Le 19 juillet, 8,5 millions d’appareils ont fait l’objet d’une mise à jour logicielle défectueuse exécutée par le fournisseur de cybersécurité CrowdStrike, et nombre d’entre eux ont affiché le redoutable « écran bleu de la mort ». L’Internet a tremblé, des vols ont été cloués au sol, des opérations chirurgicales ont été annulées et des systèmes de paiement ont connu des dysfonctionnements dans le monde entier. L’expérience a peut-être rappelé aux Canadien·nes victimes de retards dans les aéroports ou les salles d’attente des hôpitaux, la panne de Rogers survenue en 2022.
Heureusement, un correctif a été apporté rapidement, et les professionnel·les des TI ont pu contenir l’ampleur de l’incident dans un délai relativement court, mais les organisations doivent se préparer aux contrecoups causés par les cybercriminel·les qui cherchent à tirer profit du chaos.
La panne a fait connaître CrowdStrike du jour au lendemain; de nombreuses personnes n’en avaient jamais entendu parler auparavant. Cette notoriété soudaine, sans que l’on sache vraiment ce que fait l’entreprise (ou les services qu’elle offre), a permis à des arnaqueur·ses de tromper plus facilement les gens.
Malheureusement, les pirates informatiques tirent toujours profit des crises et nous voyons déjà des campagnes ciblées et sophistiquées qui exploitent la panne. Des criminel·les ont développé des sites Web convaincants (mais faux) dans lesquels ils se font passer pour le personnel de CrowdStrike et prétendent offrir du soutien ou une indemnisation pour la perturbation. De plus, ils/elles se font passer pour des employé·es de CrowdStrike et contactent les utilisateur·rices par téléphone et par courriel pour les tromper et obtenir un accès à distance à des renseignements sensibles.
Dans un tel contexte, les utilisateur·rices peuvent se sentir obligé·es de divulguer des renseignements personnels tels que leur nom d’utilisateur·rice et leur mot de passe à une personne qui, croient-ils, travaille dans leur intérêt, mais qui est en fait un·e arnaqueur·se.
Après avoir obtenu nos renseignements, les malfaiteur·ses peuvent les utiliser de diverses façons. Dans le contexte d’une entreprise, ils/elles pourraient voler des données sensibles sur les client·es et demander une rançon, exfiltrer des plans d’affaires ou vendre vos renseignements à d’autres criminel·les sur le Web caché.
Dans le domaine de la cybersécurité, ces actions sont généralement décrit·es comme des « campagnes de piratage psychologique », c’est-à-dire de ruses de pirates informatiques qui s’appuient sur l’interaction humaine pour tromper les gens et les amener à fournir des renseignements confidentiels.
Malheureusement, les organisations devront également se méfier d’une série de menaces techniques qui impliquent des attaques directes sur les systèmes et les réseaux touchés par la panne.
Par exemple, les cybercriminel·les profitent de la crise pour infecter les appareils concernés avec des logiciels malveillants ou maliciels. Les auteur·rices de menaces ont commencé à faire circuler un fichier au nom trompeur qui prétend apporter une solution au problème. Malheureusement, il contient un cheval de Troie d’accès à distance, un maliciel qui peut accéder secrètement à un appareil sans que l’utilisateur·rice ne le détecte. Il permet aux malfaiteur·rices de surveiller l’appareil, de voler vos données et de faire des ravages sur vos réseaux à un moment ou à un autre.
Compte tenu des coûts d’une cyberattaque, les répercussions de la perturbation provoquée par CrowdStrike pourraient être plus graves que l’incident lui-même. Entre les frais juridiques, le soutien à la clientèle, la gestion de crise et les facteurs de reprise, le coût moyen d’une violation de données au Canada est de 6,32 millions de dollars. Bien sûr, ce n’est que la pointe de l’iceberg. Une cyberattaque peut également porter un coup sévère à la réputation d’une organisation : la publicité négative et les réactions négatives sur les médias sociaux peuvent être très difficiles à contrer, et si les consommateur·rices ont des doutes sur la capacité d’une organisation à fournir des services ou à protéger leurs renseignements, ils/elles peuvent être enclin·es à aller faire affaire ailleurs.
Au cours des prochaines semaines, les organisations et leur personnel devront être vigilant·es. C’est le moment idéal pour les organisations qui ont été directement touchées de demander à leur personnel de suivre des cours de recyclage dans le cadre de la formation en cybersécurité. Un personnel informé est la meilleure défense d’une organisation contre les cybermenaces. Le coût de la formation et de la mise en œuvre de mesures de protection en matière de cybersécurité est bien inférieur au coût de la reprise après une attaque.
S’il y a un point positif qui ressort de cette situation, c’est que nous avons des discussions importantes sur la meilleure façon de renforcer nos cyberdéfenses. Plusieurs organisations ont annoncé publiquement que leurs activités étaient touchées par la panne de CrowdStrike. Si le fait de nommer des fournisseur·ses de sécurité peut potentiellement attirer l’attention des cybercriminel·les, le fait d’indiquer que votre organisation a été touchée est une démarche responsable.
La transparence est puissante, importante et peu commune dans le domaine de la cybersécurité qui a historiquement privilégié la sécurité par la discrétion. Les incidents de ce type favorisent l’apprentissage collectif et aident les client·es et les partenaires à savoir ce qu’ils/elles doivent faire pour mieux se protéger par la suite.
Les organisations touchées par la panne CrowdStrike doivent rester vigilantes. Même si le pire semble passé, nous risquons de continuer à ressentir des secousses pendant un certain temps. Il s’agit d’un moment propice à l’apprentissage pour tous/toutes les acteur·rices du secteur : il nous rappelle que la question n’est pas de savoir si l’un·e d’entre nous sera victime d’un cyberincident, mais plutôt quand il/elle le sera.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
