Format de rechange : Évaluation des cybermenaces nationales 2023-2024 (PDF, 4.3 Mo)
À propos du Centre pour la cybersécurité
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est l’autorité technique canadienne en matière de cybersécurité. Relevant du Centre de la sécurité des télécommunications (CST), le Centre pour la cybersécurité est la source unifiée de conseils, d’avis, de services et de soutien spécialisés en matière de cybersécurité pour les Canadiens et les organisations canadiennes.
Le Centre pour la cybersécurité travaille étroitement avec les ministères du gouvernement du Canada, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant un cyberespace canadien fort et résilient. Conformément à la Stratégie nationale de cybersécurité, le Centre pour la cybersécurité représente une approche plus collaborative à la cybersécurité dans notre pays.
Composé d’experts en cybersécurité dignes de confiance, le Centre pour la cybersécurité aide à assurer la sécurité du Canada et des Canadiens comme suit :
- en étant une source claire et fiable de renseignements pertinents sur la cybersécurité pour les Canadiens, les entreprises canadiennes ainsi que les propriétaires et les exploitants d’infrastructures essentielles;
- en fournissant des avis et des conseils adaptés sur la cybersécurité afin de protéger les plus importants cybersystèmes canadiens;
- en travaillant en collaboration avec les gouvernements provinciaux et territoriaux, les administrations municipales et des partenaires du secteur privé pour résoudre les défis les plus complexes du Canada en matière de cybersécurité;
- en développant et en diffusant ses technologies et connaissances spécialisées de cyberdéfense;
- en défendant les cybersystèmes, notamment les réseaux du gouvernement du Canada, grâce au développement et au déploiement d’outils et de technologies de cyberdéfense sophistiqués;
- en agissant à titre de chef de file opérationnel du gouvernement lors d’incidents de cybersécurité et en tirant parti de son expertise et de ses accès de manière à fournir de l’information opportune et utile à la gestion des incidents.
Grâce à son travail et à ses partenariats, le Centre pour la cybersécurité relève le niveau de la cybersécurité au Canada afin que les Canadiens puissent vivre et travailler en ligne en toute confiance et sécurité.
Pour en savoir plus à ce sujet, consultez le site Web Cyber.gc.ca ou suivez @centrecyber_ca sur Twitter.
Table des matières
- À propos du Centre pour la cybersécurité
- Avant-propos de la Ministre
- Message du dirigeant principal du Centre pour la cybersécurité
- Sommaire
- À propos du présent document
- Introduction – Évolution des cybermenaces
- Les rançongiciels représentent une menace omniprésente pour les organisations canadiennes
- Les activités de cybermenace représentent un risque de plus en plus grand pour les infrastructures essentielles
- Les activités de cybermenace parrainées par des États ont des répercussions sur les Canadiens
- Les auteurs de cybermenaces tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels
- Des technologies perturbatrices entraînent de nouvelles possibilités et menaces
- Conclusion
Avant-propos de la Ministre
Au cours des deux dernières années, la cybersécurité est devenue l’une des principales préoccupations des Canadiens. Au Canada et à travers le monde, on parle d’incidents liés à des rançongiciels pratiquement tous les jours dans les actualités. Nos services essentiels sont perturbés, qu’il s’agisse d’hôpitaux, d’établissements d’enseignement, d’administrations municipales ou de fournisseurs de services publics. Nos données financières et nos renseignements personnels sont volés, vendus ou fuités en ligne. Nos espaces virtuels sont inondés de fausses informations et de discours incendiaires.
L’Évaluation des cybermenaces nationales (ECMN) 2023-2024 aidera les Canadiens à comprendre les tendances actuelles de la cybersécurité et comment on peut s’attendre à ce qu’elles évoluent.
Le Centre pour la cybersécurité offre une vue d’ensemble du contexte des cybermenaces à la fois exhaustif et accessible. L’ECMN se veut particulièrement utile pour les preneurs de décisions canadiens, puisqu’il met l’accent sur les cybermenaces les plus pertinentes pour le Canada. En plus d’être un rapport public, l’ECMN tire également avantage des sources classifiées du CST et du travail accompli par le Centre pour la cybersécurité pour défendre chaque jour le gouvernement du Canada contre les cyberactivités malveillantes. En d’autres mots, cette information est à la fois crédible et complète.
Les menaces évoluent au même rythme que les progrès fulgurants qui ont été réalisés sur le plan de la technologie. Le Centre pour la cybersécurité travaille d’arrache-pied pour soutenir les capacités en cybersécurité dans l’ensemble du Canada, en partenariat avec l’industrie, le milieu universitaire et tous les échelons de gouvernement.
Il faudra miser sur des efforts coordonnés pour faire du Canada un des endroits les plus sûrs où vivre et travailler en ligne. Le travail du Centre pour la cybersécurité protégera les Canadiens et permettra de nous assurer que nous sommes prêts à agir et à intervenir en cas de cybermenaces, et à nous y adapter.
L’honorable Anita Anand
Ministre de la Défense nationale
Message du dirigeant principal du Centre pour la cybersécurité
Merci de faire de la cybersécurité une priorité en lisant le présent rapport.
Si vous avez lu l’une des évaluations des cybermenaces nationales que nous avons publiées en 2018 et en 2020, vous serez familier avec une bonne partie de ce que vous lirez ici.
La cybercriminalité est toujours la principale cybermenace qui touche les Canadiens. Les cyberprogrammes parrainés par la Chine, la Russie, l’Iran et la Corée du Nord continuent d’être les plus grandes cybermenaces stratégiques ciblant le Canada. Les infrastructures essentielles demeurent des cibles de choix pour les cybercriminels et les auteurs parrainés par des États.
Bien qu’il soit rassurant de savoir que notre analyse des grandes tendances est toujours valable, le portrait global du contexte des cybermenaces est tout sauf rassurant. Vous pourriez être tenté d’arrêter votre lecture à mi-chemin, de déconnecter tous vos appareils et de les jeter à la poubelle. Il serait peut-être plus réaliste de hausser les épaules en signe de résignation et de continuer comme avant. J’espère que vous verrez plutôt ce rapport comme un appel à l’action.
Les Canadiens profitent grandement du fait qu’ils vivent dans l’un des pays les plus connectés à Internet au monde, et il faut savoir que les cyberrisques que nous identifions dans ce rapport peuvent être atténués. En fait, il est possible d’éviter la grande majorité des cyberincidents en prenant des mesures de cybersécurité de base.
Pour aider à combler les lacunes entre la connaissance et l’intervention, nous avons préparé des avis et des conseils adaptés à cinq messages transmis dans le présent rapport. Ces publications complémentaires présentent des étapes pratiques permettant d’atténuer les risques associés à chaque thème. D’autres avis et conseils se trouvent sur le site Web du Centre pour la cybersécurité. Et, toujours aussi utile, le site Web Pensez cybersécurité.ca offre aux Canadiens une panoplie de conseils simples et efficaces sur la cybersécurité.
Que vous soyez un débutant en la matière ou un expert chevronné, j’espère que ce rapport ainsi que les conseils qui l’accompagnent sauront vous être utiles pour faire les prochains pas vers une meilleure cybersécurité.
Sami Khoury
Dirigeant principal, Centre canadien pour la cybersécurité
Sommaire
Les Canadiens utilisent Internet pour effectuer des transactions financières, pour communiquer avec leurs proches, pour recevoir des consultations médicales et pour travailler. Compte tenu du fait que les Canadiens passent plus de temps sur Internet et qu’ils accomplissent plus de choses grâce à Internet, les risques occasionnés par les activités de cybermenace ne cessent d’augmenter et peuvent avoir des répercussions sur leur quotidien. Nous avons constaté une augmentation de la quantité de données personnelles, commerciales et financières en ligne, ce qui est attrayant pour les auteurs de cybermenace. Cette tendance de connecter des systèmes importants à Internet fait accroître la menace d’interruption de service causée par des activités de cybermenace. Pendant ce temps, les États-nations et les cybercriminels continuent à développer leurs cybercapacités. Les activités de cybermenace parrainées par des États et motivées par un intérêt financier sont de plus en plus susceptibles de toucher directement les Canadiens. Dans l’ECMN 2023-2024, nous avons choisi de nous concentrer sur cinq discours liés aux cybermenaces que nous croyons être les plus évolutifs et percutants, et qui vont continuer de dominer les activités de cybermenace jusqu’en 2024.
Principaux avis
- Les rançongiciels représentent une menace omniprésente pour les organisations canadiennes. La cybercriminalité continue d’être l’activité de cybermenace la plus susceptible de toucher les Canadiens et les organisations canadiennes. En raison de son incidence sur la capacité d’une organisation de fonctionner, les rançongiciels sont presque assurément la forme la plus perturbatrice de cybercriminalité à laquelle sont confrontés les Canadiens. Les cybercriminels qui déploient des rançongiciels ont su évoluer au sein d’un écosystème de cybercriminalité grandissant et sophistiqué; et ils vont continuer à s’adapter de manière à maximiser les profits.
- Les activités de cybermenace représentent un risque de plus en plus grand pour les infrastructures essentielles. Les cybercriminels exploitent les infrastructures essentielles, car toute interruption peut être préjudiciable pour les processus industriels et leurs clients. Les auteurs de menace parrainés par des États ciblent les infrastructures essentielles afin d’obtenir de l’information en se livrant à l’espionnage, de se prépositionner en cas d’éventuelles hostilités et de faire acte de force et d’intimidation. Toutefois, selon nos observations, il est très probable que les auteurs de cybermenace parrainés par des États s’abstiennent de perturber ou de détruire intentionnellement les infrastructures essentielles du Canada en l’absence d’hostilités.
- Les activités de cybermenace parrainées par des États ont des répercussions sur les Canadiens. Nous estimons que les cyberprogrammes parrainés par la Chine, la Russie, l’Iran et la Corée du Nord sont les plus grandes cybermenaces stratégiques ciblant le Canada. Les activités de cybermenace parrainées par des États visant le Canada représentent une menace constante et continue qui s’inscrivent souvent dans des campagnes mondiales plus vastes qu’entreprennent ces États. Les auteurs de menace étatiques peuvent cibler des activistes et des membres de certaines diasporas au Canada, des organisations canadiennes et leur propriété intellectuelle aux fins d’espionnage, et même des particuliers et des organisations du Canada pour obtenir un gain financier.
- Les auteurs de cybermenace tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels. Nous avons observé que les auteurs de cybermenace ont de plus en plus recours à la mésinformation, à la désinformation et à la malinformation (MDM) depuis les deux dernières années. Les technologies d’apprentissage automatique font en sorte qu’il est plus facile de créer de faux contenus et que ceux-ci sont plus difficiles à détecter. Par ailleurs, les États-nations démontrent de plus en plus de capacité et de volonté envers l’utilisation de MDM pour défendre leurs intérêts géopolitiques. Nous considérons que l’exposition des Canadiens aux campagnes de MDM devrait presque assurément augmenter au cours des deux prochaines années.
- Les technologies perturbatrices entraînent de nouvelles possibilités et menaces. Les actifs numériques, comme la cryptomonnaie et les systèmes financiers décentralisés, sont des cibles et des outils qui permettent aux auteurs de cybermenace de mener des activités de cybermenace malveillantes. L’apprentissage automatique est utilisé de manière courante dans les services aux consommateurs et l’analyse de données, mais les auteurs de cybermenace peuvent déjouer et exploiter cette technologie. L’informatique quantique pourrait devenir une menace pour nos systèmes actuels qui inspirent confiance et qui assurent la confidentialité en ligne. En effet, l’information chiffrée qui est volée par des auteurs de menace aujourd’hui pourrait être conservée et déchiffrée après l’arrivée des ordinateurs quantiques.
À propos du présent document
Le présent document fait état des cybermenaces qui visent les citoyens et les entreprises du Canada. Il fournit une mise à jour de l’Évaluation des cybermenaces nationales 2018 (ECMN 2018) et de l’Évaluation des cybermenaces nationales 2020 (ECMN 2020), ainsi qu’une analyse des années intermédiaires et des prévisions d’ici 2024. Nous recommandons la lecture de l’ECMN 2023-2024, de l’Introduction à l’environnement de cybermenace mise à jour, et des avis et conseils adaptés que nous avons publiés pour donner des renseignements complémentaires à cette évaluation.
Conformément à l’optique de la Stratégie nationale de cybersécurité, nous avons préparé ce document pour aider à façonner et à soutenir la résilience de notre nation en matière de cybersécurité. Ce n’est que lorsque le gouvernement, le secteur privé et les particuliers travaillent ensemble que nous pouvons instaurer une résilience face aux cybermenaces au Canada.
Restrictions : La présente évaluation n’a pas pour objet de fournir une liste exhaustive des activités de cybermenace ciblant le Canada ou des conseils en matière d’atténuation. Son objectif est plutôt de décrire et d’évaluer les menaces visant le Canada. Elle cherche à comprendre la nature de l’environnement de cybermenace actuel et la façon dont les activités de cybermenace peuvent toucher les citoyens et les organisations canadiennes. Des conseils sur la cybersécurité se trouvent sur le site Web du Centre pour la cybersécurité et sur le site Web de Pensez cybersécurité.
Sources : Les avis formulés dans la présente évaluation se basent sur de multiples sources classifiées et non classifiées. Ils sont fondés sur les connaissances et l’expertise du Centre pour la cybersécurité en matière de cybersécurité. Le rôle que joue le Centre pour la cybersécurité dans la protection des systèmes d’information du gouvernement du Canada lui confère une perspective unique des tendances observées dans l’environnement de cybermenace, ce qui a contribué à la présente évaluation. Le mandat de renseignement étranger du CST lui procure de précieuses informations sur le comportement des adversaires dans le cyberespace. Bien que le Centre pour la cybersécurité soit toujours tenu de protéger les sources et méthodes classifiées, il fournira au lecteur, dans la mesure du possible, les justifications qui ont motivé ses avis.
Processus d’évaluation : Les évaluations des cybermenaces effectuées sont basées sur un processus d’analyse qui comprend l’évaluation de la qualité des renseignements disponibles, l’étude de différentes explications, l’atténuation des biais et l’usage d’un langage probabiliste. On emploiera des termes comme « on considère que » ou « selon nos observations » pour communiquer les évaluations analytiques. On utilisera des qualificatifs comme « possiblement », « susceptible », « probable » et « très probable » pour exprimer les probabilités.
La présente évaluation des menaces se fonde sur des renseignements disponibles en date du 4 octobre 2022.
Introduction – Évolution des cybermenaces
Les éditions précédentes de l’Évaluation des cybermenaces nationales (ECMN) décrivaient les cybermenaces auxquelles ont fait face les citoyens, les organisations et les fournisseurs d’infrastructures essentielles du Canada. Elles annonçaient également comment ces menaces allaient évoluer au cours des prochaines années. Plusieurs des menaces que nous avons identifiées demeurent pertinentes aujourd’hui, mais la nature de ces menaces a changé. Les auteurs de menace ont adapté leurs techniques, de nouvelles technologies ont donné lieu à de nouvelles cybercapacités, et les Canadiens n’auront jamais autant utilisé Internet.
La COVID-19 et le contexte des cybermenaces
En 2020, nous avons discuté de la façon dont la pandémie de COVID-19 a rapidement changé le contexte des cybermenaces. Plus de deux ans après le début de la pandémie, les Canadiens ont une approche différente à l’égard d’Internet. Plus de gens utilisent Internet pour effectuer des achats, se procurer de la nourriture, communiquer avec leurs proches, recevoir des consultations médicales et travailler. Aujourd’hui, les Canadiens combinent le travail en personne et le travail rn mode virtuel. Depuis 2020, de plus en plus d’organisations ont adopté des services infonuagiques pour travailler efficacement dans un environnement hybride.
Description detaillée - Figure 1
Le graphique illustre l’incidence durable de la COVID-19 sur la façon dont les Canadiens utilisent Internet.
- Les interactions en ligne : La moitié (51 %) des Canadiens disent avoir reçu des soins médicaux en ligne pour la première fois depuis le début de la pandémie
- Le travail en ligne : Vingt-trois pour cent de la population serait disposée à travailler pour une organisation qui ne permet pas le travail à distance
- La vie en ligne après la pandémie : Depuis 2020, l’utilisation quotidienne d’Internet a augmenté et 64 % de la population ne prévoit pas se déconnecter d’Internet plus souvent
Selon nos observations, l’exposition aux cybermenaces s’est accrue depuis 2020. À l’heure actuelle, le volume de données recueilli sur chaque Canadien est important. Ce volume ne fera qu’augmenter à mesure que de nouvelles technologies entreront sur le marché, créant une foule d’occasions pour les auteurs de menace qui cherchent à voler des renseignements personnels. Par ailleurs, le contexte mondial des cybermenaces est en pleine évolution tandis que des États-nations ont de plus en plus recours aux cyberactivités comme outil de concurrence stratégique et de conflit.
Pour aider les Canadiens à mieux comprendre le contexte des cybermenaces, nous avons également mis à jour et étoffé la publication intitulée Introduction à l’environnement de cybermenace.
Dans la présente section, nous décrivons les tendances qui sous-tendent le contexte actuel des cybermenaces et nous évaluons la direction que devraient prendre ces tendances.
Le travail hybride et le travail depuis n’importe quel endroit impliquent une exposition accrue aux menaces tant pour les particuliers que pour les organisations
Plus d’un tiers des Canadiens ont travaillé de la maison plus souvent durant la pandémie. Note de bas de page 2 Maintenant, plus de deux ans plus tard, beaucoup de Canadiens passent de manière plus permanente à un environnement de travail hybride. Note de bas de page 3 Le travail depuis n’importe quel endroit implanté et maintenu de façon sécuritaire offre aux employés et à leurs employeurs une certaine souplesse, mais il crée également une plus grande exposition aux menaces. En effet, cette exposition offre plus de possibilités aux auteurs de menace d’accéder aux réseaux et aux dispositifs d’organisations et de particuliers.
Les réseaux des entreprises sont de plus en plus intégrés dans les résidences des employés et dans les espaces publics. Toujours selon nos observations, il est très probable que les auteurs de cybermenace continuent d’exploiter l’infrastructure de travail hybride et de cibler les réseaux domestiques ainsi que les dispositifs personnels des employés pour accéder aux organisations canadiennes. Ces auteurs tirent parti de l’accessibilité à distance des organisations pour tenter de compromettre les réseaux d’entreprise par des connexions à distance. Note de bas de page 4 Lorsque les employés accèdent aux réseaux et à l’information d’entreprise à partir de leurs réseaux domestiques et de leurs dispositifs, ils créent des conditions favorables pour que les auteurs de cybermenace en fassent de même. Ils peuvent ainsi accéder à des renseignements commerciaux sensibles et à des renseignements sur les employés. Note de bas de page 5
Des connexions plus rapides, plus larges et plus de dispositifs connectés à Internet
On compte plus de Canadiens qui utilisent des technologies connectées à Internet pour les interactions quotidiennes
Les Canadiens sont devenus des utilisateurs plus compétents en matière d’Internet, et ils utilisent davantage Internet pour le divertissement, l’information, le travail et les interactions sociales. Note de bas de page 6 Les Canadiens sont aussi plus nombreux à être connectés tandis que des initiatives gouvernementales permettent à des régions éloignées de profiter d’un réseau Internet haute vitesse fiable, et de nouvelles technologies, comme l’Internet par satellite, facilitent l’aspect géographique du clivage informatique. Note de bas de page 7 La pandémie de COVID-19 a fait valoir l’importance des connexions Internet accessibles et fiables. La pandémie a rendu nécessaire de déplacer en ligne les interactions qui se faisaient auparavant en personne, et la situation a également obligé l’adhésion rapide à des technologies liées au télétravail et à l’éducation, à la recherche de contacts, et aux services bancaires et de vente au détail en ligne. L’adoption généralisée de technologies sans contact pour les activités quotidiennes des Canadiens augmente leur exposition aux activités de cybermenace, comme le vol de données, la fraude et l’extorsion.
Les technologies opérationnelles connectées à Internet et les systèmes intelligents augmentent la portée des activités de cybermenace
La tendance se poursuit vers la connexion de dispositifs qui interagissent avec le monde réel, notamment le déploiement de dispositifs qui composent l’Internet des objets (IdO) et l’Internet industriel des objets (IIoT pour Industrial Internet of Things), ce qui étend l’exposition aux cybermenaces. Ces types de dispositifs sont appelés à se répandre à mesure que le Canada adopte la technologie cellulaire de cinquième génération (5G). Cette technologie apporte des améliorations considérables par rapport à la technologie 4G/LTE, et elle permettra la connexion d’un plus grand nombre de dispositifs, et ce, à des vitesses beaucoup plus élevées. Ce phénomène a des implications pour les villes intelligentes, l’agriculture de précision et d’autres utilisations de systèmes « intelligents » comme les applications qui dépendent de capteurs, d’automatisation et de grandes quantités de données. Note de bas de page 8 Avec le Canada qui adopte des systèmes intelligents et qui adhère davantage à l’ère du numérique, de plus en plus de secteurs et de services deviendront vulnérables aux activités de cybermenace, y compris l’espionnage, la fraude, l’extorsion et le sabotage. Les systèmes intelligents produisent de grandes quantités de données qui, dans certaines applications, peuvent comprendre des renseignements personnels détaillés provenant des utilisateurs. Les systèmes intelligents sont aussi intégrés aux services physiques et exposés à Internet, ce qui augmente le potentiel d’interruption de service causée par des activités de cybermenace.
La cybercriminalité représente une menace sophistiquée pour le Canada
Comme nous l’avons observé dans les éditions précédentes de l’ECMN, la cybercriminalité demeure l’activité de cybermenace la plus susceptible de toucher les Canadiens. Cela s’explique en partie par un marché florissant pour les outils et les services de cybercriminalité facilement accessibles sur les marchés et les forums en ligne, ou dans des communautés de cybercriminalité privées. De tels outils et services comprennent l’accès initial au réseau, les attaques par déni de service distribué (DDoS pour Distributed Denial of Service), les outils de défiguration de sites Web, les maliciels (y compris les rançongiciels) et les technologies de blanchiment d’argent. Les cybercriminels peuvent ainsi acheter des capacités spécialisées au lieu de développer leurs propres compétences au fil du temps. Les obstacles à l’entrée sont ainsi réduits pour les cybercriminels, ce qui permet même à des auteurs de menace sans expérience de tirer parti d’outils et de services plus efficaces et spécialisés.
Il devient de plus en plus facile d’accéder à des renseignements volés ou ayant fait l’objet d’une fuite, comme des justificatifs d’ouverture de session, des renseignements financiers et des renseignements personnels, sur les forums de cybercriminalité. Note de bas de page 9 Ces données volées ouvrent la porte d’autres cybercrimes, notamment la fraude, l’escroquerie et des cyberactivités plus perturbatrices comme les rançongiciels. Les rançongiciels font partie des cybermenaces ayant le plus de répercussions pour le Canada. Les opérateurs de rançongiciels profitent considérablement de l’économie de la cybercriminalité spécialisée et de l’accessibilité grandissante à des renseignements volés. Les cybercriminels tirent parti de la cryptomonnaie et utilisent des communications chiffrées pour garder leur anonymat et se soustraire à l’application de la loi. Note de bas de page 10 Ils sont prompts à adopter et à manipuler les nouvelles technologies dans leur propre intérêt. Par exemple, les cybercriminels ont tiré parti d’un système financier décentralisé, qui utilise la cryptomonnaie pour permettre des emprunts et du financement à grande échelle sans passer par des intermédiaires, pour voler d’importantes sommes d’argent. Note de bas de page 11 Il est très probable que les gains importants générés par la cybercriminalité, y compris les gains résultant des rançongiciels, de fraudes et d’escroqueries, comme la compromission de courriel d’affaires (BEC pour Business Email Compromise), continueront d’attirer l’attention de nouveaux groupes de cybercriminels même si les activités de certains groupes sont limitées par les efforts accrus des organismes chargés de l’application de la loi.
Les auteurs de menace attaquent leurs cibles indirectement en exploitant les vulnérabilités de la chaîne d’approvisionnement et de l’infrastructure d’Internet
Plutôt que de cibler directement les organisations, ces auteurs visent de plus en plus les outils et les services logiciels qu’utilisent les organisations en compromettant la chaîne d’approvisionnement. La menace émanant de compromissions de la chaîne d’approvisionnement augmente lorsque les fournisseurs ont un accès de niveau élevé aux réseaux de leurs clients. Ce type de relation devient de plus en plus courant avec la prolifération des logiciels infonuagiques, des infrastructures dans le nuage et des modèles de plateforme-service. En propageant un maliciel par l’entremise des mises à jour et des services d’un fournisseur, les auteurs de cybermenace implantent des vulnérabilités sur les réseaux clients du fournisseur. Les compromissions de la chaîne d’approvisionnement sont, de manière générale, plus complexes que les compromissions directes. Ainsi, selon nos observations, elles demeureront vraisemblablement un outil utilisé principalement par les auteurs de menace parrainés par des États et les cybercriminels dotés de moyens sophistiqués.
Les auteurs de cybermenace profitent également des faiblesses liées au code utilisé partout sur Internet et dans le développement logiciel. Les services Web et les applications informatiques comptent souvent sur du code source ouvert géré par des tiers. Lorsque des vulnérabilités sont trouvées dans un code tiers courant, tout projet utilisant ce code devient vulnérable. Pour des applications comme Log4J, un logiciel de source ouverte populaire présentant une vulnérabilité dévoilée vers la fin de 2021 et exploitée à grande échelle par des auteurs de cybermenace, l’étendue des répercussions peut s’avérer complexe. Note de bas de page 12 Pendant les quatre mois avant que l’exploit ne se soit fait largement connaître, l’application Log4J a été téléchargée plus de 28 millions de fois. Note de bas de page 13 L’exploit, Log4Shell, a été rendu public, ce qui a donné aux auteurs de cybermenace un vaste accès aux outils permettant de compromettre tout service utilisant Log4J. Note de bas de page 14
On considère qu’il est presque certain que les vulnérabilités dans les services courants et les composants logiciels continueront de faire l’objet de découvertes et d’exploitations de la part d’auteurs de menace, et ce, à grande échelle. Nous sommes également d’avis que même après que des correctifs ont été développés, les auteurs de menace continueront sans doute de balayer Internet pour trouver de façon opportune les systèmes non corrigés.
Invasion de l’Ukraine par la Russie – Une nouvelle cyberperspective
L’invasion russe de l’Ukraine en février 2022 a changé la compréhension mondiale de la façon dont les cyberactivités sont utilisées pour appuyer des opérations en temps de guerre. Les cyberactivités malveillantes contre l’Ukraine parrainées par la Russie ont perturbé ou ont tenté de perturber les activités d’organisations dans les secteurs publics, financiers et énergétiques, et elles coïncidaient souvent avec des opérations militaires conventionnelles. Ces attaques se sont étendues au-delà de l’Ukraine pour impliquer également les infrastructures essentielles européennes. Par exemple, l’attaque de la Russie visant un fournisseur de services Internet par satellite européen a entraîné une importante panne dans plusieurs pays d’Europe. Note de bas de page 16 Des opérations de désinformation coordonnées en appui au discours de la Russie au sujet de l’invasion ont également accompagné les activités militaires et les cyberactivités. Note de bas de page 17
La concurrence géopolitique dans le cyberespace expose tout le monde à un risque accru
Des États-nations ont recours à des cyberactivités malveillantes comme tactique de subversion et pour affirmer leur puissance afin d’atteindre leurs objectifs géopolitiques. Les activités de cybermenace malveillantes menées par des auteurs de cybermenace parrainés par des États sont devenues un outil important dont se servent des pays pour influencer des événements tout en restant sous le seuil du conflit, et pour appuyer une guerre conventionnelle.
Les infrastructures essentielles canadiennes sont presque assurément les cibles de cyberactivités malveillantes cautionnées par des nations. Bien que nous estimions qu’il est très probable que les auteurs de cybermenace parrainés par des États s’abstiennent de perturber ou de détruire intentionnellement les infrastructures essentielles du Canada en l’absence d’hostilités, ces auteurs développent quand même les capacités pour leur permettre de perturber les systèmes essentiels du Canada et de ses alliés. Si elles sont menées à bien, ces activités peuvent avoir d’importantes répercussions sur la capacité des Canadiens de communiquer et de recevoir des biens et des services essentiels. De même, les auteurs de cybermenace parrainés par des États multiplient la mésinformation, la désinformation et la malinformation (MDM) pour influencer les populations internationales et tirer profit des divisions sociales. Note de bas de page 15 Ces activités servent à justifier ou à rallier des appuis pour l’atteinte des objectifs idéologiques des pays, à avoir un impact sur le discours international en lien avec les événements actuels ou à inciter à la méfiance pour fragiliser les institutions démocratiques canadiennes.
L’Internet mondial continue de diverger
Dans l’ECMN 2020, nous avons décrit comment les États-nations développaient des normes concurrentes pour encadrer la diffusion de l’information sur Internet. Une approche, axée sur la souveraineté nationale, considère l’information en ligne principalement sur le plan de la stabilité et de la sécurité nationale, et elle favorise un réseau Internet qui permettra aux pays de surveiller leurs citoyens et de censurer l’information. Utiliser Internet pour censurer et surveiller des populations met en péril l’approche d’ouverture, de transparence et de multilatéralité adoptée par le Canada et d’autres pays aux vues similaires. Pourtant, un nombre croissant de pays gèrent leur Internet à l’échelle nationale de cette façon. En 2021, AccessNow rapportait que 34 pays ont eu recours à des interruptions du réseau Internet pour réprimer des troubles sociaux et politiques ou pour contrôler la diffusion de l’information durant des élections et en période de conflit. Note de bas de page 18Freedom House estime que 56 % des utilisateurs d’Internet à travers le monde vivent dans des pays où les contenus politiques, sociaux ou religieux ont été bloqués en ligne. Note de bas de page 19
Il est fort probable qu’au cours des deux prochaines années, les divergences continuent de s’accroître entre un Internet ouvert et transparent, et un Internet axé sur la souveraineté nationale. La Russie et la Chine ont investi dans leur propre infrastructure Internet et, avec d’autres pays, ils veulent préconiser des normes technologiques en matière d’information et de communications. Ces normes permettraient un plus grand contrôle d’Internet dirigé par l’État de chaque pays respectif. Note de bas de page 20 En 2022, la Chine a présenté une nouvelle organisation à l’origine de la Conférence mondiale sur l’Internet qui est consacrée à la gouvernance d’Internet. L’organisation compte des membres provenant de 20 pays. Note de bas de page 21 Bien que la gouvernance d’Internet puisse sembler être un concept abstrait qui s’éloigne du quotidien, nous croyons que les écosystèmes technologiques concurrents et les environnements disparates axés sur l’information empêchent la libre circulation de l’information, créent de la méfiance et font en sorte qu’il est plus difficile de combattre la mésinformation et la désinformation.
Les rançongiciels représentent une menace omniprésente pour les organisations canadiennes
Comme nous l’avons observé dans des éditions précédentes de l’ECMN, la cybercriminalité continue d’être l’activité de cybermenace la plus susceptible de toucher les Canadiens et les organisations canadiennes. La fraude et les escroqueries sont presque assurément les formes les plus courantes de cybercriminalité auxquelles seront confrontés les Canadiens au cours des deux prochaines années en raison des auteurs de menace qui tentent de voler des renseignements personnels, financiers et commerciaux par Internet. La fraude et les escroqueries, y compris les activités de cybermenace malveillantes comme l’hameçonnage, entraînent d’importantes pertes financières. Selon le Centre antifraude du Canada, plus de 150 000 incidents de fraude ont été signalés au Canada, ce qui totalise des vols se chiffrant à plus de 600 millions de dollars depuis janvier 2021. Note de bas de page 22
En raison de son incidence sur la capacité d’une organisation de fonctionner, les rançongiciels sont presque assurément la forme la plus perturbatrice de cybercriminalité à laquelle sont confrontés les Canadiens. Outre le coût financier de la rançon, un rançongiciel peut interrompre le fonctionnement de systèmes importants, endommager ou détruire les données d’une organisation, et révéler de l’information sensible, en plus d’imposer des coûts et du temps de reprise après une attaque. L’interruption que cause une attaque par rançongiciel peut empêcher l’accès à des services essentiels et, dans certains cas, menacer la sécurité physique des Canadiens.
Les rançongiciels ont presque assurément une incidence plus importante sur les organisations canadiennes aujourd’hui qu’en 2020. Depuis 2020, la fréquence des attaques par rançongiciel à travers le monde a augmenté, et les demandes de rançon réclamées aux grandes entreprises sont en hausse. Note de bas de page 23
Les rançongiciels permettent d’autres activités de cybermenace malveillantes
Un rançongiciel est un programme malveillant qui permet de bloquer l’accès à un ordinateur ou à un dispositif et à son fonctionnement; l’accès au système sera potentiellement rendu après le versement d’une rançon. Généralement, les auteurs de menace vont compromettre une victime, chiffrer ses données et exiger une rançon en échange de la clé de déchiffrement. De nos jours, la plupart des attaques par rançongiciel sont des attaques à double extorsion. Cela signifie que les opérateurs de rançongiciels vont exfiltrer des fichiers avant de les chiffrer et menacer de mettre de l’information sensible à la disposition du public si une rançon n’est pas versée. Note de bas de page 24
Au-delà des répercussions liées à un rançongiciel en tant que tel, les données volées lors d’une attaque par rançongiciel permettent presque assurément à un large éventail d’auteurs de mener d’autres activités de cybermenace. L’information qui fait l’objet d’une fuite contient souvent des renseignements personnels et commerciaux sensibles qui peuvent être accessibles librement sur les sites Web d’opérateurs de rançongiciels ou être vendus à un acheteur sur des marchés de cybercriminalité privés ou en ligne. Note de bas de page 25 D’autres auteurs de menace peuvent se servir de cette information pour mener à bien d’autres activités de cybercriminalité, comme le vol d’identité commis à l’encontre de particuliers ou même l’utilisation d’autres rançongiciels. Ces auteurs peuvent également tirer parti des renseignements commerciaux pour soutenir des activités d’espionnage commercial. En mai 2022, une société canadienne dans le secteur de la défense a confirmé dans le cadre d’un reportage qu’elle enquêtait sur une possible attaque par rançongiciel. Note de bas de page 26 Compte tenu de la nature délicate des données de l’organisation, cette information pourrait intéresser d’autres auteurs de menace à des fins d’espionnage ou pour mener d’autres activités de cybercriminalité.
Les rançongiciels perturbent les infrastructures essentielles
Les infrastructures essentielles sont des cibles particulièrement attrayantes pour les rançongiciels. Comme nous l’avons souligné dans la discussion sur les menaces à l’endroit des infrastructures essentielles, les organisations sont perçues par les cybercriminels comme étant prêtes à payer de lourdes rançons pour limiter ou éviter une interruption et les répercussions que pourraient subir leurs clients. En mai 2021, des attaques par rançongiciel commises contre Colonial Pipeline aux États-Unis, et les activités nord-américaines et australiennes de JBS Foods, ont rapporté plusieurs millions de dollars en gains aux auteurs de menace. Ces attaques ont causé des perturbations majeures au sein de la chaîne d’approvisionnement en carburant et de la chaîne agroalimentaire. Note de bas de page 27 Au Canada, une attaque par rançongiciel a causé une interruption des services essentiels dans un hôpital de l’Ontario en juin 2021. En octobre 2021, en raison de serveurs qui ont été chiffrés et verrouillés, un service municipal de transport a été dans l’impossibilité de diffuser les renseignements sur les horaires et les trajets. Note de bas de page 28 Le Centre pour la cybersécurité a été avisé d’une activité de rançongiciel touchant plusieurs industries au Canada depuis 2020, ce qui comprend la majorité des secteurs des infrastructures essentielles du Canada. Bien que les infrastructures essentielles et les grandes entreprises soient des cibles attrayantes, les cybercriminels sont opportunistes, et c’est pour cette raison qu’il est presque certain qu’ils ne limiteront pas leurs activités à ces secteurs au Canada au cours des deux prochaines années.
L’impact des rançongiciels
Les signalements en matière de cybersécurité indiquent que les rançons obtenues sont en hausse depuis 2020; cela s’explique en partie par des demandes de rançon de plus en plus importantes réclamées aux grandes entreprises. Note de bas de page 29 Même si les victimes acceptent de payer la rançon, il n’est pas garanti qu’ils récupéreront leurs données. Une enquête menée sur des entreprises canadiennes a indiqué que seulement 42 % des entreprises qui paient la rançon sont en mesure de récupérer complètement leurs données. Note de bas de page 30 La valeur de la rançon ne représente souvent qu’une partie du coût total pour l’entreprise. Une perte de valeur associée à des temps d’arrêt, à des données irrécupérables, à des coûts pour la réparation des systèmes et à une atteinte à la réputation n’est que quelques-uns des coûts additionnels que peut impliquer un rançongiciel.
Description detaillée - Figure 2
Le graphique à barres montre l’augmentation des paiements moyens liés aux rançongiciels au fil du temps, en dollars canadiens. Les valeurs sont les suivantes :
- 1er trimestre de 2020 : 146 159$
- 2e trimestre de 2020 : 233 444$
- 3e trimestre de 2020 : 306 210$
- 4e trimestre de 2020 : 201 822$
- 1er trimestre de 2021 : 288 505$
- 2e trimestre de 2021 : 178 861$
- 3e trimestre de 2021 : 183 004$
- 4e trimestre de 2021 : 421 916$
- 1er trimestre de 2022 : 277 021$
- 2e trimestre de 2022 : 298 755$
Mesures judiciaires contre les cybercriminels utilisant des rançongiciels
En mai 2021 et encore une fois au début de 2022, nous avons observé une diminution des incidents de rançongiciel dirigés contre les Canadiens. Selon nos observations, cette diminution serait attribuable au fait que les auteurs de menace cherchent à éviter l’attention accrue de la police à la suite de mesures internationales.
Bien que les mesures judiciaires perturbent presque assurément les activités des cybercriminels, nous croyons que ces perturbations ont rarement des effets durables sur l’environnement des rançongiciels. Plusieurs semaines après que, au début de 2022, la Russie a arrêté 14 personnes associées à un gang de rançongiciels bien connu, des chercheurs en cybersécurité ont noté que ce groupe avait repris du service. Note de bas de page 32
Le modèle opérationnel du rançongiciel comme service a rendu les rançongiciels plus accessibles et rentables
Il est fort probable que la majorité des rançongiciels qui touchent les Canadiens appartiennent à des groupes de cybercriminels qui adhèrent au modèle du rançongiciel comme service (RaaS pour Ramsomware-as-a-Service). Ces groupes créent et assurent le maintien de variantes de rançongiciels et ils en vendent l’accès à d’autres cybercriminels qui déploient le rançongiciel contre une victime. Les groupes qui offrent des rançongiciels comme service peuvent demander un paiement initial, des frais d’abonnement ou un pourcentage des profits, ou exiger les trois en échange d’un accès à leurs rançongiciels. Note de bas de page 33 Nous croyons qu’avec ce modèle de service, les obstacles à l’entrée sont réduits pour les cybercriminels, permettant ainsi aux auteurs de menace dotés de moyens moins sophistiqués d’accéder plus facilement à des capacités de rançongiciel et d’extorquer de l’argent aux victimes.
Description detaillée - Figure 3
Une représentation visuelle de la chaîne d’approvisionnement cybercriminelle des rançongiciels comme service. Chaque partie de la chaîne d’approvisionn¬ement comporte une brève description.
- Marchés et forums : Les auteurs de menace ont recours au marché noir de la cybercriminalité et aux forums pour acheter des outils et des services, recruter du personnel et vendre leurs produits.
- Infrastructure d’hébergement : Les auteurs de menace ont besoin d’une infrastructure d’hébergement capable de leur offrir une protection raisonnable contre les forces de l’ordre.
- Accès : Les auteurs de menace achètent ou obtiennent l’accès à la victime.
- Maliciels : Les auteurs de menace développent ou achètent des maliciels qui peuvent servir à faciliter ou à mener une attaque par rançongiciel.
- Communications : Les auteurs de menace utilisent des outils pour communiquer entre eux et avec les victimes ciblées en vue de négocier, par exemple, le paiement d’une rançon.
- Services financiers : Les auteurs de menace ont besoin de moyens d’obtenir, de virer et de blanchir de l’argent (généralement, de la cryptomonnaie) afin d’encaisser les profits de leurs opérations.
Les cybercriminels continueront à adapter leurs méthodes dans le but de maximiser les profits
Tant que les rançongiciels demeureront rentables, il est fort probable que nous verrons les cybercriminels les déployer. Une combinaison de comportements permissifs de la part de nations, particulièrement en Russie, à l’égard de la cybercriminalité ciblant des victimes à l’extérieur des pays formant l’ancienne Union soviétique, et un bassin de talents composé de cybercriminels, facilitent la croissance et le développement d’organisations criminelles dédiées à l’élaboration et au déploiement de rançongiciels. Les auteurs de cybermenace font également preuve de souplesse en tirant parti de la chaîne d’approvisionnement en rançongiciel, et ce, de manière innovante afin de s’assurer que leurs activités restent réalisables. Par exemple, des reportages médiatiques et des rapports de fournisseurs indiquent que certains opérateurs de rançongiciels passent à l’utilisation d’une monnaie privée (une cryptomonnaie qui assure des niveaux élevés d’anonymat) pour cacher plus efficacement leurs activités, bien que le bitcoin demeure le mode de paiement le plus courant pour les rançongiciels. Note de bas de page 34
Cibler les chaînes d’approvisionnement et les fournisseurs de services gérés
Il est fort probable que les cybercriminels continuent de cibler les fournisseurs de services gérés (FSG), entreprises qui hébergent et gèrent les ressources TI de leurs clients, et les chaînes d’approvisionnement des logiciels pour maximiser la portée des opérations visées par des rançongiciels. En 2021, des reportages dans les médias indiquaient que des cybercriminels avaient compromis et propagé un rançongiciel en ayant recours à la solution Virtual System Administrator de Kaseya, un système qu’utilisent les FSG pour gérer les réseaux de leurs clients. Des cybercriminels ont été en mesure de distribuer le rançongiciel à environ 60 FSG et 1 500 de leurs clients. Note de bas de page 35
Les méthodes d’extorsion évoluent
Selon nos observations, au cours des deux prochaines années, les auteurs de cybermenace utiliseront fort probablement diverses techniques d’extorsion pour s’attaquer à leurs victimes et maximiser leurs chances de recevoir les sommes demandées. Outre le chiffrement des systèmes et le vol de données, dans certains cas les opérateurs de rançongiciels utiliseront d’autres techniques, comme le fait de menacer les partenaires ou les clients d’une organisation et le recours aux attaques par déni de service distribué (DDoS). En menaçant les partenaires commerciaux ou les clients d’une victime, il est très probable que les cybercriminels s’attendent à ce que ces organisations fassent pression sur la victime pour qu’elle paie la rançon, de peur que leurs renseignements commerciaux sensibles ou leurs opérations se retrouvent entre les mains d’un auteur de menace. Note de bas de page 36 Le DDoS ajoute de la pression sur une victime en ajoutant une couche supplémentaire de perturbation au réseau d’une organisation. Un groupe de cybercriminels, qui a ciblé des victimes au Canada, a mené des attaques DDoS durant les négociations de paiement. Note de bas de page 37 Même si les nombreuses attaques à l’origine d’extorsions sont courantes, certains auteurs de cybermenace préfèrent s’éloigner du chiffrement traditionnel des systèmes de leurs victimes pour se concentrer uniquement sur les méthodes d’extorsion uniques. Note de bas de page 38
Description detaillée - Figure 4
Le graphique illustre les méthodes d’extorsion courantes :
- Chiffrement
- Vol de données
- Déni de service distribué (DDoS)
- Menaces à l’endroit des partenaires et des clients
Les activités de cybermenace représentent un risque de plus en plus grand pour les infrastructures essentielles
Les infrastructures essentielles sont employées pour appuyer beaucoup des services qu’utilisent les Canadiens tous les jours. Lorsque se produisent des interruptions de service, les répercussions peuvent s’avérer considérables. Bien qu’elles ne soient pas liées à des cyberactivités malveillantes, les pannes concernant les cellulaires et Internet qui ont touché le Canada en 2021 et en 2022 ont bien illustré l’importance de la connectivité et de l’interconnectivité entre les secteurs des infrastructures essentielles. Note de bas de page 39 Outre les incidences sur les particuliers, les pannes ont également eu des répercussions sur le traitement des paiements et les lignes d’urgence. Note de bas de page 40 Les occasions de perturber les infrastructures essentielles s’étendent à mesure que les opérateurs exposent les technologies opérationnelles (TO) sous-jacentes aux procédés industriels à l’Internet. Les TO connectées à Internet augmentent l’exposition aux cybermenaces des organisations qui l’utilisent et augmentent également les risques qu’une activité de cybermenace ait des effets dans le monde réel.
Les auteurs de cybermenace sont conscients de l’impact que peut avoir le ciblage des infrastructures essentielles. Ils exploitent ainsi la fragilité des infrastructures essentielles face à des interruptions de service pour extorquer une rançon. Les auteurs de cybermenace parrainés par des États ciblent les infrastructures essentielles afin d’obtenir de l’information en se livrant à l’espionnage, de se prépositionner en cas d’éventuelles hostilités et de faire acte de force et d’intimidation. Toutefois, selon nos observations, il est très probable que les auteurs de cybermenace parrainés par des États s’abstiennent de perturber ou de détruire intentionnellement les infrastructures essentielles du Canada en l’absence d’hostilités.
Les fournisseurs d’infrastructures essentielles hébergent de grandes quantités de renseignements sensibles importants qui peuvent être ciblés par des auteurs de cybermenace, y compris la propriété intellectuelle sur la conception et la maintenance de TO et les renseignements personnels que le fournisseur a pu recueillir des consommateurs. Des renseignements sensibles peuvent également être révélés au profit d’une activité de cybermenace motivée par un intérêt financier. Des chercheurs estiment que près d’une attaque par rançongiciel sur sept perpétrée contre les infrastructures essentielles au cours de laquelle des renseignements sont volés et divulgués, révèlent des renseignements sensibles sur les TO. Note de bas de page 41 Les auteurs de menace peuvent avoir recours à de l’information technique sur les TO pour planifier d’éventuelles cyberactivités, ou cette information peut devenir un élément précieux pour la vente ou comme cible pour mener des activités d’espionnage commercial.
Description detaillée - Figure 5
Secteurs des infrastructures essentielles :
- Énergie et services publics
- Finances
- Alimentation
- Santé
- Gouvernement
- Sûreté
- Gestion de l’eau
- Transports
- Technologies de l’information et des communications
- Secteur manufacturier
Les TO connectées augmentent l’exposition aux cybermenaces des infrastructures essentielles
Dans l’ECMN 2020, nous avons décrit comment les fournisseurs d’infrastructures industrielles et essentielles connectent de plus en plus les TO, qui sont utilisées pour contrôler et surveiller les processus physiques, aux technologies de l’information (TI). Qu’elles soient connectées ou intelligentes, les TO augmentent l’efficacité des processus grâce à l’échange de données amélioré, à la gestion centralisée et à l’automatisation. Le marché mondial de la technologie intelligente était évalué en 2020 à environ 280,05 milliards de dollars canadiens et il devrait connaître une croissance de plus d’un billion de dollars canadiens d’ici le début des années 2030. Note de bas de page 43 Cela s’ajoute à la tendance générale vers la numérisation dans l’ensemble des industries pour prendre en compte les défis soulevés par la pandémie de COVID-19. Note de bas de page 44 L’adoption des TO connectées a été accélérée par des améliorations en technologie qui rendent plus facile la connexion de dispositifs à distance et à grande échelle; on peut penser notamment au réseau 5G et à l’infrastructure Internet par satellite. Bien que les TO connectées apportent de nombreux avantages, elles augmentent également la vulnérabilité des fournisseurs d’infrastructures essentielles à l’égard des activités de cybermenace.
Description detaillée - Figure 6
Le graphique illustre comment un auteur de cybermenace peut compromettre les réseaux de technologie opérationnelle qui sont connectés au réseau de technologies de l’information d’une organisation. Le réseau de technologies de l’information connecté à Internet est compromis et l’auteur de menace utilise le lien vers le réseau de technologie opérationnelle pour accéder à des dispositifs de technologie opérationnelle qui seraient autrement inaccessibles.
La connexion de TO à des réseaux TI connectés à Internet ouvre la voie aux auteurs de menace qui cherchent à accéder à des dispositifs et à des processus TO sensibles et à les perturber. Une menace visant un réseau TI peut avoir des effets indirects sur le réseau TO. Les opérateurs peuvent arrêter les processus TO par souci de prudence, car un maliciel peut accidentellement se propager et toucher les TO. Note de bas de page 45 Nous observons également une augmentation de l’utilisation de maliciels qui ciblent et neutralisent directement les TO. Des cybercriminels ont déployé des rançongiciels propres aux TO, et des auteurs de menace parrainés par des États ont montré qu’ils étaient en mesure de déployer des maliciels ciblant les infrastructures essentielles pour dégrader leur rendement et endommager les actifs TO et TI. Note de bas de page 46 Des auteurs de menace parrainés par des États russes ont été particulièrement actifs dans l’élaboration et les essais de ces capacités contre leurs voisins, y compris des pays membres de l’OTAN. Note de bas de page 47
Description detaillée - Figure 7
Le graphique à barres horizontales indique le pourcentage des secteurs des infrastructures essentielles qui ont signalé un cyberincident en 2019.
- Industrie pétrolière et gazière : 41,8 %
- Santé – hôpitaux : 36,7 %
- Production d’énergie électrique : 32,4 %
- Finances et assurances : 28,2 %
- Secteur minier : 27,2 %
- Transports : 25,7 %
- Secteur manufacturier : 25 %
- Agriculture : 16,7 %
- Gestion de l’eau : 13,7 %
Les infrastructures essentielles dépendent de leur chaîne d’approvisionnement
Les fournisseurs d’infrastructures essentielles, plus particulièrement dans les secteurs de l’énergie et des services publics, comptent sur l’expertise de leurs fournisseurs et fabricants ainsi que sur leur équipement pour exploiter, entretenir et moderniser leurs processus TO. Selon nos observations, cela les rend particulièrement vulnérables aux compromissions de la chaîne d’approvisionnement, alors que les auteurs de cybermenace commencent par compromettre un fournisseur et utilisent ensuite cet accès pour compromettre au moins un de ses clients. Les auteurs de cybermenace ciblent les chaînes d’approvisionnement des infrastructures essentielles pour deux raisons : voler la propriété intellectuelle et les renseignements concernant les TO déployées par un fournisseur d’infrastructures essentielles et obtenir un accès indirect aux réseaux.
Les cybercriminels ciblent les infrastructures essentielles
Les auteurs de cybermenace motivés par un intérêt financier exploitent principalement les infrastructures essentielles puisqu’ils savent que les temps d’arrêt peuvent nuire aux procédés industriels et aux clients qui dépendent du bon fonctionnement de ces infrastructures. Les activités de cybercriminalité visant les infrastructures essentielles peuvent provoquer l’interruption des activités qui prennent en charge les services essentiels, les services publics et la production de biens importants, notamment les aliments, le carburant et les équipements médicaux, pour soutenir leurs tentatives d’extorsion.
En particulier, pour le secteur de la santé, les répercussions de la cybercriminalité peuvent s’avérer considérables. Footnote 49 Depuis mars 2020, plus de 400 organismes de santé au Canada et aux États-Unis ont fait face à des attaques par rançongiciel. Footnote 50 En 2021, un cyberincident a fortement touché le système de santé de Terre-Neuve-et-Labrador, en perturbant les services médicaux de l’ensemble de la région sanitaire de l’Est. Note de bas de page 51
Compromission dans le secteur de la santé à Terre-Neuve-et-Labrador
Le système de santé de Terre-Neuve-et-Labrador a été paralysé le 30 octobre 2021 à la suite de la compromission de ses réseaux. Cette compromission a été causée par des cybercriminels. Les professionnels de la santé étaient incapables d’avoir accès aux communications internes ou aux renseignements sur les diagnostics, ce qui les a obligés à adopter une approche axée sur le support papier pour gérer les rendez-vous et les interventions d’urgence. Des milliers d’interventions médicales et de rendez-vous médicaux ont été retardés. Outre les interruptions de services, les renseignements sensibles relatifs à des milliers de membres du personnel et de patients ont été volés. Footnote 52
Nous avons également observé une augmentation des menaces visant les gouvernements municipaux et provinciaux. Footnote 53 Le Centre pour la cybersécurité a été informé de plus de 100 cas d’activités de cybermenace ciblant des municipalités canadiennes depuis le début de 2020. La plupart des cas impliquaient le piratage psychologique, un accès réseau non autorisé ou le déploiement de code malveillant, comme un rançongiciel. Des compromissions visant n’importe quel palier de gouvernement peuvent mettre en cause des renseignements personnels de citoyens, la continuité des services et la confiance dans les institutions compromises. Footnote 54
Des auteurs parrainés par des États ciblent les infrastructures essentielles
Des auteurs parrainés par des États ciblent les infrastructures essentielles pour recueillir des renseignements en menant des activités d’espionnage visant à se prépositionner en cas d’éventuelles hostilités et ils s’en servent comme moyen pour affirmer leur puissance et dans le but d’intimider. Dans des éditions précédentes de l’ECMN, nous avons noté qu’il était peu probable que des auteurs de menace parrainés par des États perturbent intentionnellement les infrastructures essentielles canadiennes. Selon nos observations, au cours des deux prochaines années, cette situation devrait demeurer la même en l’absence d’hostilités avec le Canada. L’invasion de l’Ukraine a démontré que la Russie est de plus en plus disposée à utiliser les cyberactivités contre les infrastructures essentielles pour exercer une influence politique étrangère. Le Centre pour la cybersécurité a publié des bulletins sur les cybermenaces en 2022 pour signaler l’existence de cybermenaces, notamment par des auteurs parrainés par la Russie, ayant pour cible les TO et les opérations des réseaux d’infrastructures essentielles canadiennes. Footnote 55
Les activités de cybermenace parrainées par des États ont des répercussions sur les Canadiens
Selon nos observations, les cyberprogrammes parrainés par la Chine, la Russie, l’Iran et la Corée du Nord continueront d’être les plus grandes cybermenaces stratégiques ciblant le Canada. Les activités de cybermenace parrainées par des États visant le Canada représentent une menace constante et continue qui sous-tend souvent des campagnes mondiales plus vastes qu’entreprennent ces États. Les campagnes ciblent le Canada pour diverses raisons, y compris en raison de son association avec des groupes tels l’OTAN et le G7. Tandis que les cyberactivités parrainées par des États ciblent directement le Canada, la forte connectivité du Canada à l’échelle mondiale et son intégration technologique avec ses alliés font également en sorte que son exposition aux menaces est également accrue. Les activités de cybermenace malveillantes parrainées par des États ont presque assurément des incidences sur les organisations et les citoyens canadiens, qu’ils soient ou non les cibles.
Des États étrangers ciblent les citoyens canadiens
Cibler des membres de la diaspora et des activistes au Canada
Des États rivaux veulent surveiller et perturber les activités des personnes qui, selon eux, menacent leur sécurité et leur stabilité nationales. Les auteurs de cybermenace parrainés par des États visent presque assurément des étrangers, des groupes de la diaspora, des activistes et des journalistes pour les surveiller et les contrôler. Ces activités sont susceptibles de menacer la sécurité des citoyens, en plus de renforcer la méfiance et la polarisation au sein de la société canadienne. Selon nos observations, il est probable que des auteurs de menace aient recours à des cyberoutils contre ces populations au Canada. Ces activités prennent plusieurs formes, notamment la surveillance des contenus sur les applications basées à l’étranger, les activités permises par les médias sociaux et l’espionnage contre des personnes au moyen d’un logiciel espion. On considère que des auteurs de cybermenace parrainés par la Chine, l’Iran et l’Arabie Saoudite ont certainement dû surveiller des populations de la diaspora et des activistes à l’étranger en combinant ces moyens. Note de bas de page 56 Selon nos observations, il est très probable que ces auteurs de cybermenace ciblent des citoyens au Canada.
Selon un rapport de The Citizen Lab de l’Université de Toronto, un organisme de recherche qui se spécialise dans la cybersécurité et les droits de la personne, des cybermenaces ciblent des activistes au Canada en ayant recours à la désinformation ou à l’intimidation sur les réseaux sociaux, à des attaques par déni de service contre des organisations et à la compromission de leurs dispositifs personnels. Note de bas de page 57 Les espiogiciels qu’utilisent les auteurs de cybermenace pour compromettre un dispositif personnel peuvent s’avérer hautement sophistiqués; certains permettent l’accès à un dispositif personnel sans que son propriétaire ait à cliquer sur un lien malveillant ou à ouvrir une pièce jointe malveillante. Note de bas de page 58
Les services et les cyberoutils commerciaux en expansion
Les États-nations qui ne disposent pas de cybercapacités peuvent acheter des outils et des services auprès de fournisseurs commerciaux. Nous croyons que des gouvernements étrangers ont fort probablement tiré parti de logiciels commerciaux, comme l’espiogiciel Pegasus de l’entreprise NSO Group, dans le but de surveiller des dissidents, des activistes, des journalistes et des groupes de la diaspora. Il est fort probable que des gouvernements étrangers ont utilisé ces outils commerciaux contre des Canadiens et des groupes d’intérêt au Canada.
Au-delà du recours à des activités de cybermenace contre des citoyens, il est fort probable que des pays utilisent des applications de messagerie et de médias sociaux étrangers populaires auprès de la diaspora au Canada et à travers le monde pour surveiller les communications. Des pays profitent de conditions d’utilisation permissives et de leurs propres pouvoirs législatifs pour forcer le partage de données. Note de bas de page 59 Cette façon de faire menace la vie privée des communautés qui emploient ces applications.
Cibler les renseignements personnels des Canadiens
Dans l’ECMN 2020, nous avons discuté de la façon dont les auteurs de cybermenace parrainés par des États ciblaient d’importantes bases de données de renseignements personnels et se servaient de la science des données pour identifier, faire le profil et suivre des personnes, pour ainsi permettre d’éventuelles activités de cybermenace. À mesure qu’augmente la quantité de renseignements personnels en ligne, les auteurs de menace ont plus de facilité à recueillir et à analyser ces renseignements. Lorsque des données sont transmises ou stockées sur un serveur se trouvant physiquement dans un pays étranger, il est plus facile pour ce pays d’obliger les organisations privées à fournir ces données, ce qui met en péril la vie privée des Canadiens. Note de bas de page 60 Le caractère indissociable des technologies de communications et du traitement de données signifie que, sans mesures de protection adéquates, les renseignements personnels des Canadiens peuvent être compromis lorsque des auteurs de cybermenace compromettent des organisations étrangères. Note de bas de page 61
Description detaillée - Figure 8
Le graphique illustre l’utilisation des grands ensembles de données et des renseignements personnels par les auteurs de cybermenace. Les services en ligne recueillent souvent les renseignements personnels des utilisateurs pour assurer la fonctionnalité des services. Lorsque des renseignements personnels sont exposés à la suite d’une atteinte à la protection des données ou lorsque ceux-ci ont été divulgués volontairement par l’utilisateur, les auteurs de cybermenace peuvent s’en servir pour faciliter le vol d’identité ou la fraude ciblée contre l’utilisateur.
Les auteurs de cybermenace peuvent collecter les données financières et l’information sociale, les données de localisation, les renseignements sur les déplacements, ainsi que l’information sur les habitudes, la santé et la sécurité résidentielle.
Description detaillée - Figure 9
Le graphique indique le nombre total de serveurs ayant été touchés par la compromission de Microsoft Exchange et le nombre de serveurs canadiens qui étaient vulnérables.
Le graphique indique le nombre de compromissions SolarWinds à travers le monde et le nombre de victimes au Canada.
- Microsoft Exchange : Environ 400 000 serveurs touchés et plus de 9 000 serveurs canadiens vulnérables
- SolarWinds : Environ 18 000 compromissions à l’échelle mondiale et 100 victimes au Canada
Les auteurs de menace parrainés par des États tentent de compromettre les Canadiens dans le cadre de vastes campagnes à l’échelle mondiale
Depuis la publication de l’ECMN 2020, nous avons observé que des auteurs de menace parrainés par des États exploitent des plateformes logicielles fréquemment utilisées pour cibler des milliers, voire des centaines de milliers de victimes à travers le monde. Nous remarquons de plus en plus que les auteurs de menace parrainés par des États tirent parti des vulnérabilités du jour zéro pour compromettre des victimes à grande échelle. En ciblant des vulnérabilités non signalées dans des systèmes fréquemment utilisés, les auteurs de menace arrivent à maximiser l’étendue de leurs victimes potentielles et à donner la priorité à celles qui possèdent des renseignements de valeur pour réaliser d’éventuelles cybermenaces. En mars 2021, des auteurs de cybermenace parrainés par la Chine ont compromis à l’échelle mondiale les serveurs Microsoft Exchange dans ce qui est très probablement un effort visant à voler la propriété intellectuelle et à obtenir des renseignements personnels. On évalue à 400 000 le nombre de serveurs dans le monde qui ont été touchés par cette attaque. Note de bas de page 62 Bien qu’il soit difficile de déterminer exactement le nombre de compromissions, nous croyons que près de 9 000 serveurs canadiens ont probablement été vulnérables.
Vulnérabilités logicielles et exploits
Les vulnérabilités logicielles sont des lacunes ou des défauts dans la conception, la mise en œuvre, l’exploitation ou la gestion d’un système de technologies de l’information, d’un dispositif ou d’un service qui peuvent fournir un accès aux auteurs de cybermenace. Les vulnérabilités du jour zéro sont des vulnérabilités qui sont inconnues du public ou du fournisseur de logiciels, ce qui signifie qu’aucun correctif n’est disponible. Un exploit est un code malveillant qui tire avantage d’une vulnérabilité non corrigée.
Selon nos observations, les auteurs de cybermenace parrainés par des États vont très certainement continuer à exploiter des victimes dans le cadre de cybercampagnes mondiales à grande échelle. Même si les organisations et les citoyens canadiens ne sont pas ciblés précisément, l’utilisation généralisée de technologies Internet et de logiciels courants par nos alliés et à l’échelle mondiale signifie que les Canadiens vont probablement être touchés par d’éventuelles campagnes de cette nature.
Des États ciblent la valeur économique du Canada
Des auteurs de menace parrainés par des États se livrent à de l’espionnage commercial et ciblent la propriété intellectuelle et d’autres renseignements commerciaux importants dans le but de partager les renseignements volés avec des entreprises appartenant à des États ou avec des industries nationales de leur pays d’origine. Le cyberespionnage commercial fait souvent partie d’un large éventail d’activités comprenant le vol de propriété intellectuelle, les opérations de renseignement étranger, l’acquisition d’équipement et de matériel discrets, et des violations du contrôle des exportations. Si elles sont fructueuses, ces activités peuvent entraîner une perte de revenus, une atteinte à la réputation et une perte d’investissements dans la recherche et le développement. On considère qu’au cours des deux prochaines années, les organisations canadiennes ayant des renseignements importants pouvant intéresser des États étrangers continueront assurément à être ciblées par des activités de cybermenace malveillantes provenant de criminels parrainés par des États.
Description detaillée - Figure 10
Le graphique illustre les cibles d’intérêt pour l’espionnage en ce qui a trait à l’économie canadienne.
- Recherche universitaire et exclusive
- Données techniques, comme les conceptions et les spécifications
- Renseignements commerciaux (courriels, données financières)
- Renseignement lié au commerce international
- Renseignements qui appuient les industries nationales lors de la passation de contrats étrangers
- Renseignement de nature militaire obtenu par l’entremise d’entrepreneurs
Les auteurs de cybermenace parrainés par la Chine, la Russie, l’Iran et la Corée du Nord posent tous des menaces pour la sécurité des organisations canadiennes. Il est probable qu’au cours des deux prochaines années, ces États continueront de cibler des secteurs importants pour assurer leur propre développement économique national. Cela dit, la menace provenant de la Chine est très probablement la plus importante du point de vue du volume, de la capacité et de l’intention. Il est fort probable que les auteurs de cybermenace parrainés par la Chine continueront de cibler des industries et des technologies au Canada qui contribuent aux priorités stratégiques du pays. Note de bas de page 64 En 2021, le Département de la Justice des États-Unis a déposé une mise en accusation contre des auteurs de cybermenace parrainés par la Chine qui ont ciblé la recherche en science et en technologie dans 12 pays, dont le Canada, entre 2011 et 2018. Les secteurs touchés comprennent les technologies maritimes, les vaccins et les traitements contre les virus, les technologies de l’information, l’aviation et la défense. Note de bas de page 65 Les renseignements volés par les criminels étaient fort probablement destinés à appuyer les efforts de la Chine visant à obtenir des contrats étrangers pour ses entreprises d’État et pour ses propres programmes de recherche.
Des États cherchent à obtenir un gain financier par des moyens virtuels
En 2021 et 2022, nous avons observé des auteurs de cybermenace parrainés par des États mener des opérations à des fins de gains financiers. Leur objectif était certainement en partie d’atténuer l’impact des sanctions économiques mondiales. L’ingérence des États dans les activités de cybermenace motivées par l’appât du gain accroît la probabilité de voir des organisations et des citoyens canadiens être touchés par de telles activités étatiques. Par exemple, il est fort probable que des auteurs de cybermenace parrainés par la Corée du Nord continuent de cibler des institutions financières afin de générer des revenus au cours des deux prochaines années. Ces criminels nord-coréens ont ciblé des personnes et des organisations, y compris au Canada, en développant des applications commerciales malveillantes de cryptomonnaie pouvant servir à saisir les justificatifs d’identité des utilisateurs et à voler des fonds. Note de bas de page 66
Des États utilisent des activités et des outils de la cybercriminalité pour éviter l’attribution
Des auteurs de menace parrainés par des États ont également eu recours à des activités associées à des cybercriminels pour atteindre des objectifs géopolitiques, notamment en perturbant des adversaires. Ils ont utilisé des rançongiciels pour perturber les opérations de leurs victimes et voler de précieux renseignements commerciaux, et recueillir des fonds à même le paiement d’une rançon. En adoptant les tactiques, les techniques et les procédures des cybercriminels, les auteurs de cybermenace parrainés par des États prennent les moyens nécessaires pour éviter de porter le blâme et pour cacher leurs activités. Par exemple, des auteurs de cybermenace parrainés par l’Iran ont déployé un rançongiciel contre des organisations au Moyen-Orient et aux États-Unis. Entre la fin de 2020 et 2021, des chercheurs ont identifié plusieurs auteurs de cybermenace iraniens qui ont déployé des rançongiciels. Généralement, ces attaques sont utilisées pour permettre des activités d’espionnage, et elles rapportent également des gains aux auteurs. Note de bas de page 67
Les auteurs de cybermenace tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels
Internet constitue une source essentielle d’information pour les Canadiens. Depuis le début de la pandémie de COVID-19, 90 % des Canadiens ont consulté des sources en ligne pour rester bien informés des taux d’infection, des mesures de santé publique et du développement de vaccins. Note de bas de page 68 L’intégrité de l’information que reçoivent les Canadiens des sources en ligne est importante. Elle contribue à leur faire prendre des décisions éclairées concernant les mesures de santé publique et des événements internationaux, et elle influence la façon dont ils prennent part aux processus démocratiques. La mésinformation, la désinformation et la malinformation (MDM, voir la figure 11) polluent l’espace d’information en ligne en propageant de l’information fausse et potentiellement nuisible, ce qui rend difficile pour les Canadiens de séparer la vérité des mensonges. Parmi les Canadiens qui ont cherché de l’information en ligne sur la COVID-19, 96 % ont déclaré avoir été exposés à du contenu qu’ils soupçonnaient d’être trompeur, faux et inexact. Note de bas de page 69
Figure 11: Définitions de mésinformation, de désinformation et de malinformation Note de bas de page 70
Mésinformation : une information qui n’a pas pour objectif de causer un préjudice, mais qui est erronée.
Désinformation : le fait de diffuser une fausse information dans le but de manipuler ou de tromper des personnes, des organisations et des États ou bien de leur faire du tort.
Malinformation : une information qui repose sur un fait, mais qui est souvent exagérée de façon à tromper ou même à causer des préjudices.
Il est possible que des personnes soient ciblées par des campagnes de MDM pour entraîner une atteinte à la réputation, ou elle peut servir à influencer des groupes plus importants. Certaines activités liées aux campagnes de MDM sont axées sur un événement, comme une élection ou un recensement, alors que d’autres sont des campagnes constantes. Des algorithmes de médias sociaux ont certes contribué à la circulation de MDM, et des efforts déployés par certaines plateformes de médias sociaux visant à modérer le contenu diffusé ont entraîné la création d’un marché pour de nouvelles plateformes fermées. Nous avons observé que le recours par les auteurs de cybermenace à un discours de MDM a évolué au cours des deux dernières années. Les technologies d’apprentissage automatique font en sorte qu’il est plus facile de créer de faux contenus et plus difficile de les différencier des contenus légitimes. Par ailleurs, les États-nations démontrent de plus en plus de capacité et de volonté envers l’utilisation de MDM pour défendre leurs intérêts géopolitiques. On considère que l’exposition des Canadiens aux campagnes de MDM devrait presque assurément augmenter au cours des deux prochaines années.
Des auteurs de cybermenace tirent profit de la technologie pour diffuser la MDM et tromper les Canadiens
Les algorithmes amplifient la MDM
Le flux de l’information sur Internet est influencé par des algorithmes qui envoient aux utilisateurs du contenu ciblé et des messages publicitaires susceptibles de susciter un engagement. Le contenu MDM comporte souvent du texte à charge émotive et controversé qui semble avoir la cote pour susciter l’implication des utilisateurs. Note de bas de page 71 À mesure que ces algorithmes s’adaptent au fil du temps pour prendre en compte les opinions et les préférences des gens, ils peuvent faciliter la propagation de MDM en les transmettant à ceux qui sont enclins à les croire. Note de bas de page 72 Les auteurs de cybermenace profitent presque assurément des algorithmes de médias sociaux pour propager leurs messages. Il est aussi probable que ces auteurs tirent parti de voix légitimes sur les médias sociaux pour secrètement promouvoir leurs activités d’influence. Par exemple, en août 2021, une publication parue sur Facebook laissait entendre qu’une campagne d’influence liée à la Russie avait créé plusieurs faux comptes faisant la promotion de désinformation en lien à la vaccination pour la COVID-19, qui a ensuite été partagée par des influenceurs sur Instagram. Note de bas de page 73
Alors que de plus en plus de plateformes conventionnelles s’efforcent de retirer le contenu trompeur, des cas de MDM ont été signalés sur des plateformes de réseaux sociaux offrant à un auditoire restreint un espace pour permettre à des gens aux vues similaires d’interagir et de perpétuer des discours extrémistes. Par exemple, durant l’élection présidentielle américaine de 2020, des auteurs russes ont ciblé des utilisateurs américains d’extrême droite sur des applications comme Gab et Parler en menant une activité d’influence étrangère en ligne visant à promouvoir l’ancien président Donald Trump et à dénigrer celui qui était alors candidat à la présidence, Joe Biden. Note de bas de page 74 Des applications de messagerie fermées principalement non modérées, comme Telegram, servent de plus en plus de tribune pour la distribution de contenu MDM. Note de bas de page 75
Le contenu synthétique remet en question toute information
Dans l’ECMN 2020 et la mise à jour 2021 de l’évaluation des Cybermenaces contre le processus démocratique du Canada, nous avons décrit comment la technologie permettant de créer des vidéos par hypertrucage représentant des personnalités publiques ou des événements est devenue non seulement plus accessible aux auteurs de cybermenace, mais elle donne également des résultats plus convaincants. Nous avons continué d’observer à quel point la technologie qui se cache derrière l’hypertrucage avait évolué et pouvons témoigner de son utilisation dans le cadre d’importants événements sur la scène internationale. Lorsqu’il vise des personnes, le contenu synthétique est destiné à intimider et à porter atteinte à la réputation de ses victimes. Par exemple, la technologie de l’hypertrucage est utilisée pour cibler des politiciens et des journalistes, principalement des femmes, pour créer du contenu pornographique non consensuel dans le but de les discréditer. Note de bas de page 76 Comme il devient plus difficile de différencier le contenu hypertruqué du contenu véritable, et compte tenu du fait que les outils servant à créer ces hypertrucages sont plus largement accessibles, il est fort probable que les auteurs de cybermenace continueront à intégrer cette technologie à leurs campagnes de MDM, ce qui leur permettra d’accroître la portée, l’ampleur et la crédibilité de leurs activités d’influence.
Incidence disproportionnée des hypertrucages sur les femmes
Selon nos observations, il est probable que l’utilisation illicite des technologies d’hypertrucage a été dirigée vers des femmes qui courent un plus grand risque d’être dépeintes dans un contenu synthétique sexuellement explicite sans leur consentement. Des chercheurs estiment que 95 % de toutes les vidéos par hypertrucage sur Internet comportent de la pornographie synthétique non consensuelle et qu’environ 90 % de celles-ci représentent des femmes. Note de bas de page 77 Certains des outils d’hypertrucage les plus populaires sont de nos jours des applications qui « déshabillent numériquement » des photos et produisent du matériel pornographique hypertruqué et personnalisé. Note de bas de page 78
Le contenu synthétique augmente les campagnes de MDM en présentant une preuve visuelle appuyant des faussetés. Les générateurs de texte ont progressé à un tel point que le contenu qu’ils produisent est souvent quasi indéchiffrable du contenu légitime. Note de bas de page 79 Il est toujours possible d’identifier les méthodes les plus courantes de production de vidéos hypertruquées et d’images synthétiques qui sont fausses et, dans certains cas, il est même facile de différencier le faux contenu du contenu réel. Toutefois, des exemples plus sophistiqués ont démontré une amélioration en matière de qualité, et ils sont plus difficiles à détecter. Note de bas de page 80 Au cours de l’invasion de l’Ukraine par la Russie, nous avons remarqué que du contenu synthétique était distribué parallèlement à une campagne de désinformation concertée menée par la Russie.
L’hypertrucage et l’invasion russe en Ukraine
L’invasion russe en Ukraine a impliqué une campagne soutenue de désinformation conçue pour créer de la confusion et affecter la perception de la communauté internationale à l’égard de la guerre. Le 16 mars 2022, une vidéo truquée circulait sur les plateformes de médias sociaux montrant le président ukrainien, Zelenskyy. L’hypertrucage montrait le président Zelenskyy demandant aux soldats ukrainiens de se livrer à la Russie. Note de bas de page 81 Plus tôt en 2022, des auteurs inconnus se sont fait passer pour le maire de Kyiv et ont réussi à piéger plusieurs maires européens lors de téléconférences. Les participants aux appels n’avaient aucune idée que la personne à l’autre bout du fil était le produit d’un hypertrucage jusqu’à ce que le soi-disant maire de Kyiv commence à faire des commentaires douteux. Note de bas de page 82
Des auteurs étrangers utilisent une forme de MDM pour influencer le discours international
Nous avons décrit dans l’ECMN 2020 comment les activités d’influence étrangère en ligne sont devenues la nouvelle normalité, alors que des adversaires cherchent à influencer des élections et à avoir un impact sur le discours international en lien avec les événements actuels. Cette tendance se poursuit depuis 2020. Des nations adversaires font constamment circuler et amplifier des campagnes de MDM pour appuyer leurs intérêts entourant des événements importants comme l’invasion de l’Ukraine par la Russie. Selon nos observations, ces campagnes de MDM propagées par des auteurs de cybermenace parrainés par des États représentent une menace constante et persistante pour les Canadiens. La participation active du Canada au sein de la communauté internationale et en tant que membre d’organisations clés, comme l’OTAN et le G7, fait des Canadiens une cible pour les campagnes d’influence étrangère en ligne.
Bien que nous croyions que le Canada n’est pas particulièrement visé par les activités de MDM russes, la désinformation de la Russie cible malgré tout les pays de l’Ouest, et elle s’est ingérée, de façon opportune, dans des événements impliquant le Canada. En avril 2022, le CST a révélé que la Russie propageait des campagnes de MDM au sujet de membres des Forces armées canadiennes qui commettaient des crimes de guerre en Ukraine et qu’elle utilisait des images altérées pour renforcer ses faussetés au sujet de l’implication du Canada dans le conflit. Note de bas de page 83 Dans le cadre d’une enquête en ligne menée auprès d’utilisateurs de médias sociaux canadiens, plus de la moitié des répondants ont déclaré avoir fait face à des campagnes de MDM en lien à l’invasion russe de l’Ukraine sur les médias sociaux. Note de bas de page 84
Les activités d’influence étrangère en ligne ciblent fort probablement également les minorités linguistiques et les communautés de la diaspora au Canada. Des auteurs de cybermenace parrainés par des États visent à influencer ces groupes dans le but de réduire au minimum la dissidence ou d’appuyer les politiques de leur pays d’origine. Note de bas de page 85 Ces groupes interagissent souvent sur des plateformes semi-fermées et censurées en fonction de règlements restrictifs en matière de contenu, ce qui signifie que la mésinformation, la désinformation et la malinformation peuvent se propager plus facilement au sein de ces groupes. Note de bas de page 86 Par exemple, WeChat, une application de médias sociaux de Chine utilisée par des milliards de personnes à travers le monde, a été utilisée pour diffuser des campagnes de MDM et de la propagande s’adressant spécifiquement à la diaspora chinoise. Note de bas de page 87
Des technologies perturbatrices entraînent de nouvelles possibilités et menaces
Le développement rapide de la technologie offre de nombreuses perspectives à ceux qui savent créer, déployer et mettre en œuvre des innovations. Certains de ces développements peuvent s’avérer « perturbateurs » parce qu’ils modifient fondamentalement leur champ d’application, permettant ainsi des améliorations considérables par rapport aux technologies existantes ou à de nouvelles approches qui rendent les technologies en place obsolètes. Toutefois, la réglementation a souvent de la difficulté à rester au fait des développements technologiques de pointe, et les implications et les risques de leur adoption ne sont pas clairs, du moins initialement.
Tout comme des technologies évoluées peuvent venir appuyer des objectifs commerciaux publics, elles peuvent également être déployées de manière malveillante par des auteurs de menace dotés de moyens sophistiqués. La présente section traite de trois des tendances technologiques qui, selon nous, ont le potentiel de perturber leurs domaines respectifs : les actifs numériques et le système financier décentralisé, l’apprentissage automatique et l’informatique quantique. Bien que ces technologies en soient à diverses étapes de leur processus de développement et de réalisation, elles ont toutes des répercussions sur la prospérité économique du Canada et la sécurité nationale, ainsi que sur la sécurité des citoyens et la vie privée des Canadiens.
Des actifs numériques sont des cibles et des outils pour les auteurs de cybermenace
Depuis que les bitcoins sont devenus la première cryptomonnaie en 2008, le nombre de cryptomonnaies et la valeur des marchés de la cryptomonnaie ont explosé. Il existe maintenant plus de 10 000 différentes cryptomonnaies sur le marché. Le marché a atteint des sommets avec près de 3 billions de dollars américains durant la pandémie de COVID-19, avant de tomber sous la barre d’un billion de dollars au milieu de 2022, mais toujours à un niveau bien supérieur par rapport aux niveaux avant la COVID-19. Note de bas de page 88 Les cryptomonnaies et les technologies de chaînes de blocs connexes ont contribué au développement d’un écosystème économique numérique, dans lequel les actifs numériques ont une valeur concrète. Un aspect émergent de ce système est la fonction de gestion financière décentralisée (DeFi pour Decentralized Finance), qui permet des emprunts et du financement à grande échelle sans passer par des intermédiaires. Ces activités se produisent sur des plateformes DeFi qui offrent une vaste gamme de services et sont une solution de rechange aux systèmes financiers centralisés traditionnels que l’on retrouve dans les banques et autres institutions financières.
Selon des analyses de fournisseurs, le vol de cryptomonnaie en 2021 a atteint une valeur de près de 3,2 milliards de dollars. Ces valeurs proviennent des échanges de cryptomonnaies et des plateformes DeFi. Note de bas de page 89 Outre le fait de voler de la cryptomonnaie en ayant recours à la fraude, à des escroqueries et à des compromissions par portefeuille numérique, les auteurs de cybermenace se basent sur la cryptomonnaie pour payer des marchandises et des services illicites, pour recevoir des paiements provenant de victimes de rançongiciel et pour blanchir le produit d’actes criminels. Bien que les services policiers connaissent un certain succès lorsque vient le temps de retracer, et dans certains cas, de récupérer des sommes volées, les auteurs de cybermenace continuent de perfectionner et de développer des techniques pour masquer des transactions financières illicites, comme l’utilisation de mixeurs de cryptomonnaie ou de monnaies privées. Note de bas de page 90 Selon nos observations, le blanchiment d’argent au moyen de cryptomonnaie continuera à faciliter la montée de la cybercriminalité et d’autres activités illicites, et cette pratique va également entraver la capacité des forces de l’ordre à retracer et à récupérer les sommes volées.
Figure 12 : Termes liés à la cryptomonnaie
Monnaie privée
Les cryptomonnaies comme le bitcoin fonctionnent sur une chaîne de blocs publique, ce qui signifie que tous les transferts et toutes les transactions sont publics. Des monnaies privées comme la cryptomonnaie Monero ont été spécialement conçues pour masquer les transactions et assurer l’anonymat des utilisateurs. Les auteurs de cybermenace trouvent les monnaies privées attrayantes, eux qui sont déterminés à ne pas être détectés pour qu’il soit difficile pour la police de suivre la circulation illicite de l’argent. Note de bas de page 91
Mixeurs
Les mixeurs permettent aux auteurs de cybermenace de dissimuler l’origine de la cryptomonnaie obtenue de manière illicite. Les mixeurs acceptent des cryptomonnaies des utilisateurs et les combinent dans un regroupement pour les « mixer » efficacement. Les utilisateurs retirent ensuite la valeur de leur dépôt du regroupement mélangé, moins des frais de service. On note une augmentation de l’utilisation de mixeurs. Leur valeur trimestrielle a dépassé le milliard de dollars américains à la fin de 2020, et la valeur est passée de 2 milliards de dollars à un peu plus de 3 milliards de dollars américains tous les trimestres depuis cette date. Cette augmentation a été entraînée par les fonds reçus de sources présumées illicites, ce qui, au cours du deuxième trimestre de 2022, a représenté près de 28 % de valeur, ou 700 millions de dollars américains, envoyés à des mixeurs. Note de bas de page 92
L’automatisation de l’apprentissage automatique peut être trompée et exploitée
L’apprentissage automatique est un sous-ensemble de l’intelligence artificielle qui se développe rapidement et qui occupe déjà une place omniprésente dans les services aux consommateurs et l’analyse de données. Les techniques liées à l’apprentissage automatique présentent un changement fondamental dans l’automatisation des tâches comme la reconnaissance d’image, la traduction de langue et la modération ou la conservation de contenus en ligne. Des chercheurs ont démontré plusieurs autres applications prometteuses relatives à l’apprentissage automatique pour l’avenir, notamment pour les véhicules autonomes et les diagnostics médicaux. Note de bas de page 93 À mesure que l’apprentissage automatique s’intègre aux processus décisionnels et a des répercussions sociales et personnelles, une attention particulière sera nécessaire pour veiller à ce que son application soit équitable, objective et sécuritaire. Les applications axées sur l’apprentissage automatique comportent des vulnérabilités uniques comparativement aux programmations conventionnelles. Les auteurs de cybermenace peuvent exploiter celles-ci pour accroître l’exposition aux menaces des organisations qui les utilisent.
Les auteurs de cybermenace attaquent les modèles d’apprentissage automatique au moyen de techniques d’apprentissage automatique nuisible. Note de bas de page 94 D’une manière générale, ces techniques exploitent les failles de la logique du modèle d’apprentissage automatique pour tromper le système ou le forcer à retourner de l’information non désirée et parfois confidentielle.
Description detaillée - Figure 13
Le graphique illustre la façon dont on peut tromper un modèle d’apprentissage automatique appliqué à la reconnaissance d’images en modifiant subtilement une image. Une couche de modification est combinée à l’image d’un poisson porc-épic. L’image modifiée du poisson porc-épic semble identique pour l’œil humain, mais le modèle de reconnaissance d’images voit maintenant un ours grizzly.
Tel qu’il est illustré dans la figure 13, les modèles d’apprentissage automatique par reconnaissance d’image peuvent être amenés par la ruse à identifier de façon erronée des objets en modifiant l’image. Certaines modifications sont invisibles pour l’œil humain, ce qui les rend difficiles à détecter. Note de bas de page 95 Le même principe s’applique à d’autres applications d’apprentissage automatique, comme la détection de maliciel. En modifiant subtilement le code du maliciel de manière à confondre l’algorithme, les auteurs de cybermenace peuvent amener le logiciel de sécurité à faire une classification erronée en présentant le maliciel comme étant inoffensif. Selon nos observations, il est aussi fort probable que les auteurs de menace trompent les algorithmes d’apprentissage automatique pour faciliter une autre cyberactivité, comme la distribution de mésinformation et de campagnes de fraude par courriel à grande échelle. Note de bas de page 96
En indiquant au modèle d’apprentissage automatique des questions soigneusement élaborées, les auteurs de cybermenace peuvent être en mesure de déduire des renseignements à partir des données de formation. Note de bas de page 97 Lorsque le modèle d’apprentissage automatique est appliqué au diagnostic médical ou à la protection contre la fraude, les données de formation peuvent comprendre des renseignements personnels sensibles, y compris des détails financiers sur un historique de santé. Une exposition de ces renseignements, ou de renseignements d’une personne dans le cadre des données de formation, peut servir à la conduite d’autres activités de menace sur mesure, comme des fraudes ou des escroqueries. Les renseignements personnels ainsi volés sont à risque d’une exposition ultérieure si ces renseignements devaient être vendus ou rendus publics.
L’informatique quantitative menace la cryptographie moderne
L’informatique quantique est une technologie émergente conçue pour contourner les limitations physiques de l’informatique conventionnelle par l’application de la physique quantique. Les ordinateurs quantiques menacent nos méthodes actuelles permettant d’assurer la cybersécurité des systèmes d’information et de protéger les données sensibles transmises par Internet. La cryptographie est utilisée pour protéger des données au moyen de problèmes mathématiques qui attestent la source et brouillent leur contenu pour en empêcher une lecture non intentionnelle. Sans la clé de déchiffrement, porter atteinte à la sécurité en résolvant le problème mathématique ne pourrait pas se faire dans un délai raisonnable avec des ordinateurs classiques. Toutefois, les problèmes mathématiques reposant sur les normes cryptographiques actuelles sont facilement exécutés par des ordinateurs quantiques. Des dispositifs quantiques suffisamment puissants pour percer la cryptographie moderne pourraient être offerts dès le début des années 2030. Il sera alors impossible de transmettre de manière sécuritaire de l’information sensible si des modifications à nos méthodes actuelles de cryptographie ne sont pas apportées. Note de bas de page 98 Cependant, nous n’avons pas encore observé d’ordinateur quantique capable de terminer un problème offrant un avantage commercial qui ne pouvait pas également être terminé par des ordinateurs classiques. Note de bas de page 99
La cryptographie est essentielle pour les systèmes numériques courants de confiance qui nécessitent des transferts de données sensibles, comme des détails personnels ou des renseignements financiers. Nous croyons que le développement proactif et l’adoption d’une cryptographie post-quantique permettront de diminuer la menace qui pourrait éventuellement peser sur l’information et les communications si l’informatique quantique venait à offrir plus de capacités et devenait plus courante. Le Centre pour la cybersécurité a travaillé activement à l’élaboration d’une solution au défi quantique en collaborant avec le National Institute of Standards and Technology des États-Unis pour attester des normes en matière de cryptographie post-quantique. Note de bas de page 100 Toutefois, les renseignements chiffrés qui ont été volés par des auteurs de menace aujourd’hui peuvent être conservés et déchiffrés lorsque des ordinateurs quantiques deviendront disponibles. Pour la plupart des Canadiens, il se peut que cette situation ne représente pas une menace importante; cependant, un vol de renseignements commerciaux et de données gouvernementales liées aux affaires étrangères ou à la sécurité nationale peut devenir un atout précieux ou entraîner une situation sensible ultérieurement. Note de bas de page 101
Conclusion
Le contexte des cybermenaces au Canada continue d’évoluer. Les Canadiens utilisent Internet couramment et pour accomplir un plus grand nombre de tâches. Plus il y a des dispositifs connectés à Internet, plus grande sera l’exposition aux cybermenaces. Les auteurs de cybermenace adaptent leurs activités et utilisent de nouvelles technologies pour réaliser leurs objectifs financiers, géopolitiques ou idéologiques.
Dans le cadre de cette Évaluation des cybermenaces nationales, nous avons établi des tendances relatives au contexte des cybermenaces et nous avons donné une vue d’ensemble de 5 thèmes qui vont continuer de dominer les activités de cybermenace au Canada au cours des deux prochaines années. Bien que la cybercriminalité demeure la menace la plus susceptible de toucher les Canadiens et les organisations canadiennes, les cybermenaces parrainées par des États entraînent aussi des répercussions sur les Canadiens. Les infrastructures essentielles risquent de plus en plus d’être visées par des activités de cybermenace émanant de cybercriminels et d’auteurs de menace parrainés par des États, tandis que des États-nations adaptent leur utilisation de la mésinformation, de la désinformation et de la malinformation dans le but d’influencer les Canadiens. Le contexte des cybermenaces évoluera certainement au cours des deux prochaines années, à mesure que des technologies comme les actifs numériques, l’apprentissage automatique et l’informatique quantique créent de nouvelles possibilités et de nouvelles menaces.
Un grand nombre de cybermenaces peuvent être atténuées grâce à la sensibilisation et à l’adoption de pratiques exemplaires en matière de sécurité et de continuité des activités. De nos jours, les cybermenaces et les opérations d’influence sont souvent fructueuses, car elles ne reposent pas uniquement sur les vulnérabilités technologiques, mais exploitent des habitudes sociales et des comportements humains profondément ancrés. Pour défendre le Canada contre les cybermenaces et les opérations d’influence connexes, il faut se pencher sur les aspects techniques et sociaux des activités de cybermenace. Des investissements en cybersécurité permettront aux Canadiens de bénéficier de nouvelles technologies tout en s’assurant de ne pas exposer indûment à des risques la sécurité, la vie privée, la prospérité économique et la sécurité nationale.
Le Centre pour la cybersécurité s’est engagé à faire avancer la cybersécurité et à accroître la confiance des Canadiens dans les systèmes sur lesquels ils comptent au quotidien, en soutenant les réseaux des infrastructures essentielles ainsi que d’autres systèmes qui sont importants pour le Canada. Nous invitons les lecteurs à consulter nos conseils sur la cybersécurité pour obtenir de plus amples renseignements sur les cybermenaces et les tendances exposées dans le présent document.
Le Centre pour la cybersécurité a recours à une approche collaborative en matière de sécurité qui permet de combiner l’expertise du gouvernement, du secteur privé et du milieu universitaire. En travaillant ensemble, nous rendrons le Canada plus fort et plus résilient face aux cybermenaces.