Questions de cybersécurité

La cybersécurité est aussi préoccupante que la pollution ou la pandémie. Si tout devient informatisé il faut que tout le monde puisse avoir confiance dans le système. Le télétravail est devenu plus courant avec la pandémie et il pourrait devenir la norme. Travailler sur le réseau internet implique des risques de sécurité pour les informations transmises. Alors que les cyberattaques sont de plus en plus fréquentes et coûteuses il y a de quoi être inquiet quand on fait des tests de sécurité au hasard.

Il suffit d’un maillon faible dans une chaîne pour qu’elle perde toute sa force. C’est pire pour un réseau dont les maillons sont multiples et abstraits.

Les fraudeurs informatiques disposent de moyens de plus en plus puissants qui sont divulgués à de plus en plus de gens. La menace va s’amplifier on peut en être sûr. L’attaque peut venir de n’importe où, le défenseur doit envisager toutes les possibilités, une tâche ardue!

Le spam
Olivier Andrieu – Abondance

Le piratage prend beaucoup de formes et touche beaucoup de gens. Commençons par un exemple simple de piratage à la portée de tous et assez courant.

Attaquer un concurrent sur le marché local

Le commerce des avis pour les réseaux 2.0 est légal et florissant. Si j’étais un entrepreneur sans scrupule désirant lancer un nouveau produit, ma stratégie serait simple: acheter beaucoup d’avis favorables pour mon produit et quelques avis dévastateurs sur le produit de mes concurrents. Une stratégie efficace et peu coûteuse sur le marché local de la recherche. On a beau savoir que ces avis sont plus ou moins biaisés on se dit que la note moyenne doit être à peu près représentative, pourtant quelques avis très négatifs peuvent la faire baisser brutalement.

Rien de tout ce stratagème n’est illégal. De nombreuses entreprises qui vendent de faux avis le font ouvertement sur des réseaux sociaux comme Facebook. L’un de ces groupes, découvert par CBC News, s’appelle Buy Google Reviews (Achetez des avis Google) et propose des forfaits à partir de 5 $.

Radio-Canada 5 juin 2021

Une recherche sur les restaurants de Joliette m’a permis de rapidement identifier un restaurant haut-de-gamme victime d’une série d’avis dévastateurs louches en quelques mois en 2020. J’ai contacté son propriétaire qui n’a visiblement pas compris ce qui s’est passé, il dit qu’il ne connaît pas ces prétendus clients. Et pour faire enlever un avis négatif par Google il faut prouver la fraude!

Le piratage en douce

Les pirates utilisent la force de millions d’appareils connectés qu’ils infectent à leur profit; par définition ces millions d’utilisateurs ne se rendent compte de rien.

Municipalité de Joliette
Web Page Test site internet de la Municipalité de Joliette: note de sécurité F

C’est très pratique, maintenant tout le monde peut faire son site internet sans aucune connaissance en informatique avec des outils gratuits comme GoDaddy ou WordPress. Mais ce n’est pas toujours une bonne idée:

Le spam SEO est l’un des hacks les plus courants pour infiltrer votre site Web. Selon ce rapport, 73% de tous les sites Web GoDaddy ont été touchés par du spam SEO…

36% de tous les sites Web basés sur WordPress utilisent des versions obsolètes de cette plate-forme CMS. Les sites qui utilisent des versions obsolètes sont plus susceptibles d’être piratés que ceux qui ont des versions prêtes et à jour de WP.

Spam SEO

En faisant une analyse du site WordPress internet d’un groupe communautaire je me suis aperçu que quelqu’un publie des articles de spam en utilisant son nom de domaine; l’organisme a publié une cinquantaine de pages mais dans l’index de Google il y a plus de 1.700 pages répertoriées pour son site: des casinos, du Viagra, des massages… Personne ne pouvait s’en rendre compte sans faire ce test sur Google: chercher site:nomdedomaine ce qui donne la liste de toutes les pages indexées pour le nom de domaine. Et c’est bien difficile de comprendre ce qui se passe au juste puisqu’on ne voit aucune trace de piratage dans l’interface d’administration.

26 août – Il y a aujourd’hui 13.900 pages de spam quand on fait la recherche site:societedhistoire.ca sur Google, personne n’a pris mon avertissement au sérieux.

Tourisme Lanaudière
Web Page Test site de Tourisme Lanaudière: note de sécurité F

La plupart des utilisateurs d’appareils informatiques n’ont aucune notion de sécurité et sont des proies faciles. Si ils font partie de mon réseau ils deviennent une menace pour ma sécurité.

La cyberattaque

La faille peut être d’origine humaine, technique ou systémique. Le périmètre à défendre est flou, tout est relié par le réseau. Un site internet comme celui-ci est testé en permanence par des robots pirates qui essaient d’accéder à l’interface d’administration, il doit être bien sécurisé. Mais ils testent le réseau en général en l’explorant continuellement; tout ce qui est relié au réseau est testé presque immédiatement.

MRC de Joliette
Web Page Test site de MRC de Joliette: note de sécurité F

Les pirates utilisent les failles de sécurité de systèmes mal paramétrés ou pas à jour. Ça peut être une application, le réseau Wi-Fi, un objet connecté, les failles potentielles deviennent de plus en plus nombreuses et difficiles à appréhender.

Le piratage concerne les individus, les entreprises et les gouvernements. Dans la cyberguerre les experts expliquent que certains états sont en train de cartographier les réseaux adverses, ils les testent et se positionnent dans ces réseaux pour les espionner et faire le maximum de dommages le moment voulu. Cette guerre est en cours, il ne faut pas être naïf.

La cyberdéfense

La cyberdéfense est devenue une affaire d’état, les enjeux sont énormes: paralyser Hydro-Québec en hiver serait une catastrophe. Les états élaborent des plans selon leur politique. Par exemple les pays anglo-saxons menés par les USA ont confié leur cyberdéfense à l’armée; ces pays choisissent souvent de ne pas révéler les failles informatiques détectées pour pouvoir les utiliser contre leurs ennemis.

Menaces de cybersécurité

D’autres pays comme la France ont confié leur cyberdéfense à un organisme civil (ANSII). Si une faille est connue elle sera publiée pour être corrigée afin de sécuriser les logiciels et améliorer le niveau de confiance du public. La cyberattaque est à part, sous la responsabilité de l’armée.

L’ANSSI joue un rôle de prévention, d’éducation et de certification. Elle publie des guides de référence mis à jour pour aider les particuliers, les administrations et les entreprises à respecter des normes et des procédures:

Paru en janvier 2013 dans sa première version, le Guide d’hygiène informatique édité par l’ANSSI s’adresse aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité. Il est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée.

Guide d’hygiène informatique

Un constat inquiétant

Depuis quelques années j’ai analysé pas mal de sites internet de la région Lanaudière. Mon constat est qu’il n’y a pas de directives et de guides clairs pour les employés chargés de réaliser ces sites web; souvent ils n’ont aucune expérience et apprennent sur le tas. Beaucoup de municipalités sont d’ailleurs obligées de refaire leur site ce qui coûte cher.

Musée d'art de Joliette
Web Page Test site du Musée d’art de Joliette: note de sécurité F

Le site internet n’est que la partie visible d’un système informatique, si il est géré par des amateurs ça signifie que le reste du système informatique doit aussi être vulnérable. Des rançons sur des municipalités c’est de plus en plus courant.

Le télétravail

La première mesure de sécurité pour un système informatique est d’abriter les appareils connectés au réseau derrière un pare-feu pour créer une sorte d’enceinte fortifiée, première défense.

Stratégie nationale de cybersécurité

En télétravail cette enceinte devient virtuelle. Il faut communiquer par des canaux sécurisés pour échanger des informations. C’est contraignant mais la sécurité du réseau l’oblige; le traitement des informations implique une responsabilité légale.

Il faut donc qu’employeur et employé définissent clairement les procédures de sécurité à suivre en tout temps. Le domicile devient virtuellement partie de l’entreprise. Si mon système domestique est piraté à mon insu et que ça a des conséquences sur les informations transmises ou sur le système informatique de mon entreprise, le patron ne sera pas content mais c’est à lui de sécuriser son système et de former ses employés au télétravail.

Et c’est ce qui me frappe, le manque de formation généralisé de la population à la sécurité informatique malgré la stratégie nationale de cybersécurité adoptée par le Canada en 2018.

Un point faible dans un réseau et c’est la faille potentielle. Nous sommes reliés à notre réseau domestique, à nos réseaux sociaux, à notre réseau professionnel, ça commence à faire un réseau complexe de plus en plus difficile à appréhender et donc à maîtriser.

Québec - Cybersécurité

Comme n’importe qui peut avoir un appareil connecté sans aucune notion de sécurité et pénétrer dans mon réseau, mon meilleur ami peut devenir une menace sans même s’en rendre compte.

Le Web Page test

La municipalité de Joliette, la MRC de Joliette, le musée de Joliette, Tourisme Lanaudière, leurs sites internet sont tous notés F en cybersécurité par ce test standard. En cliquant sur le F on a des précisions sur les failles, de bonnes informations pour savoir comment attaquer!

Il y a quelques années en faisant ces tests j’ai évidemment constaté que mon site aussi avait une note de F; j’ai été voir le diagnostic. En faisant une recherche rapide sur la première faille critique signalée j’ai facilement trouvé la solution et j’ai pu la fixer en cinq minutes (en ajoutant quelques lignes de code). La note est passée à A immédiatement. Mais la sécurité ce n’est jamais définitif, il faut continuellement faire des mises à jour en fonction des nouvelles techniques d’attaque.

Je suis un webmaster amateur, les webmasters professionnels des administrations ne semblent même pas faire de test de sécurité ou d’audit indépendant. On est encore loin de la cybersécurité!

Courrier International 9 juin 2021
Courrier International 7 juin 2021

Laisser un commentaire