{"id":1719,"date":"2022-01-17T21:38:30","date_gmt":"2022-01-17T21:38:30","guid":{"rendered":"https:\/\/ardent-security.com\/?p=1719"},"modified":"2022-01-18T08:23:59","modified_gmt":"2022-01-18T13:23:59","slug":"breche-de-securite-du-portail-de-vaccination-contre-la-covid-19-de-lontario","status":"publish","type":"post","link":"https:\/\/ardent-security.com\/fr\/breche-de-securite-du-portail-de-vaccination-contre-la-covid-19-de-lontario\/","title":{"rendered":"Br\u00e8che de s\u00e9curit\u00e9 du portail de vaccination contre la COVID-19 de l\u2019Ontario"},"content":{"rendered":"
\"\"

Dans gens faisant la ligne \u00e0 la clinique de vaccination de Scarborough en Janvier 2021.<\/p><\/div>\n

Depuis la derni\u00e8re d\u00e9cennie, la cybers\u00e9curit\u00e9 joue un r\u00f4le de plus en plus important dans notre vie quotidienne. La pand\u00e9mie globale de COVID-19 a davantage acc\u00e9l\u00e9r\u00e9 cette tendance en nous poussant \u00e0 remplacer des services et activit\u00e9s traditionnels avec des alternatives en ligne. Les services reli\u00e9s \u00e0 la pand\u00e9mie, tel que la prise de rendez-vous de vaccination et le passeport de vaccination, ne sont pas des exceptions. \u00c9tant donn\u00e9 le scepticisme exprim\u00e9 pas plusieurs au sujet de la pand\u00e9mie et les mesures de r\u00e9ponses, il est capital que ces services soient correctement s\u00e9curis\u00e9s. Une br\u00e8che de s\u00e9curit\u00e9 dans ces syst\u00e8mes ne ferait qu\u2019\u00e9roder la confiance du publique et confirmer leur scepticisme.<\/p>\n

R\u00e9cemment, une telle br\u00e8che de s\u00e9curit\u00e9 est survenue dans le portail de vaccination de L\u2019Ontario. Deux personnes, dont un employ\u00e9 du Gouvernement de l\u2019Ontario, sont accus\u00e9s d\u2019avoir acc\u00e9d\u00e9 et utilis\u00e9 les donn\u00e9es personnelles d\u2019Ontariens afin de faire de l\u2019hame\u00e7onnage par texto. Selon la police provinciale de l\u2019Ontario, les deux accus\u00e9s auraient ill\u00e9galement acc\u00e9d\u00e9 aux donn\u00e9es personnelles de gens qui utilisaient le portail afin de les cibler \u00e0 l\u2019aide de textos frauduleux.<\/p>\n

\"\"<\/p>\n

Dans une entrevue sur Radio-Canada, Alexandre LaRocque, sp\u00e9cialiste en cybers\u00e9curit\u00e9 et PDG de la soci\u00e9t\u00e9 Ardent Cybers\u00e9curit\u00e9 Inc., nous fait part de ses pens\u00e9es sur cette br\u00e8che\u00a0:<\/p>\n

\u00ab\u00a0[\u2026] Les employ\u00e9s sont le meilleur moyen de d\u00e9fense des entreprises, mais ironiquement, ce sont aussi le maillon le plus faible. Dans ce cas-ci, c\u2019est un cas typique de ce qu\u2019on appelle une menace interne. \u00c7a c\u2019est un type d\u2019attaque qui va prendre beaucoup plus d\u2019ampleur avec le temps. Il y a deux types de menaces internes. Il y a les attaques internes involontaire. C\u2019est-\u00e0-dire, un employ\u00e9 peu porter pr\u00e9judice \u00e0 l\u2019infrastructure d\u2019une entreprise sans le savoir. Par exemple, il clique sur un courriel d\u2019hame\u00e7onnage [ou] un fraudeur l\u2019appelle, se fait passer pour quelqu\u2019un d\u2019autre, puis l\u2019employ\u00e9 divulgue de l\u2019information confidentielle. [\u2026] Dans le cas des menaces internes malveillantes, c\u2019est une personne qui commet un geste malicieux ou criminel de fa\u00e7on d\u00e9lib\u00e9r\u00e9e, puis \u00e7a peut \u00eatre motive par la vengeance, par l\u2019app\u00e2t du gain facile ou, tout simplement, parce qu\u2019il a \u00e9t\u00e9 corrompu par une tierce partie.\u00a0\u00bb<\/p>\n

Cette derni\u00e8re semblerait \u00eatre le cas pour cette br\u00e8che, puis ce que la police a proc\u00e9d\u00e9 \u00e0 des arrestations. Lors d\u2019une conf\u00e9rence de presse, la Solliciteure G\u00e9n\u00e9rale de l\u2019Ontario, Sylvia Jones, d\u00e9clarait que la province enqu\u00eatait de mani\u00e8re approfondie sur toutes violations potentielles et, qu\u2019\u00e0 sa connaissance, personne n\u2019avait \u00e9t\u00e9 victime d\u2019une arnaque. M. Laroque, semblant un peu sceptique de cette d\u00e9claration, refuse de commenter\u00a0: \u00ab\u00a0En fait, moi je ne pourrais commenter sur une telle d\u00e9claration. Il faudrait savoir exactement l\u2019ampleur de la fuite des donn\u00e9es qui ont \u00e9t\u00e9 vol\u00e9es ou exfiltr\u00e9es. Donc, je vais laisser \u00e7a aux soins de la justice de poursuivre son enqu\u00eate.\u00a0\u00bb<\/p>\n

Malgr\u00e9 le manque de d\u00e9tails concernant les donn\u00e9es vol\u00e9es et leurs contenues, M. LaRocque nous offre son analyse de l\u2019incident bas\u00e9e sur l\u2019information disponible publiquement\u00a0:<\/p>\n

\u00ab Il y des bonnes choses et de moins bonnes choses.\u00a0 [\u2026]\u00a0Donc premi\u00e8rement, les bonnes choses, c\u2019est que le gouvernement Ontarien a la capacite de surveiller et d\u2019enregistrer les actions faites sur leurs r\u00e9seaux informatiques. \u00c7a c\u2019est tr\u00e8s bien, en fait, je recommanderais \u00e7a \u00e0 toutes les entreprises. Cependant, il y a [aussi] des lacunes. Il faut toujours se poser la question \u00ab\u00a0pourquoi\u00a0\u00bb. Par exemple, quand l\u2019employ\u00e9 [qui est accus\u00e9] a acc\u00e9d\u00e9 \u00e0 la base de donn\u00e9es du portail, pourquoi il n\u2019y a pas eu une lev\u00e9e d\u2019un drapeau rouge. Pour moi, le temps de r\u00e9ponse de l\u2019\u00e9quipe de d\u00e9fense semble inad\u00e9quat. Bon, qu\u2019est-ce que c\u2019est le temps r\u00e9ponse? C\u2019est le temps que \u00e7a prend entre la d\u00e9tection d\u2019un acte potentiellement malicieux sur le r\u00e9seau puis l\u2019investigation de cette alerte par un analyste de l\u2019\u00e9quipe de d\u00e9fense. Clairement, il y a eu soit de retard, soit du laxisme de leur part. Deuxi\u00e8mement, en informatique, il y a le principe du moindre privil\u00e8ge. C\u2019est-\u00e0-dire, qu\u2019on doit restreindre les acc\u00e8s des utilisateurs au strict minimum n\u00e9cessaire pour qu\u2019ils puissent remplir leurs t\u00e2ches de fa\u00e7on ad\u00e9quate. Donc, pourquoi dans ce cas-ci? Pourquoi l\u2019employ\u00e9 avait-il acc\u00e8s \u00e0 cette base de donn\u00e9es? Je pense qu\u2019il faudrait r\u00e9pondre \u00e0 cette question. Troisi\u00e8mement, en plus de faire une simple v\u00e9rification des ant\u00e9c\u00e9dents pour devenir employ\u00e9 du gouvernement. Ce que je sugg\u00e8rerais serait de demander clairement une cote de s\u00e9curit\u00e9 de type 1 ou 2, soit secret ou tr\u00e8s secret, aux employ\u00e9s qui peuvent manipuler ou acc\u00e9der \u00e0 des renseignements personnels aussi important que \u00e7a. C\u2019est un non-sens d\u2019avoir quelqu\u2019un ayant acc\u00e8s aux donn\u00e9es personnelles de millions d\u2019Ontariens qui n\u2019a pas \u00e9t\u00e9 approuv\u00e9 par la GRC.\u00a0\u00bb<\/p>\n

M. LaRocque nous offre, ensuite, sa derni\u00e8re pens\u00e9e qui est au sujet de la culture de s\u00e9curit\u00e9 organisationnelle :<\/p>\n

\u00ab\u00a0Finalement, ce que je recommanderais, c\u2019est vraiment de changer la culture \u00e0 l\u2019interne, puis de mettre en place un programme pour aider \u00e0 lutter contre les menaces internes. Par exemple, c\u2019est possible que des employ\u00e9s soient sollicit\u00e9s par des tierces parties comme le crime organis\u00e9. Ils peuvent \u00eatre corrompus par diff\u00e9rentes fa\u00e7ons, que \u00e7a soit par chantage, probl\u00e8mes de dettes [ou] menaces physiques.\u00a0\u00bb<\/p>\n

\"Alex<\/p>\n

Il d\u00e9crit ce changement de culture comme une relation r\u00e9ciproque entre une organisation et ses employ\u00e9s\u00a0:<\/p>\n

\u00ab\u00a0Autant que les entreprises doivent compter sur leur employ\u00e9s, ces m\u00eames employ\u00e9s doivent aussi pouvoir compter sur leur employeur pour les prot\u00e9g\u00e9s en cas de menace. Donc, les employ\u00e9s doivent se sentir \u00e0 l\u2019aise d\u2019aller chercher de l\u2019aide s\u2019ils subissent de la pression indue de criminels ou d\u2019autres tierces parties. Justement, pour mettre de l\u2019avant cette culture de transparence, il faut que ces employ\u00e9s, qui sont effectivement des sonneurs d\u2019alertes, soient reconnus et r\u00e9compens\u00e9s au sein de l\u2019entreprise.\u00a0\u00bb<\/p>\n

Le pr\u00e9sident d\u2019Ardent Cybers\u00e9curit\u00e9 renforce son propos par un exemple r\u00e9cent et pertinent d\u2019une cyberattaque contrecarrer par un employ\u00e9 exemplaire. En juillet 2020, un employ\u00e9 de Tesla s\u2019est fait offrir un pot-de-vin d\u2019un million de dollars am\u00e9ricains pour sa collaboration dans complot pour installer un ran\u00e7ongiciel dans le r\u00e9seau interne d\u2019une usine de Tesla. En d\u00e9pit de la grosse somme offerte, l\u2019employ\u00e9 int\u00e8gre a imm\u00e9diatement alert\u00e9 son gestionnaire et Tesla en a aviser le FBI. Donc, l\u2019attaque a \u00e9t\u00e9 pr\u00e9venue par la coop\u00e9ration de l\u2019employ\u00e9 cibl\u00e9. Egor Igorevich Kriuchkov, l\u2019homme qui tentait d\u2019acc\u00e9der au r\u00e9seau interne de Tesla de fa\u00e7on malicieuse, a \u00e9t\u00e9 arr\u00eater en train de fuir le pays.<\/p>\n

Lorsqu\u2019on lui demande ce que nous, en tant que consommateurs et utilisateurs de services en ligne, pouvons faire pour prot\u00e9ger nos donn\u00e9es personnelles, M. Larocque a des sages conseils pour limiter notre risque de tomber victime a des cybermenaces\u00a0:<\/p>\n

\u00ab\u00a0[\u2026] Il faut essayer de diss\u00e9miner ses informations personnelles le moins possible. Mais bon, il ne faut pas se leurrer, les entreprises ont parfois un besoin l\u00e9gitime de nos informations. Alors, il faut quand m\u00eame rester conscient de notre empreinte digitale. Il faut savoir o\u00f9 sont nos donn\u00e9es et puis \u00e0 quel niveau qu\u2019on donne acc\u00e8s \u00e0 nos donn\u00e9es. Puis, il y a diff\u00e9rents services, diff\u00e9rentes compagnies d\u2019assurance, qui offrent des services d\u2019observation de cr\u00e9dit, mais aussi qui vont regarder dans le dark web pour essayer de voir si vos donn\u00e9es ne sont pas accessibles aux cybercriminels.\u00a0\u00bb<\/p>\n

R\u00e9f\u00e9rences\u00a0:<\/p>\n