Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Par Julien Brault et François Normand

[Photo: Shutterstock]

La cybercriminalité n'est plus l'affaire de cracks de l'informatique travaillant dans le sous-sol de leurs parents. C'est une affaire de gros sous qui cause 23 milliards de dollars de pertes financières par année dans le monde. Le cybercrime attire aujourd'hui aussi bien le crime organisé que des malfaiteurs sans connaissances informatiques. Et toutes les entreprises sont des cibles potentielles.

À lire aussi:
Cinq stratégies pour réduire le risque

Il n'est plus nécessaire d'avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d'un colloque organisé par Finance Montréal.

En présence de deux organisateurs de l'événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d'une entreprise québécoise de lui prouver qu'il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d'un employé de l'entreprise. Une minute plus tard, le pirate lui envoyait une capture d'écran de la boîte de courriels de l'employé, dans laquelle on pouvait voir les dates d'envoi. « C'était un criminel qui vendait des noms d'utilisateurs et des mots de passe sur un site du type d'eBay, où on peut demander des catégories d'entreprises ou des noms d'entreprises spécifiques », raconte Éric Parent.

Ce dernier s'est fait offrir d'acheter un bloc de cinq mots de passe et noms d'utilisateurs pour 1,5 bitcoin, soit environ 500 $, selon le cours de ce jour-là. M. Parent a n'a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l'entreprise présenté sur la saisie d'écran lors de son allocution.

L'entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n'est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu'il ait informé l'entreprise de la situation. « Le pirate m'a dit qu'il pouvait nous obtenir de nouveau le bon mot de passe même si l'utilisateur le changeait, ce qui démontre qu'il est bien installé dans cette entreprise-là », dit M. Parent.

L'aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l'information chez PwC, soutient d'ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu'il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000 $ ou plus pour régler un problème qui lui a coûté 100 000 $ ; alors, il préfère attendre. »

Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : "Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l'étranger en train de négocier, et c'est là qu'ils vont passer à l'attaque et qu'ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte". »

De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus responsable. Dans l'État américain, la législation oblige les entreprises à se doter d'un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.

Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l'occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada's Vital Cyber Systems Act (c'est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.

À lire aussi:
Cinq stratégies pour réduire le risque


image

DevOps

Mercredi 11 septembre


image

Gestion du changement

Mardi 17 septembre


image

Usine 4.0

Mardi 24 septembre


image

Marché du cannabis

Mercredi 23 octobre


image

Service à la clientèle

Mercredi 23 octobre


image

Communication interne

Mardi 26 novembre


image

Marché de l'habitation

Mercredi 04 décembre


image

Gestion de la formation

Jeudi 05 décembre


image

Sommet énergie

Mardi 21 janvier


image

Santé psychologique

Mercredi 22 janvier


image

Contrats publics

Mardi 28 janvier

Sur le même sujet

Frappée par un rançongiciel, Norsk Hydro fait état de «progrès»

20/03/2019 | AFP

Frappée par un rançongiciel, Norsk Hydro fait état de «progrès», sans donner de date de «retour à la normale».

Les États-Unis accusent la Chine du piratage du groupe hôtelier Marriott

12/12/2018 | AFP

Les États-Unis ont accusé mercredi la Chine de mener des cyberattaques sur leur sol, dont celle du groupe Marriott.

À la une

Scoring Tech Talent 2019: Montréal première pour son efficacité par rapport aux coûts

09:50 | Pascal Forget

Le rapport Scoring Tech Talent 2019 place Montréal au 13e rang des meilleurs marchés technologiques en Amérique du Nord.

L'Indice des prix à la consommation a progressé de 2 % en juin au Canada

Au Québec et en Ontario, l’Indice des prix à la consommation a progressé de 2,2 % d’une année à l’autre en juin.

À surveiller : Slack, CP et Cogeco

Que faire avec les titres de Slack, CP et Cogeco? Voici quelques recommandations d'analystes.