PERSPECTIVES Le démantèlement du réseau québécois de pirates informatiques constitue un exploit remarquable. Jacques Viau, directeur de l’Institut de la sécurité de l’information du Québec espère que plusieurs en tireront enfin des leçons.
L’arrestation de Québécois soupçonnés d’avoir participé à un réseau cybercriminel a fait couler beaucoup d’encre, de salive et de kilobits. Certes, le démantèlement d’un tel réseau est un événement qui survient encore rarement, bien que quelques organisations aient été démantelées à ce jour à divers endroits de la planète.
Or, Jacques Viau, le directeur de l’Institut de la sécurité de l’information du Québec, estime que plusieurs messages émanent de l’intervention policière. L’événement prouve notamment que le cybercrime n’épargne personne, alors que le fléau est loin d’être enrayé.
« On vient d’avoir la preuve de ce dont les spécialistes en sécurité de l’information nous parlent depuis plusieurs années, qui demeure plus ou moins concret pour le milieu des affaires et pour les citoyens. Il ne s’agit pas d’histoires, mais de choses qui existent », constate M. Viau.
« Cela envoie le message que ça existe, et pas seulement ailleurs. On me dit souvent : bah! les pirates, les hackers et les crimes, c’est toujours aux États-Unis ou ailleurs. Ce n’est pas vrai. On constate maintenant que c’est au Québec, que ça émane du Québec et que ces gens étaient organisés. On constate aussi que des entreprises et des gouvernements ont été touchés, dont les environnements ont une certaine maturité au niveau de la sécurité, et non seulement des PME qui ont très peu de mesure d’implantées.
« Oui, on a attrapé un groupe, mais il en existe encore plusieurs qui opèrent sur la Toile. Il y a des groupes organisés, dont le crime organisé. Il y a beaucoup de criminels qui recherchent le gain financier par l’usurpation d’identité et l’hameçonnage, et l’Internet est devenu un environnement avec des risques très limités pour les criminels », ajoute-t-il.
De la stratégie aux opérations
M. Viau croit que le démantèlement du réseau de pirates prouve qu’il y a une maturité des entreprises et des organisations au niveau de la stratégie, des processus et des politiques de sécurité, mais qu’elles devront oeuvrer sérieusement à l’arrimage de ces concepts à la réalité des opérations.
« Selon mon expérience personnelle, on prend beaucoup trop la sécurité d’un point de vue stratégique, indique-t-il. Beaucoup de penseurs ont lu un livre ou deux, où l’on décrit beaucoup de bonnes pratiques et de bonnes politiques. Mais vont-ils voir les gens qui sont à la base, ceux qui ont à assurer la sécurité des environnements, et est-ce qu’on se documente vraiment? Je pense que le lien n’est pas fait, et c’est une erreur qui est faite dans plusieurs situations. »
« Dans certaines usines, notamment au Japon, les administrateurs vont jusqu’à la chaîne de montage pour se rendre compte de problèmes et pour prendre conscience de ce qui se passe à la base. Ici, on ne se rend pas jusqu’aux opérations pour voir quels sont les problèmes réels, si une politique est applicable et de quelle façon on peut l’appliquer. On se contente de le faire de façon stratégique. »
« En matière de sécurité, on entre dans l’adolescence et on n’est pas encore mature. »
Les difficiles réalités du monde virtuel
M. Viau, un ancien policier, met en perspectives les difficultés que rencontrent les forces de l’ordre qui effectuent des enquêtes sur l’Internet. Pour mettre la main au collet des malfaiteurs, bien des notions applicables dans la vie réelle depuis des centaines d’années deviennent invalides dans l’univers virtuel.
La première différence est l’absence de contact physique et personnel entre les personnes. « Dans le monde réel, il faut que le malfaiteur interagisse de façon tangible avec la victime ou le lieu pour commettre un délit. Au niveau virtuel, on n’a pas cette notion, alors qu’il passe des millions de paquets de données qui sont tous semblables les uns aux autres. L’identification d’un délit est beaucoup plus difficile », explique-t-il.
« On a déjà vécu une première transition au niveau technologique avec la téléphonie. Avant, la personne devait être présente physiquement pour faire sa menace. Lorsqu’elle est faite par téléphone, il est difficile pour une compagnie de téléphone de savoir dans quelle communication se trouve une menace de mort. Sur Internet, c’est encore plus difficile parce que tous les paquets se ressemblent et proviennent de n’importe où dans le monde. »
L’environnement numérique apporte un autre degré de difficulté pour les policiers, alors que les personnes qui y interagissent sont représentées par des adresses IP impersonnelles, dans un univers sans frontières.
« Pour connaître l’utilisateur d’une adresse IP, les policiers doivent être munis d’un mandat. Ils doivent aller voir un juge, donc faire une démarche qui peut prendre plusieurs heures, pour simplement obtenir l’identité d’une personne qui utilise une adresse IP. Si on compare l’autoroute de l’information à l’autoroute des Laurentides, c’est comme si tous les véhicules étaient des Chevrolet beiges sans plaque d’immatriculation, et que pour connaître l’identité des conducteurs il fallait avoir un mandat d’un juge… », explique M. Viau.
Le spécialiste ajoute que les policiers ont affaire à des zombies, soit des ordinateurs situés n’importe où qui sont infectés par des malfaiteurs, à l’insu de leurs propriétaires, afin d’en prendre le contrôle et de les utiliser pour attaquer d’autres environnements informatiques ailleurs au monde. Remonter la piste constitue alors un effort d’une ampleur considérable.
« Imaginez la difficulté de remonter dans un monde virtuel du plaignant vers un [zombie], puis avec le fournisseur d’accès Internet, de remonter au point de départ à qui exerçait le contrôle sur une machine. Et on peut utiliser plusieurs zombies pour finalement contrôler un ordinateur », note M.Viau.
« C’est une dimension qui fait en sorte que les policiers doivent de plus en plus travailler ensemble, mais il y a des obstacles au niveau des relations, des langues et des lois qui diffèrent d’un pays à l’autre. Les policiers ont sûrement effectué plusieurs démarches et analysé plusieurs registres et informations avant de remonter jusqu’aux individus », ajoute-t-il.
Carence en ressources… et en collaboration
D’ailleurs, le spécialiste souligne que les unités d’identification de crimes virtuels sont très peu nombreuses. Puisqu’il existe peu de statistiques portant sur la criminalité virtuelle, peu de ressources humaines sont affectées à la résolution des crimes perpétrés dans l’univers numérique. Et le silence des victimes n’aide pas leur cause…
« La plupart des entreprises ne sont pas conscientes des incidents de sécurité dont elles sont victimes, ou bien ne veulent pas les rapporter parce que cela pourrait nuire à leur image et à leur réputation. Donc, on n’a pas encore le nombre exact d’événements du genre, et c’est logique qu’on n’affecte pas un plus grand nombre de policiers [à résoudre de tels crimes]. »
D’ailleurs, il est difficile de savoir combien d’identités ont été usurpées, qu’est-ce qui est fait avec ces informations et quel est le montant des fraudes commises par les cybercriminels québécois qui faisaient partie du réseau démantelé. L’étendue des dommages sera connue au terme de l’analyse des ordinateurs saisis. Mais les policiers seront confrontés à un autre obstacle majeur, soit le requis et les ressources manquantes.
« C’est extrêmement long et pénible de faire l’analyse des données sur les ordinateurs. Cela demande beaucoup de patience, et avec la capacité des disques d’aujourd’hui, c’est un travail de titan que de prélever la preuve et d’en faire du sens. Les policiers ont encore beaucoup plus de travail à faire que celui qu’ils ont fait jusqu’à maintenant.
« Les corps policiers, en moyenne, ont plusieurs mois de retard en raison d’une surcharge de travail qu’ils ont à cause du peu de personnel des unités, estime M. Viau. Ils vont sûrement traiter ce dossier en priorité, mais analyser un poste de travail peut prendre plusieurs semaines à une ou deux personnes. Et on ne peut porter des accusations complètes tant qu’on n’a pas analysé la preuve. »
Enfin, le manque de coopération de victimes complique la tâche des enquêteurs. « J’ai souvenir d’une enquête où une entreprise victime qui avait été contactée niait avoir été victime… Les policiers ne sont pas au bout de leur peine, et je leur souhaite bonne chance. »
Bref, plusieurs n’accordent pas assez d’importance à l’application concrète des mesures de sécurité, les cybercriminels sont difficiles à retracer, les ressources d’enquête sont peu nombreuses et les victimes collaborent peu.
En somme, tous les éléments sont rassemblés pour faire en sorte que le crime soit payant et difficile à enrayer.
Jean-François Ferland est journaliste au magazine Direction informatique.
À lire aussi cette semaine: Coup de filet de la SQ chez les pirates informatiques Chirurgie robotisée en HD Voir loin sans avoir froid aux yeux L’actualité des TI en bref Du pratique au superflu
