Numéro : AL20-008 Mise à jour 1
Date : 20 mars 2020
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.
OBJET
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.
APERÇU
Le Centre pour la cybersécurité estime que la pandémie de COVID-19 constitue un risque important pour la cybersécurité des organismes de santé canadiens qui prennent part aux mesures nationales d’intervention visant à contrer la pandémie. En l’occurrence, le Centre pour la cybersécurité recommande instamment que ces organismes demeurent vigilants et s’assurent de mettre en œuvre les pratiques exemplaires en matière de cyberdéfense, notamment, assurer une surveillance accrue des journaux réseau, rappeler aux employés d’être à l’affût des tentatives d’hameçonnage, et veiller à ce que les serveurs ainsi que les systèmes essentiels aient reçu les plus récents correctifs permettant de colmater les failles de sécurité.
La présente alerte met en évidence les risques encourus par les collectivités canadiennes de la médecine et de la santé en général en cette période de réaction à la COVID-19, mais les conseils et les consignes proposés s’adressent tout autant aux autres entreprises canadiennes, particulièrement celles dont les employés font du télétravail et se connectent au réseau professionnel par l’intermédiaire d’un réseau privé virtuel (VPN pour Virtual Private Network). Les mesures d’atténuation et les pratiques exemplaires sont énoncées ci-dessous.
MISE À JOUR
La présente alerte a été mise à jour pour signaler des correctifs et mesures d’atténuation additionnelles pour les failles importantes.
DÉTAILS
Le Centre pour la cybersécurité estime que la pandémie de COVID-19 constitue un risque important pour la cybersécurité des organismes de santé canadiens qui prennent part aux mesures nationales d’intervention visant à contrer la pandémie, par exemple, les intervenants en recherche médicale, les fabricants et les distributeurs de matériel médical, ainsi que les organismes qui élaborent les politiques. Plus particulièrement :
- Les auteurs malveillants disposant de moyens sophistiqués pourraient tenter de porter atteinte à la propriété intellectuelle (PI) des organismes qui prennent part aux activités de recherche et développement portant sur la COVID-19. Ces auteurs malveillants pourraient également tenter de voler des données ayant trait aux mesures que le Canada met en œuvre pour enrayer la pandémie de COVID 19.
- Les cybercriminels pourraient tirer avantage de la pandémie de COVID 19 en profitant de la pression qui est déjà exercée sur les organismes de santé canadiens pour exiger le paiement de rançons ou pour dissimuler d’autres tentatives de compromission.
Auteurs malveillants disposant de moyens sophistiqués
---------------------------
Les auteurs malveillants disposant de moyens sophistiqués pourraient s’en prendre aux organismes canadiens qui participent aux efforts consentis par le Canada en réponse à la pandémie qui sévit actuellement, y compris les organismes qui œuvrent dans le domaine de la recherche médicale. Ces auteurs malveillants pourraient également tenter de soutirer des renseignements concernant les mesures d’urgence liées à la COVID-19 et les réactions politiques à la présente crise; ils pourraient aussi tenter de voler toute information ayant trait aux recherches visant à trouver un vaccin ou d’autres remèdes, ou encore à d’autres sujets d’intérêt. Les organismes devraient intensifier les mesures de surveillance visant à détecter toute tentative de compromission menée par les auteurs malveillants disposant de moyens sophistiqués. En effet, ces tentatives de compromission par des auteurs malveillants bien outillés pourraient se traduire par le recours à la fraude psychologique, aux campagnes d’hameçonnage, à l’exploitation des failles informatiques, au vol de renseignements personnels ou à une combinaison de vecteurs de menace comprenant ceux qui sont cités ici et, possiblement, d’autres vecteurs.
Rançongiciel
----------
L’impact qu’un rançongiciel pourrait avoir sur les organismes canadiens qui prennent part aux efforts consentis par le Canada en réponse à la COVID-19 pourrait être plus grave en cette période de pandémie que s’il avait été employé en période normale. Il est donc recommandé que les organismes fassent preuve d’une vigilance accrue pour relever, le plus tôt possible, les failles et les risques de compromission qui pourraient exposer les systèmes à des exploitations par voie de rançongiciels. Le Centre pour la cybersécurité conseille vivement à tous les organismes concernés de prendre acte de leurs plans de continuité opérationnelle respectifs et de les appliquer comme il se doit, ce qui comprend la restauration de fichiers à partir de copies de sauvegarde et le déplacement des principaux éléments opérationnels vers une infrastructure de réserve parallèle.
Le Centre pour la cybersécurité recommande également que les organismes prennent acte des conseils qu’il prodigue sur les rançongiciels. Ces conseils se trouvent à l’adresse suivante :
https://cyber.gc.ca/fr/orientation/rancongiciels-comment-les-prevenir-et-sen-remettre-itsap00099
Failles importantes
------------------------
Le Centre pour la cybersécurité estime que les vulnérabilités liées au télétravail sont particulièrement préoccupantes en cette période de pandémie. Comme les organismes s’empressent de fournir à leur personnel de nouveaux moyens de travailler à distance, il est possible que des erreurs de configuration surviennent et que des logiciels non corrigés soient installés et employés. Au cours de la dernière année, de nombreuses failles ont été identifiées dans les dispositifs VPN. D’ailleurs, les nombreuses exploitations qui ont déjà eu lieu incitent le Centre pour la cybersécurité à la prudence étant donné qu’à court terme, les risques d’exploitation de ces failles demeurent importants. Des failles récemment découvertes dans les systèmes d’exploitation Microsoft Windows et Linux, plus particulièrement celles qui touchent au service Bureau à distance et aux certificats d’authentification, pourraient très bien être ciblées.
Le Centre pour la cybersécurité recommande surtout d’installer les correctifs et d’appliquer les mesures d’atténuation le plus tôt possible pour ce qui a trait aux importantes failles énumérées ci-dessous :
AL19-009 Vulnérabilité critique du Bureau à distance de Microsoft
AL19-010 Exploitation active de l’interface utilisateur Telerik pour ASP.NET AJAX
AV19-167 Bulletin de sécurité Microsoft – Correctif cumulatif mensuel d’août 2019
AL19-016 Exploitation active de vulnérabilités dans les réseaux privés virtuels (VPN)
AL20-003 Exploitation de Citrix
AL20-004 Jour-Zéro dans Microsoft Internet Explorer
AL20-005 Détection des compromissions relatives à Citrix CVE-2019-19781
AL20-006 Faille liée à la clé de validation RCE de Microsoft Exchange
AL20-007 Faille dans Microsoft SMBv3
AV20-010 Bulletin de sécurité de Microsoft - Correctif cumulatif mensuel de janvier 2020
AV20-032 Bulletin de sécurité de Microsoft - Correctif cumulatif mensuel de février 2020
AV20-044 Bulletin de sécurité sur Apache Tomcat
AV20-053 Bulletin sur le chiffrement des certificats
AV20-064 Bulletin de sécurité de Microsoft - Correctif cumulatif mensuel de mars 2020
Ces alertes et ces bulletins peuvent être consultés sur le site du Centre pour la cybersécurité à l’adresse suivante : https://cyber.gc.ca/fr/alertes-et-avis.
ATTÉNUATION
En considération de ces risques, le Centre pour la cybersécurité recommande que tous les organismes canadiens de la santé qui prennent part aux mesures nationales d’intervention visant à contrer la pandémie s’assurent de mettre en œuvre les pratiques exemplaires en matière de cyberdéfense.
Une attention particulière devrait être accordée aux secteurs suivants :
- Pour demeurer au courant des activités d’hameçonnage liées à la pandémie de COVID-19 :
o https://cyber.gc.ca/fr/orientation/pratiques-exemplaires-en-cybersecurite-pour-la-covid-19
- Les employés qui travaillent depuis leur domicile pourraient ajouter une pression additionnelle sur les services de télétravail. Veiller à ce que les politiques de sécurité applicables soient mises en œuvre et à ce que les journaux informatiques soient examinés au cas où ils révéleraient des activités malveillantes :
o https://www.cyber.gc.ca/fr/orientation/problemes-de-securite-lies-au-teletravail-itsap10016
o https://www.cyber.gc.ca/fr/orientation/les-reseaux-prives-virtuels-itsap80101
- Il importe d’appliquer les 10 mesures de sécurité suivantes :
o https://cyber.gc.ca/fr/10-meilleures-mesures-de-securite-des-ti-0
- Examiner les alertes et les bulletins publiés récemment, dans lesquels on décrit les failles qui pourraient rendre votre environnement vulnérable :
o https://cyber.gc.ca/fr/alertes-et-avis
- Les organismes qui ne disposent pas de capacités de cybersécurité suffisantes pourraient envisager de faire appel à une entreprise privée du secteur de la cybersécurité.
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information et l’intervention en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.
On peut communiquer avec le Centre pour la cybersécurité grâce aux coordonnées suivantes :
Courriel : contact@cyber.gc.ca
Numéro sans frais : 1-833-CYBER-88 (1-833-292-3788)