre une organisation et ses employés :
« Autant que les entreprises doivent compter sur leur employés, ces mêmes employés doivent aussi pouvoir compter sur leur employeur pour les protégés en cas de menace. Donc, les employés doivent se sentir à l’aise d’aller chercher de l’aide s’ils subissent de la pression indue de criminels ou d’autres tierces parties. Justement, pour mettre de l’avant cette culture de transparence, il faut que ces employés, qui sont effectivement des sonneurs d’alertes, soient reconnus et récompensés au sein de l’entreprise. »
Le président d’Ardent Cybersécurité renforce son propos par un exemple récent et pertinent d’une cyberattaque contrecarrer par un employé exemplaire. En juillet 2020, un employé de Tesla s’est fait offrir un pot-de-vin d’un million de dollars américains pour sa collaboration dans complot pour installer un rançongiciel dans le réseau interne d’une usine de Tesla. En dépit de la grosse somme offerte, l’employé intègre a immédiatement alerté son gestionnaire et Tesla en a aviser le FBI. Donc, l’attaque a été prévenue par la coopération de l’employé ciblé. Egor Igorevich Kriuchkov, l’homme qui tentait d’accéder au réseau interne de Tesla de façon malicieuse, a été arrêter en train de fuir le pays.
Lorsqu’on lui demande ce que nous, en tant que consommateurs et utilisateurs de services en ligne, pouvons faire pour protéger nos données personnelles, M. Larocque a des sages conseils pour limiter notre risque de tomber victime a des cybermenaces :
« […] Il faut essayer de disséminer ses informations personnelles le moins possible. Mais bon, il ne faut pas se leurrer, les entreprises ont parfois un besoin légitime de nos informations. Alors, il faut quand même rester conscient de notre empreinte digitale. Il faut savoir où sont nos données et puis à quel niveau qu’on donne accès à nos données. Puis, il y a différents services, différentes compagnies d’assurance, qui offrent des services d’observation de crédit, mais aussi qui vont regarder dans le dark web pour essayer de voir si vos données ne sont pas accessibles aux cybercriminels. »
Références :
- Le lien vers l’entrevue dans l’émission Dans la mosaïque à la radio de Radio-Canada entre Serge Olivier et le président d’Ardent Cybersécurité Alexandre LaRocque : https://ici.radio-canada.ca/ohdio/premiere/emissions/dans-la-mosaique/episodes/586348/rattrapage-du-mardi-23-novembre-2021/9
- Le lien vers le site de Radio-Canada : https://ici.radio-canada.ca/nouvelle/1842016/cyberattaque-ontario-portail-vaccination-covid-19-employe-sms
- Le lien vers l’histoire de l’employé Tesla : https://resources.infosecinstitute.com/topic/insider-threat-report-tesla-employee-thwarts-1-million-dollar-bribery-attempt/
Cet article a été écrit par Adrian Christie, blogueur et consultant en cybersécurité et technologies pour Ardent Cybersécurité Inc.