Menu Close
une carte processeur d'ordinateur
Les experts en sécurité peuvent fournir des informations précieuses sur les failles que des pirates informatiques pourraient exploiter. (Alexandre Debiève/Unsplash), CC BY-NC-ND

Devant l’explosion des cyberattaques, le Canada doit collaborer avec les experts en cybersécurité et non leur nuire

Les cyberattaques se multiplient et touchent les gens, les systèmes, les infrastructures et les gouvernements avec des effets qui peuvent être considérables et dévastateurs. Parmi les plus récentes, citons l’importante attaque du rançongiciel REvil et la découverte du fait que le logiciel espion Pegasus suivait plus de 1 000 personnes.

Les cyberpirates profitent souvent des failles de sécurité. Il s’agit de conditions ou de comportements qui permettent la violation, l’utilisation abusive et la manipulation de données. Parmi les exemples, on peut penser à un code informatique mal écrit ou à quelque chose d’aussi simple que le fait de ne pas avoir de correctif de sécurité.

Exploiter les failles

Les répercussions peuvent être particulièrement importantes lorsque les attaquants exploitent les vulnérabilités informatiques des systèmes numériques utilisés par les gouvernements fédéraux.

En juillet 2015, l’Office of Personnel Management des États-Unis a annoncé que des pirates avaient exfiltré des informations personnelles très sensibles et les empreintes digitales d’environ 21,5 millions de travailleurs fédéraux et de leurs associés, en raison d’une série de mauvaises pratiques de sécurité et de failles du système.

Cette violation de données de grande ampleur a servi de signal d’alarme pour le gouvernement fédéral américain. L’administration de Barack Obama a alors décidé que le département de la Défense serait désormais responsable du stockage des données des employés fédéraux.

Peu de temps après, le programme pilote « Hack the Pentagon » a été lancé, dans le cadre duquel le gouvernement américain invitait des experts externes à signaler les failles de sécurité.

En 2016, Le Pentagone a annoncé un programme visant à l’aider à repérer les failles de sécurité.

Ce projet pilote a ouvert la voie à ce qui est devenu une norme en matière de pratique de sécurité du gouvernement américain. Depuis 2020, toutes les agences fédérales américaines sont tenues de permettre la divulgation des vulnérabilités informatiques.

Le Canada est en retard

En comparaison, notre récent rapport a révélé que le gouvernement du Canada est en retard par rapport à des pays comme les États-Unis en n’ayant pas demandé à recevoir des rapports de vulnérabilité de la part d’experts externes.

Nous n’avons pas connu d’attaque de l’ampleur de celle de l’Office of Personnel Management aux États-Unis, mais nous n’en sommes pas à l’abri.

Dans le cas du vol de données d’Equifax de 2017, des attaquants ont exploité une vulnérabilité dans un portail client en ligne, ce qui a affecté 19 000 Canadiens.

En août 2020, l’Agence du revenu du Canada a désactivé plus de 5 000 comptes d’utilisateurs en raison de cyberattaques rendues possibles en partie par l’absence d’authentification à deux facteurs.

Notre étude, publiée par le Cybersecure Policy Exchange de l’Université Ryerson, est la première recherche accessible au public qui compare la façon dont le Canada traite le signalement des failles de sécurité à celle d’autres pays.

Nous avons découvert que si 60 % des membres du G20 disposent de processus distincts et clairs pour exposer les vulnérabilités informatiques dans les infrastructures publiques, ce n’est pas le cas du Canada.

Un tableau présentant les protocoles de divulgation des vulnérabilités dans différents pays
En examinant si le gouvernement du Canada respecte les normes de divulgation de la vulnérabilité, nous avons découvert qu’il était en retard par rapport aux autres membres du G20. (Cybersecure Policy Exchange, Ryerson University), Author provided

Les experts en cybersécurité peuvent faire connaître des « cyberincidents » au Centre canadien de cybersécurité. Mais la définition du terme est si étroite qu’elle exclut les vulnérabilités qui n’ont pas encore été exploitées de façon malintentionnée.

Et alors que les gouvernements du Royaume-Uni et des États-Unis ont promis de faire des efforts pour corriger les failles de sécurité qu’on leur signale, le Centre canadien de cybersécurité n’a fait aucune promesse de ce genre.

En ne soutenant pas et en ne protégeant pas les chercheurs en sécurité qui détectent les failles, on fait courir un grand risque au Canada et aux Canadiens.

Systèmes vulnérables, personnes vulnérables

Les experts en cybersécurité peuvent s’exposer à des risques juridiques importants lorsqu’ils rapportent des vulnérabilités informatiques au gouvernement canadien. Le piratage informatique est interdit par le Code criminel et, dans certaines circonstances, par des lois comme la Loi sur le droit d’auteur.

tableau montrant les risques liés à la divulgation des vulnérabilités
Quelques risques juridiques au Canada liés à la découverte et à la divulgation des failles de sécurité trouvées dans des logiciels et du matériel. (Cybersecure Policy Exchange, Ryerson University), Author provided

Mais contrairement aux Pays-Bas et aux États-Unis, nous n’avons pas de cadre juridique pour signaler de bonne foi les vulnérabilités informatiques.

L’approche actuelle du Canada a un effet dissuasif sur la divulgation des faiblesses de sécurité découvertes non seulement dans les systèmes gouvernementaux, mais aussi dans tous les logiciels et matériels.

Cette attitude fait en sorte que les chercheurs en cybersécurité ignorent si, et comment, ils doivent informer le gouvernement lorsqu’ils repèrent des failles de sécurité susceptibles d’être exploitées

Il n’est pas trop tard pour que le gouvernement fédéral mette en place un processus pour permettre aux experts de signaler les failles de sécurité, et de s’inspirer des meilleures pratiques pour ce faire.

Notre travail souligne l’importance de définir qui peut soumettre des rapports de vulnérabilité et décrit à quoi peut ressembler le processus de signalement et de correction. Il est essentiel de reconnaître l’apport des experts qui ont révélé un problème. Le public devrait recevoir des informations sur les vulnérabilités et les solutions nécessaires pour les corriger.

Une illustration des phases de la divulgation de la vulnérabilité
Les phases de la divulgation des failles : découverte, signalement, validation et triage, élaboration d’une solution, application de celle-ci et information du public. (Cybersecure Policy Exchange, Ryerson University), Author provided

Améliorations à apporter

Les experts en cybersécurité constituent « une ressource importante mais sous-estimée » lorsqu’il s’agit de réduire les risques de sécurité des systèmes gouvernementaux. Ils veulent apporter leur aide.

Le gouvernement canadien doit mettre en œuvre des politiques et des processus plus clairs pour encourager la coopération avec les experts en cybersécurité qui travaillent dans l’intérêt public.

À mesure que les cyberattaques deviennent plus fréquentes, plus étendues et plus sophistiquées, l’amélioration des pratiques de cybersécurité au Canada n’est pas seulement souhaitable, mais essentielle.

This article was originally published in English

Want to write?

Write an article and join a growing community of more than 181,000 academics and researchers from 4,921 institutions.

Register now