Cyberbulletin : Le Centre pour la cybersécurité invite les Canadiennes et Canadiens à s’informer et à se protéger contre les activités de cybermenace de la RPC

Introduction

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) lance un avertissement que la République populaire de Chine (RPC) cible davantage les Canadiennes, les Canadiens et les organisations canadiennes par la portée et l’ampleur de ses cyberopérations. Le présent cyberbulletin vise à informer les personnes et les organisations et à inciter l’ensemble de la population canadienne à faire preuve de vigilance.

Les activités de cybermenace de la RPC surpassent nettement celles d’autres États-nations en fait de volume, de sophistication et de portée. Le Centre pour la cybersécurité a constaté un ciblage généralisé par la RPC et ces activités représentent une menace importante contre les entités canadiennes dans toute une gamme de secteurs. Les activités ciblent :

• tous les échelons de gouvernement;
• les infrastructures essentielles;
• l’industrie, y compris le secteur canadien de la recherche et du développement.

Il est important de noter que le Centre pour la cybersécurité informe la cible d’une menace s’il découvre une activité de cybermenace qui la cible.

« La menace [envers les organisations canadiennes] provenant de la Chine est très probablement la plus importante du point de vue du volume, de la capacité et de l’intention. »

Cyberespionnage

Les auteures et auteurs de cybermenace parrainés par la RPC répondent souvent à des besoins directs ou indirects des services de renseignement chinois. Leurs cibles correspondent fréquemment à des objectifs politiques nationaux de la RPC. Ces auteures et auteurs de cybermenace cherchent régulièrement à obtenir de l’information qui donnera un avantage économique et diplomatique à la RPC dans ses relations avec le Canada, ainsi que de l’information liée aux technologies faisant l’objet d’une priorité dans la planification centrale de la RPC.

Au cours des dernières années, les auteures et auteurs de cybermenace parrainés par la RPC ont compromis les réseaux d’organismes et de ministères du gouvernement du Canada à plusieurs reprises. Toutes les compromissions connues ont été résolues. Le Centre pour la cybersécurité observe des activités de reconnaissance quasi constantes effectuées par la RPC contre les systèmes du gouvernement du Canada. Toutefois, les réseaux du gouvernement fédéral ne sont pas les seuls qui servent à stocker et à communiquer du renseignement que pourrait convoiter la RPC. En particulier, tous les échelons de gouvernement au Canada devraient être conscients de la menace que présente l’espionnage par les auteures et auteurs de cybermenace parrainés par la RPC.

Également, les auteures et auteurs de cybermenace ont fréquemment pour objectif de recueillir de grands ensembles de données contenant des renseignements personnels, probablement en vue de procéder à des analyses de données en masse et à du profilage de cible.

Exemples de cibles à risque

• Les entités appartenant aux administrations fédérales, provinciales, territoriales, municipales ou autochtones;
• Toute organisation ou personne qui entretient un partenariat avec une entité gouvernementale;
• Les universités, les laboratoires et les entreprises spécialisées en science ou en technologie qui participent à la recherche et au développement de technologies faisant l’objet d’une priorité dans la planification centrale de la RPC;
• Les personnes ou les organisations qui représentent une menace selon la RPC, en particulier les personnes qui défendent l’indépendance de Taïwan et de Hong Kong et la démocratie en Chine.

Nous faisons écho aux préoccupations soulevées par nos partenaires américains au sujet des groupes de cybermenace chinois qui mènent des activités de prépositionnement afin d’accéder à des réseaux, en prévision d’éventuelles attaques contre des réseaux informatiques d’infrastructures essentielles nord-américaines si un conflit devait survenir dans la région indo-pacifique. Ce genre d’attaques, conçues pour endommager, perturber ou détruire les réseaux des infrastructures essentielles et les systèmes de TI lorsqu’il y a une augmentation des tensions géopolitiques, des conflits militaires ou des deux, entraînerait une panique sociétale et retarderait le déploiement des forces militaires américaines.

Les secteurs de l’énergie, des télécommunications et des transports sont les secteurs les plus à risque. Il faut cependant que les propriétaires et exploitants d’infrastructures essentielles soient au courant de la possibilité que des attaques contre les réseaux informatiques de leur organisation surviennent si les tensions géopolitiques ou les conflits militaires s’aggravent.

Ces préoccupations ne concernent pas seulement les propriétaires et exploitants des États-Unis. Bien que le Centre pour la cybersécurité évalue que la menace directe des auteures et auteurs de cybermenace parrainés par la RPC contre les infrastructures essentielles canadiennes soit plus faible que celle qui pèse sur les infrastructures américaines, le Canada subirait probablement des conséquences si ces infrastructures étaient perturbées, notamment en raison de l’interopérabilité et de l’interdépendance des infrastructures dans les secteurs à risque.

Il est difficile de généraliser les préoccupations techniques en raison de la portée et de la diversité des activités des auteures et auteurs de cybermenace parrainés par la RPC. Cela dit, les constations suivantes, tirées de précédents avis et déclarations, tiennent compte de certaines de nos préoccupations les plus sérieuses. Il faut les prendre en considération pour se protéger contre les activités de cybermenace de la RPC et prendre des mesures d’atténuation :

• Les auteures et auteurs de cybermenace parrainés par la RPC s’approprient fréquemment des routeurs compromis de petites entreprises et bureaux à domicile (SOHO pour Small Office Home Office) pour mener leurs activités de cybermenace et éviter la détection.
• Les auteures et auteurs de cybermenace mènent souvent des « attaques hors sol » au moyen de l’outil intégré d’administration réseau d’un système, plutôt qu’un maliciel spécialisé ayant pour objectif de mener des activités malveillantes. Cette technique les aide à se fondre dans le trafic normal d’un système et à éviter la détection par les responsables de la défense. Cette activité démontre un fort degré de sophistication et d’adaptabilité et est la preuve qu’ils ne se limitent pas à une seule technique.
• Les auteures et auteurs de cybermenace tentent régulièrement de compromettre des fournisseurs de services de confiance (comme les télécommunications, les fournisseurs de services gérés et les fournisseurs de services infonuagiques) afin d’accéder aux réseaux et à l’information des clientes et clients.
• Les auteures et auteurs de cybermenace développent rapidement des capacités offensives et multiplient les exploits visant les vulnérabilités récemment découvertes. Cela laisse croire qu’il existe un risque continuel d’exploitation à l’aveugle des systèmes vulnérables. Il est donc essentiel que les propriétaires de systèmes apportent toutes les mises à jour de sécurité dès que possible.

Orientation sur les mesures d’atténuation

Le Centre pour la cybersécurité encourage la collectivité canadienne de la cybersécurité, en particulier les administrations provinciales, territoriales et municipales, à prendre conscience des menaces qui la guettent et à renforcer ses mesures de protection contre les cybermenaces parrainées par la RPC. Le Centre pour la cybersécurité se joint à ses partenaires des États-Unis et du Royaume-Uni et recommande des mesures proactives de surveillance et d’atténuation sur les réseaux.

Le Centre pour la cybersécurité exhorte les administrations provinciales, territoriales et municipales ainsi que les responsables de la défense des réseaux des infrastructures essentielles à adopter les mesures suivantes :

• Préparez-vous à isoler les composants et les services d’infrastructures essentielles d’Internet et des réseaux internes s’il s’agit de cibles alléchantes qu’une ou un auteur de menace pourrait être tenté de perturber. Lorsque des systèmes de contrôle industriels ou une technologie opérationnelle sont utilisés, testez les contrôles manuels pour veiller à ce que les fonctions essentielles soient toujours fonctionnelles advenant l’indisponibilité ou la compromission du réseau de l’organisation.
• Intensifiez la vigilance organisationnelle. Surveillez les réseaux en mettant l’accent sur les tactiques, les techniques et les procédures (TTP) signalées par le Centre pour la cybersécurité et ses partenaires. Veillez à ce que le personnel chargé de la cybersécurité et des TI soit en mesure de repérer et d’évaluer rapidement tout comportement inattendu ou inhabituel sur le réseau. Activez la journalisation pour faciliter les enquêtes sur les problèmes et les événements.
• Atténuez la capacité d’une ou d’un intrus à se déplacer librement dans les systèmes et réseaux. Portez une attention particulière aux éventuels points d’entrée vulnérables (comme les systèmes de parties tierces qui ont accès au réseau central). Lorsqu’un incident survient, désactivez l’accès à distance des systèmes des parties tierces, et ce, jusqu’à ce qu’à l’établissement définitif que les systèmes sont sûrs. Pour de plus amples renseignements, consultez les publications du National Cyber Security Centre sur la prévention des déplacements latéraux (en anglais seulement) et l’évaluation de la sécurité de la chaîne d’approvisionnement (en anglais seulement).
• Améliorez la posture de sécurité. Apportez les correctifs aux systèmes en mettant l’accent sur les vulnérabilités décrites dans l’avis de la Cybersecurity and Infrastructure Security Agency sur la compromission et le maintien continu d’accès aux infrastructures essentielles des États-Unis par des auteures et auteurs de menace de la RPC (en anglais seulement) et activez la journalisation des sauvegardes. Déployez des solutions de surveillance du réseau et des points terminaux (p. ex. logiciel antivirus) et mettez en œuvre l’authentification multifacteur, le cas échéant. Créez des sauvegardes hors ligne et mettez-les à l’essai.
• Dotez-vous d’un plan d’intervention en cas de cyberincident ainsi que de plans de communications et de continuité des activités. Préparez-vous à les appliquer,
• Informez le Centre pour la cybersécurité de toute cyberactivité suspecte ou malveillante.

Ressources utiles

Consultez les ressources en ligne suivantes pour obtenir plus d’information et obtenir des avis et conseils utiles.

Rapports et avis

• Évaluations des menaces au Canada
  • Évaluation des cybermenaces nationales 2023-2024
  • Cybermenaces contre le processus démocratique du Canada : Mise à jour de 2023
  • Bulletin sur les cybermenaces : Les cybermenaces visant les technologies opérationnelles
  • Bulletin sur les cybermenaces : Les cyberattaques visant le secteur canadien de l’électricité
• Avis conjoints et publications avec des partenaires
  • Conseils à l’intention des cadres supérieurs et des chefs d’organisations liées aux infrastructures essentielles sur la protection des infrastructures et des fonctions essentielles contre les cyberactivités menées par la RPC
  • UK calls out China state-affiliated actors for malicious cyber targeting of UK democratic institutions and parliamentarians (en anglais seulement)
  • Bulletin de cybersécurité conjoint sur des cybermenaces parrainées par la RPC
  • Bulletin conjoint sur des auteures de menace parrainées par la RPC compromettant les infrastructures essentielles américaines pour établir un accès permanent, et conseils pour identifier et atténuer les attaques hors sol
  • Approches techniques à la détection et à l’atténuation des activités malveillantes

Avis et conseils

• Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
• Facteurs à considérer en matière de cybersécurité pour votre site Web (ITSM.60.005)
• Facteurs relatifs à la sécurité à considérer pour les systèmes de contrôle industriels (ITSAP.00.050)
• Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information (ITSM.10.089)
• Les 10 mesures de sécurité des TI : No 2 – Appliquer des correctifs aux applications et aux systèmes d’exploitation (ITSM.10.096)

Planification

• Principes fondamentaux de cybersécurité à l’intention du milieu des infrastructures essentielles du Canada