Quelques façons de se prémunir contre les cyberattaques d'infrastructures critiques

Offert par Les Affaires


Édition du 10 Mars 2021

Quelques façons de se prémunir contre les cyberattaques d'infrastructures critiques

Offert par Les Affaires


Édition du 10 Mars 2021

Par Denis Lalonde

Alexis Dorais-Joncas, directeur du centre de recherche et développement de l’entreprise de cybersécurité ESET, à Montréal, estime qu’il y a un risque. (Photo: courtoisie)

Début février, une usine de production d’eau potable de la municipalité d’Oldsmar, en banlieue de Tampa Bay, a été victime de cybercriminels. Ce ou ces derniers ont tenté de relever le taux d’hydroxyde de sodium, un produit chimique, de 100 à 11 000 parties par million dans l’eau pour la rendre dangereuse à consommer. Si les autorités ont pu réagir à temps, l’attaque fait craindre pour la vulnérabilité d’infrastructures critiques. Se pourrait-il qu’une attaque similaire frappe une ville du Québec ? Alexis Dorais-Joncas, directeur du centre de recherche et développement de l’entreprise de cybersécurité ESET, à Montréal, estime qu’il y a un risque.

 

Les Affaires – Comment les cybercriminels ont-ils pu pénétrer à l’intérieur du réseau de l’usine de production d’eau potable à Oldsmar ?

Alexis Dorais-Joncas – Ce que l’on sait, c’est que les attaquants ont réussi à prendre le contrôle de la station qui contient les logiciels pour maîtriser l’usine par le biais de TeamViewer, un logiciel couramment utilisé pour accéder à des systèmes informatiques à distance. Ils ont pu prendre le contrôle de l’usine comme s’ils étaient sur place, derrière le clavier et la souris. L’hypothèse la plus plausible est que le mot de passe pour accéder au système était trop court ou facile à deviner. Par ailleurs, l’usine fonctionnait encore avec le système d’exploitation Windows 7, qui n’est plus supporté par Microsoft depuis le 14 janvier 2020, tout en étant exposé à Internet. C’est un peu comme si on s’était arrangé pour que tous les pirates informatiques soient tentés de venir cogner à la porte.

 

L.A. – Est-il possible qu’une telle attaque survienne au Québec ?

A.D.-J. – Plusieurs conditions sont réunies pour que le risque d’une cyberattaque soit plus élevé que pour d’autres types de systèmes. Ce que je veux dire, c’est qu’il est essentiel de faire de la surveillance de systèmes comme ça, à distance, surtout en contexte de pandémie. Les usines de production d’eau potable sont décentralisées. Plusieurs municipalités ont leur.s usine.s et toutes n’utilisent pas les mêmes technologies pour les gérer. Il existe donc un risque que de petites municipalités n’aient pas toutes les ressources pour faire une gestion exem-plaire de la sécurité informatique. Il faut seulement un système délaissé et vulnérable pour qu’un attaquant entre et puisse faire des dommages. Il y a toutefois un facteur qui joue en faveur de la décentralisation. Ça enlève le risque qu’un attaquant puisse affecter l’ensemble des usines d’eau potable de la province avec une seule attaque.

 

L.A. – Quelles sont les façons de se prémunir contre de telles attaques ?

A.D.-J. – Il y a plusieurs façons. À la base, les municipalités devraient avoir un inventaire de tous les systèmes critiques et un plan de maintenance pour que les infrastructures puissent bénéficier des protections les plus récentes. En Floride, le système d’exploitation était désuet, mais même avec une version Windows 10 mise à jour, si le mot de passe de TeamViewer est trop facile à deviner, les pirates informatiques pourront quand même s’introduire dans le réseau.

L’authentification à deux facteurs est donc une autre bonne pratique, car elle protège contre les vols de mot de passe. De plus, il faut procéder fréquemment à des audits de sécurité et à des tests d’intrusion. Idéalement, on cache aussi les serveurs derrière un réseau privé virtuel (Virtual Private Network, ou VPN). De cette manière, il faut d’abord se brancher au VPN avant de pouvoir accéder au réseau. Si on ajoute une authentification à deux facteurs, on a des barrières supplémentaires à l’entrée. La sécurité d’un système est toujours égale à son maillon le plus faible.

 

L.A. – Avec toutes ces bonnes pratiques, les systèmes seraient-ils protégés contre toutes les attaques ?

A.D.-J. – Il faut arrêter les attaques où les cybercriminels n’ont qu’à balayer le Web à la recherche de systèmes vulnérables pour y déployer des rançongiciels. Oui, certains pirates pourraient quand même franchir toutes les étapes, mais ça prendrait beaucoup plus de temps et de ressources. Ça augmente les chances d’empêcher l’intrusion pendant qu’elle est en cours au lieu d’être placé devant le fait accompli.

 

BIO: Alexis Dorais-Joncas est directeur du centre de recherche et développement de l’entreprise de cybersécurité ESET à Montréal. Il a aussi été chercheur en logiciels malveillants dans la même entreprise. Auparavant, il a été VP en ingénierie pour l’entreprise Kryptiva.

Sur le même sujet

Les entreprises sont encore davantage la cible de cyberpirates

Édition du 14 Avril 2021 | Philippe Jean Poirier

TRANSFORMATION NUMÉRIQUE. Des entreprises qui basculent en télétravail sans avoir le temps de sécuriser leurs accès...

Des données personnelles d'employés de Promutuel compromises

Promutuel a dévoilé vendredi les résultats de l’analyse préliminaire menée par ses experts.

À la une

Québec scellera bientôt le sort de Lithium Amérique du Nord

16/04/2021 | François Normand

ANALYSE - Trois entreprises seraient encore dans la course pour acheter la minière: une québécoise et deux étrangères.

Entrepreneuriat: le «trou noir» afflige le Québec

16/04/2021 | Emmanuel Martinez

La pérennité des nouvelles entreprises est faible dans la province, démontre une étude de l’UQTR.

La devise des entrepreneurs québécois: «Je veux changer le monde»

16/04/2021 | Emmanuel Martinez

Contrairement à ceux de l'étranger, les entrepreneurs québécois veulent «changer le monde», selon une étude de l'UQTR.