Les cyberattaques par rançongiciel sont de plus en plus nombreuses au Canada, ce qui pousse des experts à rappeler l’importance pour les organisations de se protéger en matière de sécurité numérique.
Récemment, le détaillant London Drugs, la ville de Hamilton et le gouvernement de Terre-Neuve-et-Labrador ont tous été victimes de ce type de cyberattaque.
Cependant, les criminels qui se vantent parfois de leurs attaques sur le web caché ne semblent pas pointilleux quant à leurs cibles, d’après un petit échantillon répertorié par l’analyste britanno-colombien Brett Callow.
Selon ce qu’il a pu compiler, un réseau de bibliothèques en Colombie-Britannique, la Régie de la santé des Premières Nations de la province et un organisme de bienfaisance ontarien pour les enfants handicapés ont aussi été ciblés par des pirates informatiques.
Les experts en cybersécurité soutiennent que la vague d’attaques a de graves conséquences pour ses victimes et le public en général, et rappellent que les organisations ont besoin d’une protection à plusieurs niveaux.
M. Callow est notamment favorable à une interdiction pure et simple du paiement des rançons, ou du moins à une réglementation les limitant, afin d’endiguer la vague d’attaques.
Toutefois, l’avocat torontois Eric Charleston indique que ce n’est pas si simple. Il a d’ailleurs vu des cas où une interdiction aurait signifié «une punition pour les victimes».
Mais tous deux conviennent que les cibles potentielles devraient renforcer la sécurité pour empêcher toute violation de leurs données.
Plusieurs cas non signalés
Me Charleston note que de nombreux incidents de cyberattaques par rançongiciel ne sont pas signalés. Il est donc difficile d’évaluer avec précision l’ampleur de l’augmentation du nombre d’attaques, lors desquelles les pirates informatiques exigent le paiement d’une rançon afin qu’ils ne divulguent pas des données sensibles.
Cependant, l’avènement des cryptomonnaies a donné aux cybercriminels, qui sont souvent établis dans des pays étrangers, un moyen de monétiser le vol de données, explique-t-il.
«Le fait que toutes ces transactions soient enregistrées sur la chaîne de blocs signifie qu’il est possible de savoir où va cet argent. Mais en fin de compte, si vous avez des réglementations différentes sur la façon dont les gens peuvent se désinvestir de leurs comptes de cryptomonnaie, ils peuvent toujours venir et prendre l’argent», souligne-t-il.
Les répercussions potentielles d’une violation de données sont considérables, ajoute Me Charleston, qui est co-leader national en matière de cybersécurité chez Borden Ladner Gervais LLP.
Les conséquences vont des dommages financiers et à la réputation, à une éventuelle responsabilité juridique dans le contexte des normes «émergentes» en matière de cybersécurité au Canada, précise-t-il.
Les entreprises ciblées peuvent aussi faire l’objet d’actions collectives pour violation de données. En mai, les victimes d’une violation survenue en 2019 chez LifeLabs ont commencé à recevoir des paiements de 7,86 $. Cela peut sembler bien peu, mais le montant total du règlement s’élève à 9,8 millions $.
M. Callow, quant à lui, va même jusqu’à mentionner que de telles attaques peuvent entraîner indirectement des décès. Il cite en exemple des travaux de chercheurs de l’École de santé publique de l’Université du Minnesota, qui ont estimé que les attaques par rançongiciel qui ont perturbé les opérations hospitalières de Medicare entre 2016 et 2021 ont coûté la vie à au moins 42 patients américains.
Difficiles à arrêter
Les forces de l’ordre ont réussi à arracher quelques victoires contre des cybercriminels, soulève Me Charleston.
En février, la National Crime Agency du Royaume-Uni a dirigé un consortium de corps policiers afin de perturber les opérations de LockBit, le qualifiant de «groupe de cybercriminalité le plus dangereux au monde».
M. Callow, qui travaille pour l’entreprise néo-zélandaise de logiciels antivirus Emsisoft, confirme que des opérations comme celle qui a visé LockBit viennent ébranler la confiance des cybercriminels.
Cependant, LockBit a rapidement commencé à fonctionner sur un nouveau site, nuance-t-il.
Selon M. Callow, LockBit a demandé une rançon lors du piratage qui a ciblé London Drugs, à la fin avril. L’incident a forcé le détaillant britanno-colombien à fermer tous ses magasins dans l’Ouest canadien pendant environ une semaine.
L’entreprise a confirmé plus tard que des données «pouvant contenir des informations sur des employés» avaient été divulguées, affirmant qu’elle ne «souhaitait pas» et ne «pouvait pas» payer une rançon aux pirates informatiques, qu’elle a décrits comme «un groupe sophistiqué de cybercriminels mondiaux».
M. Callow se fait toutefois rassurant: dans la majorité des cas, il ne se passe rien avec les données volées, si ce n’est qu’elles «restent dans le Web caché».
Différentes méthodes
Les attaques par rançongiciel ne représentent pas la seule menace numérique pour les organisations.
En Colombie-Britannique, les autorités pensent qu’un acteur «étatique ou parrainé par l’État» a probablement été responsable d’une série d’attaques contre la province détectée en avril.
Lundi, le ministre de la Sécurité publique de la province, Mike Farnworth, a annoncé que 22 boîtes de réception de courrier électronique du gouvernement contenant les informations personnelles sensibles de 19 employés pourraient avoir été consultées lors d’une violation.
Des responsables du gouvernement canadien, dont le ministre de la Sécurité publique Dominic LeBlanc, ont publié lundi une déclaration commune visant à sensibiliser à la menace «posée par les cyberactivités malveillantes des États étrangers et de leurs affiliés».
Certains États étrangers mènent «des campagnes de grande envergure et à long terme» pour compromettre les systèmes informatiques du gouvernement canadien et du secteur privé, peut-on lire dans le communiqué, qui nomme entre autres la Chine, la Russie, l’Iran et la Corée du Nord.
Mardi, la vérificatrice générale du Canada a publié les résultats d’un audit de cybersécurité concluant que le gouvernement fédéral ne détient pas assez d’outils pour lutter efficacement contre des cyberattaques de plus en plus sophistiquées.
Nouvelle législation
C’est dans ce contexte qu’Ottawa devrait lancer cette année une nouvelle stratégie nationale de cybersécurité, découlant de la création du Centre national de coordination contre la cybercriminalité, en 2020.
Un projet de loi sur la cybersécurité fait également son chemin dans le processus législatif fédéral. S’il est adopté, il fournira un cadre pour la protection des systèmes en ligne vitaux pour la sécurité nationale ou la sécurité publique, notamment en habilitant les autorités à exiger de certains fournisseurs de services qu’ils mettent en œuvre des programmes de cybersécurité.
En Ontario, un autre projet de loi vise à renforcer la cybersécurité des institutions du secteur public régies par les lois existantes sur la protection de la vie privée et l’accès à l’information.
Les normes émergentes deviendront probablement une «feuille de route» pour les arguments liés à la responsabilité et à la négligence à la suite de cyberattaques, selon Me Charleston.
«Il est moins probable, je pense, que les tribunaux se prononcent sur ce qui répond aux normes de contrôle adéquat de la sécurité des données et de la cybersécurité d’ici à ce que certaines de ces orientations soient fournies par le gouvernement», dit-il.
De son côté, M. Callow estime que la cybersécurité devrait être soumise à des normes similaires à la manière dont d’autres secteurs sont réglementés, comme l’aviation et la construction automobile.
Mais il va plus loin en appelant à une interdiction pure et simple du paiement de rançons.
M. Callow met de l’avant un récent reportage médiatique suggérant que les responsables britanniques devraient lancer une consultation publique sur des propositions visant soit à interdire de tels paiements, soit à obliger les victimes à signaler une violation au gouvernement, puis à demander une licence avant d’effectuer un paiement.
«Toutes ces choses permettraient non seulement de réduire les rançons, mais nous aideraient également à mieux comprendre le nombre d’attaques», à son avis.
Me Charleston préconiserait une approche différente, affirmant avoir vu des cybercriminels bloquer l’accès à un système appartenant à une entreprise qui n’aurait probablement jamais pu récupérer ses données et reprendre ses activités si elle n’avait pas été autorisée à payer la rançon.
M. Callow reconnaît qu’il fait partie de la «minorité» en faveur de l’interdiction des rançons.
Les deux experts s’entendent malgré tout pour dire que certaines menaces susceptibles d’avoir des conséquences graves pourraient être évitées grâce à des mesures de sécurité de base, tout en soulignant l’importance d’une sécurité à plusieurs niveaux, surveillant en permanence toute activité anormale.
Me Charleston rappelle que même si les organisations modifient fréquemment leurs mesures de sécurité, cela offre aux pirates informatiques de «nouveaux paysages» à explorer.
«La façon dont les pirates s’infiltrent change constamment, et le champ de bataille change constamment pour que les professionnels de la cybersécurité assurent la sécurité de ces organisations.»