Ces cyberconflits, bien que silencieux et invisibles pour nous, sont extrêmement bien financés et se déroulent 24 heures sur 24, partout dans le monde.
La récente attaque de Salt Typhoon, un groupe de cybercriminels soutenu par l’État chinois, illustre l’ampleur des cyberconflits modernes. Spécialisé dans le cyberespionnage, le groupe cible des infrastructures critiques comme les réseaux de télécommunications. Ces attaques menacent les données sensibles des citoyens et fragilisent la stabilité économique et stratégique des nations.
Que s’est-il passé?
Les cyberattaquants ont exploité des vulnérabilités existantes dans les infrastructures réseau, en particulier dans des équipements fabriqués par Cisco. Le groupe utilise des techniques avancées pour maintenir un accès persistant et discret aux réseaux compromis, rendant leur détection extrêmement difficile. Par exemple, ils appliquent une approche nommée «Living-off-the-land», qui s’appuie sur des logiciels légitimes déjà présents dans les systèmes. Cette méthode permet d’échapper aux solutions de sécurité traditionnelles. C’est un peu comme savoir qu’un voleur est dans votre maison, qu’il vous écoute, qu’il a accès à votre téléphone portable, mais sans pouvoir le localiser ni l’expulser.
Ils ont également déployé un logiciel malveillant nommé «GhostSpider», doté de mécanismes sophistiqués pour maintenir un accès prolongé tout en restant discret. Ce programme utilise des techniques comme l’exécution en mémoire, compliquant encore davantage sa détection par les antivirus classiques.
Qui est compromis?
Au moins huit entreprises de télécommunications ont été ciblées, dont AT&T, Verizon, T-Mobile et Lumen Technologies. Ces intrusions ont permis aux attaquants d’accéder à des métadonnées d’appels, révélant des informations sensibles sur les communications de nombreux Américains, y compris des hauts fonctionnaires et des personnalités politiques.
Il serait surprenant que Salt Typhoon se soit limité aux entreprises américaines. Les entreprises canadiennes, qui utilisent les mêmes technologies, représentent des cibles attrayantes, d’autant plus que les risques de représailles y sont souvent perçus comme moindres.
Quelles informations auraient été compromises?
Les cyberattaques orchestrées par Salt Typhoon ont permis de compromettre des données stratégiques. Parmi ces informations figurent les métadonnées d’appels, incluant les informations sur la source et la destination de l’appel, les horaires et la durée des communications. Dans certains cas, les attaquants ont également pu accéder au contenu des communications, telles que les appels et les messages texte, exposant ainsi des informations hautement confidentielles. Il est facile de s’imaginer que les communications de politiciens, de militaires ou de financiers peuvent avoir un intérêt stratégique pour une nation concurrente.
Quels sont les objectifs des attaquants?
Les commanditaires derrière Salt Typhoon poursuivent des objectifs stratégiques principalement axés sur l’espionnage et la déstabilisation. Le groupe vise à collecter des renseignements sensibles, notamment sur des responsables gouvernementaux, des personnalités politiques et des organisations d’importance stratégique. En compromettant des infrastructures critiques comme les réseaux de télécommunications, les attaquants cherchent également à préparer des perturbations potentielles en cas de conflit ou de crise. Ces actions visent à affaiblir les capacités de réaction des pays ciblés tout en renforçant l’avantage stratégique de leurs commanditaires. On peut penser que les commanditaires de Salt Typhoon sont des adeptes du dicton latin: «Si vis pacem, para bellum», ce qui signifie «Si tu veux la paix, prépare la guerre».
Comment les autorités ont–elles réagi?
Face à ces attaques réussies, les autorités ont renforcé leurs mesures de cybersécurité. Aux États-Unis, le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont émis des directives pour inciter les entreprises de télécommunications à combler les vulnérabilités exploitées par les attaquants. La FCC (Federal Communications Commission) a proposé de nouvelles règles exigeant des certifications annuelles pour garantir la sécurité des infrastructures critiques. Par ailleurs, des appels à une surveillance accrue du trafic réseau et à l’utilisation d’outils de communication chiffrés ont été lancés pour réduire les risques d’exfiltration de données sensibles. Ces mesures visent à réduire les impacts des attaques.
Les entreprises de télécommunications touchées s’efforcent d’éradiquer cette menace de leurs infrastructures. Cependant, selon des responsables américains, ces entreprises n’ont pas encore réussi à «éliminer complètement les acteurs chinois» de leurs réseaux. Les autorités américaines, notamment le FBI et CISA, collaborent étroitement avec ces entreprises pour évaluer l’ampleur des compromissions et mettre en œuvre des mesures de remédiation. Malgré ces efforts, la complexité et la sophistication des attaques rendent le processus de nettoyage long et ardu, et il est difficile de prévoir quand une éradication complète sera atteinte.
Sommes-nous prêts à faire face à des cyberattaques comme Salt Typhoon?
L’attaque orchestrée par Salt Typhoon soulève des questions cruciales sur notre capacité à protéger nos infrastructures critiques face à des menaces sophistiquées. Ce groupe de criminels a démontré à quel point des réseaux essentiels, comme ceux des télécommunications, peuvent être infiltrés et exploités sans détection pendant des mois. Si ces vulnérabilités existent aux États-Unis, pays disposant de capacités avancées en cybersécurité, il est légitime de se demander si le Canada est suffisamment préparé à une telle éventualité.
Les infrastructures critiques, qu’il s’agisse des télécommunications, des réseaux énergétiques ou des systèmes financiers, sont la colonne vertébrale de nos sociétés modernes. Pourtant, leur sécurité semble souvent reléguée au second plan face à d’autres priorités. Bien que le Centre canadien pour la cybersécurité (CCCS) ait publié des recommandations et collaboré avec des partenaires internationaux sur des mesures préventives, les efforts actuels semblent insuffisants face à l’ampleur des menaces. Les mesures restent réactives plutôt que proactives, laissant une marge dangereuse pour des attaquants déterminés et bien financés.
La véritable question est celle-ci: devons-nous attendre une catastrophe numérique pour prendre la sécurité de nos infrastructures critiques au sérieux? Malheureusement, l’histoire montre que des actions significatives en matière de sécurité surviennent souvent après une crise majeure. L’attaque de Salt Typhoon pourrait servir de signal d’alarme, mais l’absence de données spécifiques sur l’impact au Canada pourrait diluer le sentiment d’urgence. Pourtant, les conséquences d’une telle attaque ici pourraient être dévastatrices, paralysant les communications, le commerce, et même les services essentiels comme la santé.
Pour éviter une catastrophe, il est impératif que le Canada investisse davantage dans la protection de ses infrastructures critiques. Cela inclut non seulement le renforcement des systèmes technologiques, mais aussi l’amélioration de la collaboration entre les secteurs public et privé, la formation accrue des experts en cybersécurité et l’établissement de protocoles d’intervention rapides. Attendre ne fera qu’exacerber les risques. Agir dès maintenant est une nécessité pour garantir la résilience de notre société face à des menaces de plus en plus sophistiquées. Salt Typhoon est probablement la pointe de l’iceberg.
Les projets de loi C-26 et C-27 illustrent parfaitement l’inertie préoccupante qui entoure les efforts législatifs en matière de cybersécurité au Canada. Le projet de loi C-26, déposé en 2022, vise à protéger les cybersystèmes essentiels en renforçant les obligations de sécurité pour les infrastructures critiques comme les télécommunications et l’énergie. De son côté, C-27, également présenté en 2022, ambitionne de moderniser le cadre législatif sur la protection des données personnelles et d’encadrer l’intelligence artificielle. Ces initiatives, bien qu’essentielles, languissent dans les méandres législatifs depuis des années.
Ces deux exemples mettent en lumière un problème plus large: l’incapacité de répondre rapidement à des menaces croissantes. Si une loi comme C-26, cruciale pour la résilience des infrastructures critiques, met des années à être adoptée, elle sera probablement obsolète avant même son entrée en vigueur. Ce décalage entre l’évolution des cybermenaces et la lenteur des réponses législatives pose une question inquiétante: attendrons-nous qu’une catastrophe numérique frappe avant d’agir sérieusement? Ces retards ne font que renforcer le sentiment d’urgence. Il est impératif que le Canada surmonte cette inertie, car chaque jour d’inaction nous rend plus vulnérables face à des adversaires de plus en plus sophistiqués.
