Un gang prorusse aurait affirmé qu’un exploitant de pipeline canadien avait été piraté mais des experts canadiens sont sceptiques

Trois experts canadiens en cybersécurité sont sceptiques quant à l’affirmation d’un hacktiviste prorusse selon laquelle son gang aurait violé et endommagé le réseau de technologie d’exploitation d’une entreprise canadienne de gazoduc. 

« C’est presque certainement de la désinformation », a déclaré David Swan, directeur du cyber-renseignement basé en Alberta au Centre for Strategic CyberSpace and International Studies, dans un courriel. 

La revendication a été faite dans des documents classifiés divulgués par le Pentagone publiés sur Internet. Les responsables américains disent qu’ils sont authentiques et le ministère de la Justice a ouvert une enquête sur le vol. 

Selon CNN, les messages sont des photos de documents froissés. Ils couvrent un large éventail de sujets très sensibles, notamment les faiblesses de l’armement ukrainien, la défense aérienne et la taille des bataillons, le degré de pénétration des États-Unis dans le ministère russe de la Défense et une conversation entre deux responsables sud-coréens. 

Selon le site d’information Zero Day, ils incluent également une page, apparemment issue d’un breffage du renseignement américain, avec deux paragraphes sur la cyberattaque présumée du gang de piratage russe appelé Zarya contre une société énergétique canadienne non identifiée. 

Pour prouver son affirmation, Zarya aurait partagé des captures d’écran avec un officier du Bureau fédéral de la sécurité (FSB) de contre-espionnage russe montrant qu’il avait accédé à l’opérateur canadien du pipeline et avait la capacité d’augmenter la pression de la vanne, de désactiver les alarmes et de déclencher un arrêt d’urgence de l’installation. Zero Day, qui a vu le document volé, affirme que le breffage du renseignement américain n’a pas identifié la victime canadienne, écrivant que la capture d’écran était celle d’une « station de distribution de gaz non spécifiée ». 

Zero Day affirme que le document d’information américain qu’il a vu indique que le groupe de piratage « recevait des instructions » de quelqu’un présumé être un officier du FSB qui leur a ordonné de maintenir leur accès au réseau, et que les pirates étaient « en attente » de plus amples instructions du FSB. 

Le document indique que l’officier du FSB « prévoyait qu’une opération réussie provoquerait une explosion » à la station de distribution de gaz et que le FSB « surveillait les nouvelles canadiennes à la recherche d’indications d’explosion ». Mais, ajoute le reportage de Zero Day, on ne sait pas ce que les pirates ont fait ou prévu de faire à l’installation. Le document indique que Zarya a affirmé qu’ils avaient déjà causé « suffisamment de dommages » à l’entreprise canadienne « pour causer une perte de profit à l’entreprise », mais leur intention n’était « pas de causer des pertes de vie », mais seulement « une perte de revenus pour les Canadiens ». 

Zero Day a déclaré que le Centre canadien de la sécurité des communications (CST), qui aide les entreprises d’infrastructures critiques à protéger les réseaux informatiques et d’exploitation, a refusé de commenter le document. 

Après avoir lu le reportage, Swan a rejeté le rapport de renseignement. « La Russie travaille sur des stratégies et des tactiques de désinformation depuis 1996 – que nous connaissons », a-t-il déclaré. « C’est une tactique préférée car elle coûte peu et (en cas de succès) perturbe la cible. » 

« Il est très peu probable qu’il y ait eu une interruption des opérations du pipeline. Entre les groupes environnementaux et une prochaine élection provinciale, une dissimulation serait extrêmement difficile. » 

Eric Byres, fondateur et directeur de la technologie du fournisseur de visibilité de la chaîne d’approvisionnement en logiciels basé à Vancouver, aDolus, a déclaré dans un courriel qu’il est « possible que Zarya ait un accès limité à une installation canadienne et qu’elle ait peut-être déclenché une brève fermeture d’urgence de l’installation (ce dont je doute) ». 

« Mais un impact physique (comme une explosion) semble très improbable. Grâce à des décennies d’ingénierie de sécurité pour empêcher les pannes accidentelles et mécaniques de causer de graves problèmes, c’est une entreprise colossale d’avoir un impact physique sur un système de distribution de gaz. C’est quelque chose que les agences gouvernementales étrangères avec des équipes importantes n’ont pas encore réussi à faire. Par exemple, les attaques de Triton contre les systèmes de sécurité des raffineries au Moyen-Orient en 2017 ont été détectées avant qu’elles n’atteignent un objectif significatif, et le temps et les ressources que les attaquants ont consacrés à ce projet étaient considérables. » 

« Les attentats de Pipedream l’an dernier en sont un autre exemple. Attaquer avec succès les systèmes d’exploitation nécessite les ressources d’un État-nation et même dans ce cas, cela réussit rarement complètement (il suffit de demander à l’équipe qui a créé Stuxnet). » 

« Il est probable que les attaquants ont trouvé des captures d’écran IHM [interface homme-machine] dans un ordinateur mal sécurisé (disons l’ordinateur portable d’un entrepreneur) et ont exagéré leur découverte en ayant un accès et un contrôle réels d’un système d’exploitation », conclut Byres. 

« Je ne crois pas à cette affirmation », a déclaré Brett Callow, un analyste des menaces basé en Colombie-Britannique pour Emsisoft, dans un courriel. « En fait, toute la fuite ressemble à une opération de désinformation. » 

Zero Day cite Lesley Carhart, directrice de la réponse aux incidents pour l’Amérique du Nord à la société de cybersécurité industrielle Dragos, affirmant que les pirates ont compromis des installations pétrolières et gazières canadiennes dans le passé, y compris les attaques de ransomware qui ont affecté les opérations. Mais il était sceptique que Zarya ait la capacité de provoquer une explosion. 

Le Globe and Mail citait récemment le PDG de l’Association canadienne du gaz affirmant qu’il n’est au courant d’aucune infrastructure de distribution de gaz compromise ici. 

Il y a des opinions divergentes sur les documents divulgués par le Pentagone. Certains experts ont été cités comme affirmant que beaucoup semblent authentiques mais soupçonnent que certains détails ont été modifiés. 

CNN citait dimanche l’attachée de presse adjointe du Pentagone, Sabrina Singh, affirmant que le ministère de la Défense continue d’examiner et d’évaluer la validité des documents. 

Dans un rapport de février, la société de cybersécurité Radware a déclaré que Zarya est un groupe hacktiviste pro-russe qui a émergé en mars 2022. Au départ, le groupe fonctionnait comme une unité spéciale sous le commandement de Killnet, un groupe hacktiviste bien connu. Après l’invasion russe de l’Ukraine, Zarya a quitté Killnet et s’est concentré sur le recrutement de pirates informatiques qualifiés parmi d’autres groupes de menace pro-russes. Mais en mai 2022, Zarya a rejoint Killnet dans le cadre d’un projet plus vaste dont le nom se traduit par « Légion », puis est redevenu indépendant en août dernier. 

Le groupe est principalement connu pour ses attaques par déni de service, ses campagnes de défiguration de sites Web et ses fuites de données, indique le rapport de Radware. Ces tactiques ont été mises à profit pour soutenir le programme pro-russe du groupe et ont considérablement perturbé les organisations et les individus ciblés. 

Les documents divulgués sont apparus en ligne le mois dernier sur la plateforme de médias sociaux Discord et ont commencé à être rendus publics la semaine dernière. 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

La DSI du Canada, Catherine Luelo, démissionne et met en lumière la fracture des systèmes informatiques fédéraux à la Chambre des communes

Catherine Luelo, directrice des systèmes d'information du Canada, a annoncé sa démission, deux ans après avoir pris ses fonctions pour moderniser les systèmes technologiques du gouvernement fédéral.

Les données d’employés actuels et anciens de la bibliothèque de Toronto volées lors d’une attaque de rançongiciel

Le réseau des bibliothèques publiques de Toronto a reconnu que le gang de rançongiciel qui l'a attaqué le mois dernier a volé des données personnelles identifiables d’employés.

Moneris affirme qu’aucune donnée « critique » n’a été affectée par l’attaque d’un gang de rançongiciel

Le gang de rançongiciel Medusa a identifié la société canadienne Moneris Solutions Corp., un partenariat de deux des plus grandes banques du pays qui fournit un réseau informatique de vente et des terminaux utilisés par les détaillants à travers le pays.

La Bibliothèque publique de Toronto indique que des informations « sensibles » pourraient avoir été copiées

Le système de bibliothèque publique de Toronto dit maintenant que « des informations sensibles » ont peut-être été copiées par le gang rançongiciel qui a frappé l'institution.

Le Canada à la traîne dans l’expérience 5G ; Opensignal blâme l’insuffisance de spectre de bande moyenne

Selon un nouveau rapport d'Opensignal, le Canada possède l'une des vitesses de téléchargement moyennes 4G les plus rapides, rivalisant avec les marchés européens comme le Danemark, les Pays-Bas et la Norvège. Mais en ce qui concerne la vitesse de téléchargement 5G, le Canada est à la traîne.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.