Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Par Julien Brault et François Normand

[Photo: Shutterstock]

La cybercriminalité n'est plus l'affaire de cracks de l'informatique travaillant dans le sous-sol de leurs parents. C'est une affaire de gros sous qui cause 23 milliards de dollars de pertes financières par année dans le monde. Le cybercrime attire aujourd'hui aussi bien le crime organisé que des malfaiteurs sans connaissances informatiques. Et toutes les entreprises sont des cibles potentielles.


À lire aussi:
Cinq stratégies pour réduire le risque


Il n'est plus nécessaire d'avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d'un colloque organisé par Finance Montréal.


En présence de deux organisateurs de l'événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d'une entreprise québécoise de lui prouver qu'il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d'un employé de l'entreprise. Une minute plus tard, le pirate lui envoyait une capture d'écran de la boîte de courriels de l'employé, dans laquelle on pouvait voir les dates d'envoi. « C'était un criminel qui vendait des noms d'utilisateurs et des mots de passe sur un site du type d'eBay, où on peut demander des catégories d'entreprises ou des noms d'entreprises spécifiques », raconte Éric Parent.


Ce dernier s'est fait offrir d'acheter un bloc de cinq mots de passe et noms d'utilisateurs pour 1,5 bitcoin, soit environ 500 $, selon le cours de ce jour-là. M. Parent a n'a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l'entreprise présenté sur la saisie d'écran lors de son allocution.


L'entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n'est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu'il ait informé l'entreprise de la situation. « Le pirate m'a dit qu'il pouvait nous obtenir de nouveau le bon mot de passe même si l'utilisateur le changeait, ce qui démontre qu'il est bien installé dans cette entreprise-là », dit M. Parent.


L'aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l'information chez PwC, soutient d'ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu'il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000 $ ou plus pour régler un problème qui lui a coûté 100 000 $ ; alors, il préfère attendre. »


Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : "Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l'étranger en train de négocier, et c'est là qu'ils vont passer à l'attaque et qu'ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte". »


De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus responsable. Dans l'État américain, la législation oblige les entreprises à se doter d'un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.


Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l'occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada's Vital Cyber Systems Act (c'est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.


À lire aussi:
Cinq stratégies pour réduire le risque



image

Blockchain

Jeudi 28 février


image

Pénurie de talents

Mercredi 13 mars


image

Objectif Nord

Mardi 09 avril


image

Femmes Leaders

Mercredi 24 avril


image

Gestion agile

Mercredi 08 mai

Sur le même sujet

Les États-Unis accusent la Chine du piratage du groupe hôtelier Marriott

12/12/2018 | AFP

Les États-Unis ont accusé mercredi la Chine de mener des cyberattaques sur leur sol, dont celle du groupe Marriott.

Les entreprises canadiennes ont dépensé 14G$ en cybersécurité

16/10/2018 | lesaffaires.com

95 % des répondants à ce sondage ont affirmé avoir recours à « une certaine forme de cybersécurité ».

À la une

Politique commerciale de Trump : et si le pire était à venir?

22/02/2019 | François Normand

ANALYSE - Trois enjeux pourraient avoir un impact majeur sur les entreprises et les investisseurs canadiens.

Bourse: les gagnants et perdants de la semaine

22/02/2019 | Martin Jolicoeur

BILAN. Quels sont les titres qui ont le plus marqué l'actualité boursière de la dernière semaine?

Projet Maxi-Flashfood: la fin de l'épicerie hebdomadaire

22/02/2019 | Diane Bérard

BLOGUE. Voici comment une épicerie quotidienne pourrait réduire la gaspillage financier et alimentaire.