Cyberattaque : un dix roues pas de freins

Precicom Technologies se spécialise dans l’infogérance, la sécurité informationnelle et l’intelligence numérique. Dans le cadre des Grands Rendez-vous de l’Association du camionnage du Québec, Stéphane Toupin, cofondateur de l’entreprise, a abordé la cybersécurité et ses enjeux pour l’industrie du camionnage.   

Saviez-vous que, jusqu’à 80 % des entreprises ayant perdu leurs données vont faire faillite dans les 12 mois suivants?

Dès le départ, M. Toupin a déclaré que l’industrie du camionnage est particulièrement visée par les cyberattaques. En guise d’exemple, il a rappelé l’attaque informatique subie par Transport B&B en 2020. Incapable de récupérer le contrôle de ses données dans un délai raisonnable, le transporteur s’est résolu à payer une rançon. 

Il existe deux types de cyberattaques : ciblées et aléatoires. Les attaques ciblées visent une entité en particulier alors que les attaques aléatoires peuvent se produire si, par exemple, vous cliquez sur un lien envoyé à des milliers de personnes. Dans le cas de Transport B&B, c’est une faille dans le pare-feu de l’entreprise qui a permis au malfaiteur – ou aux malfaiteurs – de s’infiltrer dans le système.    

«Avec les attaques, le problème, c’est que ça prend des secondes, des minutes ou des heures à se produire, et à l’inverse, ça va prendre des jours, des semaines ou même des mois à détecter», de dire M. Toupin, ajoutant qu’il souhaite éviter aux entreprises de se retrouver à Denis Lévesque parce qu’elles sont victimes d’une cyberattaque.

Il a expliqué qu’auparavant, les virus informatiques ne servaient qu’à faire du vandalisme. Aujourd’hui, les virus ont évolué et on parle de plus en plus d’attaques ciblées. «Les cyberattaques, c’est maintenant un modèle d’affaires et on est capable de faire de l’argent en piratant des entreprises et en demandant des rançons, ou en volant de l’information et en la vendant», poursuit-il, précisant que l’industrie du camionnage possède des informations «intéressantes». Il a ajouté que, de manière générale, le niveau de confiance des gens envers la sécurité est inversement proportionnel à leur niveau de connaissance.

Selon M. Toupin, le pire cauchemar en cybersécurité, c’est l’humain. Ainsi, au-delà des technologies qui peuvent être adoptées pour renforcer la sécurité des systèmes informatiques, les entreprises devraient impérativement se méfier de leurs propres employés.

L’ingénierie sociale est définie comme une forme d’escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l’aspect humain et social de la structure à laquelle est lié le système informatique visé.

Par exemple : quelqu’un téléphone à la réception d’une entreprise en se faisant passer pour un technicien de Bell Canada. Cette personne parvient à obtenir un mot de passe sous prétexte qu’elle doit effectuer des tests de réseau. Il ne s’agit pas de piratage informatique, mais bien d’exploitation après avoir établi un lien de confiance avec l’employé. «C’est ça, de l’ingénierie sociale», de poursuivre M. Toupin.

Stéphane Toupin

La cible, c’est l’humain

«Sur 156 millions de courriels d’hameçonnage envoyés, 16 millions vont déjouer les filtres, huit millions vont être ouverts et on va cliquer sur 800 000 liens parmi ces courriels-là. En bout de ligne, 80 000 personnes vont mordre à l’hameçon et partager de l’information confidentielle. La joke, c’est que c’est par jour», explique le spécialiste en cybersécurité.      

Precicom fait d’ailleurs des campagnes d’hameçonnage volontaire pour tester la réceptivité des gens, et les résultats sont pour le moins déroutants. Lors d’une récente campagne, l’entreprise a envoyé un courriel à 154 destinataires d’une même compagnie leur demandant de changer leur mot de passe pour Office 365. Parmi ceux-ci, 66 ont cliqué sur le lien et 62 ont entré leur nom d’usager et leur mot de passe. «Si on avait été des pirates, on aurait réellement volé 62 comptes de courriels», a déploré M. Toupin, avant d’enchaîner avec d’autres exemples.

Les courriels d’hameçonnage peuvent prendre de multiples formes, y compris celle d’une facture en souffrance ou même d’un curriculum vitae en format Word. «On a tous besoin d’employés et on veut embaucher des gens, alors on va l’ouvrir», prévient-il.

Toujours selon M. Toupin, plus on est haut dans une entreprise, moins les mesures de sécurité sont appliquées. À commencer par un patron qui, pour gagner du temps, demanderait à ne plus avoir à utiliser de mot de passe pour accéder à tel ou tel système. Ou des gens d’informatique un peu trop téméraires qui pourraient avoir tendance à se soustraire aux mesures de sécurité.

Candy drop

Cette technique consiste à laisser traîner dans un stationnement – ou tout autre espace public – des clés USB trafiquées permettant aux malfaiteurs d’accéder au contenu d’un ordinateur. «En tant que bon humain, si vous trouvez une clé USB par terre et que c’est écrit ‘’voyage’’ dessus, par exemple, votre réflexe va être de la brancher dans votre ordinateur pour voir ce qu’il y a sur cette clé USB», explique Stéphane Toupin, ajoutant que le même résultat peut être obtenu avec des chargeurs de téléphone intelligent piratés. Ces derniers sont virtuellement identiques à ceux offerts par les fabricants, et particulièrement susceptibles d’être branchés dans un ordinateur lorsqu’ils sont trouvés par terre. «Votre antivirus ne verra rien passer parce que ce n’est pas un virus. C’est réellement, réellement épeurant.»

(photo : Benjamin Scheidl/Pixabay)

Dans le même ordre d’idée, des tablettes piratées sont parfois envoyées à des entreprises en guise de cadeau offert par un commanditaire ou un client. Les appareils sont en apparence neufs, livrés dans leur boîte d’origine, mais le système d’exploitation a été modifié. Ce qui n’est pas sans rappeler l’épisode du cheval de Troie dans la mythologie grecque. Lorsque la personne qui reçoit la tablette se branche sur le réseau Wi-Fi de la compagnie, le vol de données peut commencer…

La prudence reste de mise

L’un des problèmes avec les virus, c’est qu’ils changent constamment et qu’ils sont difficiles à identifier. Pour une protection optimale, les entreprises doivent se tourner vers des antivirus «comportementaux» de nouvelle génération qui détectent des comportements suspects, contrairement aux antivirus conventionnels qui détectent des logiciels suspects en fonction d’une liste incomplète.

Les mots de passe apparaissant au dictionnaire peuvent être détectés instantanément par un ordinateur utilisé à cet effet. Quant aux mots inventés, ils peuvent être découverts en quelques secondes à peine grâce à un procédé appelé itération. «L’ordinateur va essayer des lettres comme A, AA, AB, AC de façon séquentielle», d’expliquer M. Toupin, qui suggère d’utiliser des «phrases de passe» au lieu des mots de passe. «Ce qui fait la complexité d’un mot de passe, ce ne sont pas les majuscules, les minuscules et les points d’exclamation. C’est un peu une fausse vérité. Plus un mot de passe est long et moins il utilise des mots du dictionnaire, meilleur il va être.» 

Les entreprises devraient s’assurer de donner les bons accès aux bonnes personnes. Souvent, selon M. Toupin, les employés ont accès à beaucoup trop d’informations par rapport aux tâches qu’ils doivent accomplir. Ceci s’applique à tous les employés, y compris ceux à la vice-présidence.   

Enfin, lorsque vous êtes sur la route, méfiez-vous des réseaux Wi-Fi hostiles. Si vous transférez de l’information sur des réseaux sans fil publics, utilisez des communications chiffrées et sécurisées (un réseau virtuel privé ou VPN en anglais). «Le cloud n’est pas sécuritaire en soi, il faut l’utiliser de la bonne façon et le rendre sécuritaire.», conclut-il.    

Donnez votre avis

Vos données ne seront ni publiées, ni partagées.

*