Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Par Julien Brault et François Normand

[Photo: Shutterstock]

La cybercriminalité n'est plus l'affaire de cracks de l'informatique travaillant dans le sous-sol de leurs parents. C'est une affaire de gros sous qui cause 23 milliards de dollars de pertes financières par année dans le monde. Le cybercrime attire aujourd'hui aussi bien le crime organisé que des malfaiteurs sans connaissances informatiques. Et toutes les entreprises sont des cibles potentielles.


À lire aussi:
Cinq stratégies pour réduire le risque


Il n'est plus nécessaire d'avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d'un colloque organisé par Finance Montréal.


En présence de deux organisateurs de l'événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d'une entreprise québécoise de lui prouver qu'il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d'un employé de l'entreprise. Une minute plus tard, le pirate lui envoyait une capture d'écran de la boîte de courriels de l'employé, dans laquelle on pouvait voir les dates d'envoi. « C'était un criminel qui vendait des noms d'utilisateurs et des mots de passe sur un site du type d'eBay, où on peut demander des catégories d'entreprises ou des noms d'entreprises spécifiques », raconte Éric Parent.


Ce dernier s'est fait offrir d'acheter un bloc de cinq mots de passe et noms d'utilisateurs pour 1,5 bitcoin, soit environ 500 $, selon le cours de ce jour-là. M. Parent a n'a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l'entreprise présenté sur la saisie d'écran lors de son allocution.


L'entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n'est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu'il ait informé l'entreprise de la situation. « Le pirate m'a dit qu'il pouvait nous obtenir de nouveau le bon mot de passe même si l'utilisateur le changeait, ce qui démontre qu'il est bien installé dans cette entreprise-là », dit M. Parent.


L'aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l'information chez PwC, soutient d'ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu'il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000 $ ou plus pour régler un problème qui lui a coûté 100 000 $ ; alors, il préfère attendre. »


Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : "Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l'étranger en train de négocier, et c'est là qu'ils vont passer à l'attaque et qu'ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte". »


De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus responsable. Dans l'État américain, la législation oblige les entreprises à se doter d'un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.


Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l'occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada's Vital Cyber Systems Act (c'est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.


À lire aussi:
Cinq stratégies pour réduire le risque



image

Objectif Nord

Mardi 25 septembre


image

Gestion du changement

Mercredi 03 octobre


image

Marché du cannabis

Mercredi 10 octobre


image

Expérience client

Mercredi 14 novembre


image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Contrats publics

Mardi 22 janvier


image

Financement PME

Mercredi 30 janvier

Sur le même sujet

Les cyberattaques par les États-nations en hausse, selon Europol

18/09/2018 | AFP

Les pirates délaissent les attaques aléatoires et ciblent davantage des personnes ou des compagnies.

La cybercriminalité coûte 600 milliards par année

21/02/2018 | AFP

«L'activité criminelle est plus efficace, moins risquée, plus rentable et plus facile que jamais.»

À la une

Voir les choses sous un autre angle pour réussir en Bourse

BLOGUE INVITÉ. Cela ne veut pas dire qu’il faut adopter l’opinion contraire à celle du plus grand nombre.

Les taux grimpent, que faire avec les obligations à court terme?

16:11 | Ian Gascon

Les FNB d’obligations ne s’écroulent pas malgré la hausse des taux. Voici pourquoi:

MTY et Richelieu graduent au S&P/TSX

Le 24 septembre avant l'ouverture, MTY et Richelieu feront enfin leur entrée au grand indice de la Bourse de Toronto.