Menaces à la santé financière et économique des Canadiens

Les activités de cybermenace entraînent des dépenses imprévues pour les organisations. Il peut s’agir des rançons versées ou de fonds volés, des pertes occasionnées par l’interruption des opérations, des coûts nécessaires pour assurer la sécurité des réseaux, d’une atteinte à la réputation et de la perte de clients qui en découle, et sans oublier du vol de propriété intellectuelle et de renseignements confidentiels.Note de bas de page39 Ces coûts siphonnent les ressources limitées des organisations et diminuent la compétitivité de ces dernières face à d’autres entreprises. Combinés, ils représentent en fait un fardeau sur l’ensemble de l’économie canadienne.

Rançongiciel et chasse au gros gibier

Selon l’évaluation de 2018, le rançongiciel a été identifié comme étant la forme la plus répandue de maliciel utilisé pour extorquer de l’argent aux Canadiens. Les cybercriminels ont toutefois changé leurs tactiques pour leur permettre d’augmenter le montant des rançons demandées et d’accroître leur probabilité de réussite. Au cours des dernières années, les cybercriminels chassent de plus en plus le gros gibier et concentrent leurs activités sur de grandes entreprises qui doivent éviter que leurs réseaux soient perturbés, et qui sont prêtes à payer de lourdes rançons pour rétablir rapidement leurs opérations.Note de bas de page40 Avec la recrudescence de ce type de campagne de rançongiciel, le montant des rançons demandées a aussi augmenté. Les chercheurs en rançongiciel estiment que la moyenne des demandes de rançon a augmenté de 33 % depuis le T4 de 2019 pour atteindre environ 148 700 $ CA au cours du T1 de 2020 en raison de l’impact de ce type de cybermenace sur les opérations visées par des rançongiciels.Note de bas de page41 À l’extrémité du spectre se trouvent les demandes de rançon de plusieurs millions de dollars, qui sont devenues de plus en plus courantes. En octobre 2019, une compagnie d’assurance canadienne a payé 1,3 million $ CA pour récupérer 20 serveurs et 1 000 postes de travail.Note de bas de page42 De plus, nous croyons que les auteurs de cybermenace parrainés par des États pourraient utiliser un rançongiciel afin de masquer l’origine de leurs activités et leurs intentions. Il est presque assuré que les services de renseignement de nombreux pays collaborent avec des cybercriminels qui se livrent à des stratagèmes par rançongiciel. Dans cette collaboration avec bénéfices mutuels, les cybercriminels échangent des données avec les services de renseignement et ces derniers leur permettent de poursuivre leurs opérations sans avoir à respecter les lois.

Figure 5 : Rançon moyenne versée lors d’attaques par rançongiciel entre 2018 et 2020
(données de CovewareNote de bas de page43 avec conversion de $ US à $ CA)

Descrption - Figure 5

Graphique à bandes illustrant la rançon moyenne versée au fil du temps, en dollars canadiens. Les valeurs sont les suivantes :

T3 2018 : 7 960 $

T4 2018 : 8 970 $

T1 2019 : 17 010 $

T2 2019 : 48 370 $

T3 2019 : 54 900 $

T4 2019 : 112 090 $

T1 2020 : 148 700 $

Nous croyons que les activités malveillantes dirigées contre le Canada continueront fort probablement à cibler les grandes entreprises et les fournisseurs d’infrastructures essentielles. En outre, il est probable que bon nombre de victimes canadiennes continueront de consentir à payer les rançons pour éviter les conséquences économiques graves et potentiellement dévastatrices qui pourraient survenir advenant un refus. Depuis la fin de 2019, de nombreuses entreprises canadiennes et plusieurs gouvernements provinciaux ont vu leurs données divulguées par des opérateurs de rançongiciels après avoir refusé de verser la rançon demandée. Ce fut entre autres le cas pour une entreprise de construction et un consortium d’entreprises agricoles canadiennes.Note de bas de page44

LE SECTEUR DE LA SANTÉ FRÉQUEMMENT CIBLÉ PAR LES RANÇONGICIELS

En 2019 et 2020, de nombreux organismes canadiens du secteur de la santé ont été ciblés dans le cadre d’attaques par rançongiciel. Par exemple, en octobre 2019, trois hôpitaux de l’Ontario ont été victimes de telles attaques, et un centre de diagnostic et de tests spécialisés a vu ses données compromises par un rançongiciel en décembre 2019. Au début de 2020, une attaque par rançongiciel a aussi ciblé une société médicale de la Saskatchewan.Note de bas de page45 Beaucoup d’organismes mondiaux du secteur de la santé ont dû faire face à des attaques par rançongiciel pendant la pandémie de COVID-19, notamment des hôpitaux et des centres de soins de santé en République tchèque, aux États-Unis, en Espagne et en Allemagne.Note de bas de page46 Ces organismes sont des cibles populaires parmi les opérateurs de rançongiciels en raison de leurs importantes ressources financières et du fait qu’ils sont plus susceptibles de payer la rançon, puisqu’une panne de réseau peut mettre en danger la vie de patients.

Vol de propriété intellectuelle et de renseignements exclusifs

Dans l’évaluation de 2018, il a été question de la menace qui pèse sur les entreprises canadiennes en raison du cyberespionnage industriel. La menace est toujours présente aujourd’hui, puisque des auteurs de cybermenace parrainés par des États continuent de mener des activités d’espionnage contre les réseaux d’organismes au Canada et dans des nations alliées dans le but de voler la propriété intellectuelle, des secrets commerciaux et d’autres renseignements commerciaux de nature exclusive. Au Canada, ces auteurs de cybermenace ont mené des activités d’espionnage contre une grande diversité d’organismes canadiens, dont ceux du secteur privé, du milieu universitaire et du gouvernement. Ils ciblent plus particulièrement les organismes du secteur de la santé et de la biotechnologie, de l’énergie, des télécommunications et de la défense.Note de bas de page47

Une campagne de longue date menée par des auteurs de cybermenace parrainés par des États a compromis des fournisseurs de services gérés (FSG) dans le but de mettre la main sur la propriété intellectuelle et des renseignements commerciaux et technologiques confidentiels liés à l’aviation, à la santé, à la biotechnologie, aux télécommunications, ainsi qu’à d’autres secteurs. Ils ont ciblé des entreprises tant au Canada que dans pas moins de 12 pays depuis 2006.Note de bas de page48 On a signalé en 2019 qu’une campagne parrainée par des États avait ciblé plus de deux douzaines d’universités au Canada, aux États-Unis et en Asie du Sud-Est pour tenter d’obtenir de l’information liée à la technologie et à la recherche maritimes à des fins militaires.Note de bas de page49

Durant la pandémie de COVID-19, plusieurs grandes entreprises des industries médicale et biopharmaceutique du Canada et de l’étranger ont été la cible d’auteurs de cybermenace parrainés par des États qui tentaient de voler la propriété intellectuelle liée aux essais, aux traitements et aux vaccins contre la COVID-19. Selon nos observations, il est probable que ces auteurs de cybermenace continuent à tenter de voler la propriété intellectuelle canadienne touchant la lutte contre la COVID-19 pour appuyer leurs programmes de santé publique nationaux ou tirer profit de la reproduction illégale de cette propriété par leurs propres sociétés.Note de bas de page50

Les organisations ayant des activités et des infrastructures à l’étranger sont exposées à des cybermenaces supplémentaires. Leurs opérations à l’étranger peuvent être régies par des lois sur la propriété intellectuelle, la protection de la vie privée ou la sécurité nationale, qui sont différentes et parfois plus laxistes. De nombreux pays disposent d’un pouvoir juridique et ont la compétence technique nécessaire pour accéder secrètement aux données qui passent par leur pays ou y sont conservées. Cela a de sérieuses conséquences sur les données et la propriété intellectuelle canadiennes envoyées dans des bureaux à l’étranger ou sur celles qui transitent par des réseaux qui se trouvent dans d’autres pays. Même les données qui sont échangées entre deux organismes au Canada peuvent transiter par des réseaux étrangers avant d’arriver à destination. Toutefois, conformément aux jugements formulés dans l’évaluation de 2018, on considère que la menace de cyberespionnage est certainement beaucoup plus grande pour les entreprises canadiennes qui font des affaires à l’étranger ou qui travaillent directement avec des sociétés détenues par des États étrangers.

CYBERATTAQUES RUSSES CIBLANT LA RECHERCHE DE VACCIN CONTRE LA COVID-19

En juillet 2020, dans un communiqué conjoint, le Centre canadien pour la cybersécurité, le National Cyber Security Centre du Royaume Uni et la National Security Agency des États-Unis ont dressé un rapport des tactiques, des techniques et des procédures utilisées par un auteur de cybermenace parrainé un État qui ciblait des organisations impliquées dans le développement de vaccins contre la COVID-19 au Canada, aux États-Unis et au Royaume-Uni.Note de bas de page51 On considère que l’auteur de cette attaque pourrait fort probablement faire partie des services de renseignement russes et que son objectif est vraisemblablement de voler l’information et la propriété intellectuelle liées au développement et aux essais de vaccins contre la COVID-19.

Vol de données des clients

Comme prévu dans l’évaluation de 2018, les auteurs de cybermenace continuent de cibler les grands ensembles de données détenus par des entreprises au Canada et à travers le monde. Les bases de données volumineuses qui contiennent des renseignements personnels, tels que des noms, des adresses, des numéros de téléphone, de l’information relative à l’emploi, des références et des données financières ont pour eux une valeur inestimable. L’agrégation des données obtenues lors de multiples compromissions permet aux cybercriminels d’obtenir suffisamment d’information pour demander frauduleusement des prêts ou des cartes de crédit, produire une fausse déclaration d’impôt, transférer de l’argent illégalement, extorquer de l’argent à des victimes, avoir accès à des comptes en ligne ou concevoir des courriels d’hameçonnage persuasifs.Note de bas de page52 Les auteurs de cybermenaces parrainés par des États peuvent également se servir de ces données pour traquer des dissidents, des minorités ou des cibles d’espionnage dans leur pays ou à l’étranger.

Les cybercriminels qui s’adonnent au vol de données sont généralement des opportunistes motivés par l’appât du gain, alors que les auteurs de cybermenace parrainés par des États cherchent à obtenir de grandes quantités d’informations sensibles pour soutenir des objectifs stratégiques plus larges, comme la collecte de renseignements. Selon la présente évaluation, il est fort probable qu’au cours des deux prochaines années, les organisations canadiennes demeurent une cible de choix pour les cybercriminels et les auteurs de cybermenace parrainés par des États qui cherchent à obtenir de l’information nominative et d’autres données sensibles.

Les attaques par rançongiciel menées par les auteurs de cybermenace ont également gagné en sophistication. Ces derniers menacent les entreprises de divulguer l’information confidentielle de leurs clients à moins qu’une rançon soit versée, incitant ainsi les victimes à acquiescer à leurs demandes.Note de bas de page53 Toutefois, même si un paiement est effectué, les auteurs de cybermenace peuvent décider de supprimer, de modifier ou de divulguer l’information, ou encore utiliser les données volées lors d’une fraude ultérieure.

LA PLUS IMPORTANTE ATTEINTE À LA PROTECTION DES DONNÉES DE L’HISTOIRE CANADIENNE

En octobre 2019, une cyberattaque menée par des pirates informatiques a compromis les données de l’entreprise canadienne de laboratoire médical LifeLabs. Les renseignements personnels et confidentiels d’environ 15 millions de Canadiens ont été exposés, ce qui représente la fuite la plus massive de données personnelles jamais enregistrée au Canada. Les voleurs se sont emparés de résultats d’examen, de numéros de carte d’assurance maladie, de noms, de dates de naissance, d’adresses privées et d’adresses de courriel. Bien que LifeLabs ait payé la rançon pour récupérer les données, on ne peut garantir que les voleurs n’ont pas fait une copie des données pour profiter de ces renseignements ou les vendre à d’autres criminels.Note de bas de page54

Exploitation des relations de confiance

Les prévisions faites dans l’évaluation de 2018 étaient justes, puisqu’on y indiquait que les auteurs de cybermenace continueraient probablement de tirer parti des relations de confiance entre les entreprises et leurs fournisseurs de services. Depuis 2018, les auteurs de cybermenace motivés par un intérêt financier ont nettement accentué le recours à certaines techniques de piratage psychologique pour cibler des organisations.Note de bas de page55 Une des techniques les plus répandues et parmi les plus coûteuses est appelée la « compromission de courriel d’affaires » ou la « fraude du faux PDG ». Ce type de fraude consiste à envoyer un courriel à un employé d’une entreprise pour le convaincre de transférer directement des fonds à l’expéditeur malveillant. Souvent, les auteurs de cybermenace se font passer pour des cadres supérieurs ou des tiers de confiance. En raison des incertitudes entourant la pandémie de COVID-19, les auteurs de cybermenace se servent de la situation pour cibler des victimes.

LA FRAUDE UTILISANT LA COMPROMISSION DE COURRIEL D’AFFAIRES NE TOUCHE PAS QUE LES ENTREPRISES

En mai 2019, une municipalité de l’Ontario a été victime d’une fraude par compromission de courriel d’affaires. L’auteur de menace s’est fait passer pour un fournisseur de confiance de la ville. Dans son faux courriel, il a demandé de changer l’information bancaire du fournisseur et une fois les changements effectués, 503 000 $ CA avaient été virés sur le nouveau compte appartenant au cybercriminel.Note de bas de page56

Au cours des deux dernières années, les auteurs de cybermenace ont étendu leur utilisation de la compromission de courriel d’affaires pour cibler des organisations religieuses, à vocation éducative et à but non lucratif.Note de bas de page57 Les cybercriminels devraient en principe continuer à utiliser de plus en plus la compromission par courriel d’affaires en raison de la simplicité et de la rentabilité de cette technique.Note de bas de page58 Selon certaines évaluations, entre 2016 et 2019, on comptait plus de 1 200 cas reportés de fraude par compromission de courriel d’affaires au Canada, ce qui a entraîné des pertes de plus de 45 millions $ CA.Note de bas de page59 La perte moyenne liée à cette fraude et impliquant des virements bancaires se chiffre à environ 47 000 $ CA.Note de bas de page60

Exploitation des systèmes de paiement

Les cybercriminels ciblent les données des cartes de paiement dans le but de voler les détails relatifs aux cartes de crédit ainsi que d’autres renseignements que les victimes entrent sur les sites de commerce électronique. C’est ce que l’on appelle le détournement de formulaire.Note de bas de page61 En 2018, environ 4 800 sites Web étaient victimes de détournement de formulaire chaque mois.Note de bas de page62 Plusieurs grands sites Web ont été compromis par cette technique, dont des compagnies aériennes, des vendeurs de billets et bien d’autres.Note de bas de page63 En 2019, plus de 200 librairies universitaires au Canada et aux États-Unis ont été touchées par le détournement de formulaire.Note de bas de page64 On considère que cette tendance devrait augmenter au cours des deux prochaines années, car de plus en plus de Canadiens ont recours au commerce électronique en raison notamment de la pandémie de COVID-19.Note de bas de page65

Comme nous l’avons vu dans l’évaluation de 2018, les auteurs de cybermenace continuent également à cibler les systèmes de point de vente (PDV) qu’utilisent les boutiques traditionnelles. Ils le font en installant des maliciels afin de voler l’information des clients, de nuire aux activités de l’entreprise, d’effectuer des achats frauduleux, de manipuler les prix et de provoquer d’autres formes de perturbation. À la fin de 2019, des cybercriminels ont ciblé les systèmes PDV de certaines stations-service en Amérique du Nord pour voler leurs données financières.Note de bas de page66 Les données stockées dans la bande magnétique des cartes de crédit et recueillies à partir de terminaux de PDV infectés sont vendues sur les marchés noirs de la cybercriminalité. Elles permettent aux criminels de recréer ou de cloner les cartes.

Compromission de la chaîne d’approvisionnement

Plusieurs entreprises comptent sur une chaîne d’approvisionnement complexe – et souvent répartie mondialement – pour de nombreux aspects de leurs opérations, dont la fabrication de précurseurs, l’infrastructure de TI, le soutien informatique et les services financiers.Note de bas de page67 Les auteurs de cybermenace ciblent les réseaux de fournisseurs de confiance pour ensuite profiter de leurs accès et s’infiltrer dans les réseaux de leurs véritables cibles. Les compromissions de la chaîne d’approvisionnement peuvent survenir avant ou après la livraison d’un produit ou service, ou au cours des mises à jour logicielles et des mises à niveau matérielles. Les auteurs de cybermenace ciblent particulièrement les mises à jour et les mises à niveau parce qu’ils savent qu’elles seront téléchargées et installées des milliers, voire des millions de fois dans plusieurs entreprises, ce qui multiplie ainsi les occasions de fraude. Tel qu’il est illustré dans la figure 6, chaque maillon d’une chaîne d’approvisionnement mondiale peut représenter un risque pour la cybersécurité. Les prévisions faites dans l’évaluation de 2018 étaient justes, puisqu’on y indiquait que les auteurs de cybermenace continueraient de tirer profit des chaînes d’approvisionnement. On considère qu’il est probable que les auteurs de cybermenace continuent d’exploiter ces vulnérabilités au cours des deux prochaines années.

EXPLOITATION DES VULNÉRABILITÉS DE LA CHAÎNE D’APPROVISIONNEMENT

Depuis le début de la pandémie de COVID-19, les auteurs de cybermenace ont pu obtenir accès à un grand nombre d’hôpitaux à l’échelle mondiale, compromettant ainsi les réseaux informatiques et les composants des SCI ainsi que les produits d’imagerie utilisés dans le secteur de la santé.Note de bas de page68 En 2018, ces mêmes auteurs ont ciblé des organismes du domaine de la santé dans au moins 24 pays, dont le Canada, ainsi que des organismes dans d’autres domaines, comme le secteur manufacturier, l’informatique, la logistique et l’agriculture.Note de bas de page69

On considère que ces auteurs malveillants ont probablement utilisé les mises à jour logicielles provenant de fournisseurs de confiance pour propager les maliciels et compromettre les données de leurs victimes.Note de bas de page70 Il est fort probable que les responsables de cette attaque aient été parrainés par un État et aient cherché à obtenir de l’information sensible ou exclusive pour faire avancer les priorités de leur pays.

Figure 6 : Vulnérabilités liées à la chaîne d’approvisionnement

Description - Figure 6

Image représentant les étapes de la chaîne d’approvisionnement et les vulnérabilités qui peuvent être associées à chaque étape :

  1. Conception : Pratiques de conception discutables
  2. Production : Trafiquage
  3. Livraison et mise en œuvre : Pratiques défaillantes en matière de cybersécurité
  4. Exploitation : Exploitation des vulnérabilités
    1. Une vulnérabilité est une composante logicielle ou matérielle retrouvée dans plusieurs produits finaux, qui rend ces derniers vulnérables à la même compromission.
    2. Comprend des images d’une caméra de surveillance, d’une voiture, d’une télévision intelligente, d’une montre intelligente et d’un réfrigérateur avec des alertes sur chacun d’eux.
  5. Maintenance : Compromission du fournisseur de service

Exploitation de fournisseurs de services gérés

Un fournisseur de services gérés (FSG) est une entreprise utilisée par des organisations pour répondre à leurs besoins en TI et réduire les coûts associés au maintien de l’infrastructure et du personnel des TI en interne. Lorsqu’un réseau d’entreprise est bien protégé contre des attaques directes, les auteurs de cybermenace peuvent cibler les FSG pour avoir un accès indirect aux réseaux des clients. De plus, les auteurs de menace qui réussissent à compromettre un FSG peuvent atteindre un grand nombre de victimes, soit les clients de ce dernier.

Les prévisions faites dans l’évaluation de 2018 étaient justes, puisqu’on y indiquait que les FSG allaient demeurer des cibles intéressantes pour les auteurs de cybermenace. Tout au long de l’année 2019, des cybercriminels ont compromis des FSG afin de tirer parti des logiciels de gestion à distance des systèmes de TI et installer automatiquement et simultanément des rançongiciels sur plusieurs réseaux de clients.Note de bas de page71 On s’attend à ce qu’au cours des deux prochaines années les campagnes de rançongiciel ciblent de plus en plus les FSG dans le but de compromettre leurs clients et d’accroître la portée de ces campagnes.

Figure 7 : Exploitation de fournisseurs de services gérés (FSG)

Description - Figure 7

Un auteur de cybermenace cible un FSG et peut ensuite accéder à ses clients. Les clients en question sont représentés par les images suivantes : une entreprise, un chapeau de graduation, des fioles et des béchers, une balance et un camion de transport. La légende indique : Les auteurs de menace ciblent les FSG en vue d’accéder à leurs clients (notamment les entreprises, les établissements d’enseignement et les autres institutions) sans avoir à compromettre chaque client directement.

Dernière mise à jour: