Se prémunir contre les cyberattaques d’infrastructures critiques
Denis Lalonde|Publié le 26 octobre 2021Alexis Dorais-Joncas, directeur du centre de recherche et développement de l’entreprise de cybersécurité ESET, à Montréal, estime qu’il y a un risque. (Photo: courtoisie)
*Début février, une usine de production d’eau potable de la municipalité d’Oldsmar, en banlieue de Tampa Bay, a été victime de cybercriminels. Ce ou ces derniers ont tenté de relever le taux d’hydroxyde de sodium, un produit chimique, de 100 à 11 000 parties par million dans l’eau pour la rendre dangereuse à consommer. Si les autorités ont pu réagir à temps, l’attaque fait craindre pour la vulnérabilité d’infrastructures critiques. Se pourrait-il qu’une attaque similaire frappe une ville du Québec ? Alexis Dorais-Joncas, directeur du centre de recherche et développement de l’entreprise de cybersécurité ESET, à Montréal, estime qu’il y a un risque.
Les Affaires – Comment les cybercriminels ont-ils pu pénétrer à l’intérieur du réseau de l’usine de production d’eau potable à Oldsmar ?
Alexis Dorais-Joncas – Ce que l’on sait, c’est que les attaquants ont réussi à prendre le contrôle de la station qui contient les logiciels pour maîtriser l’usine par le biais de TeamViewer, un logiciel couramment utilisé pour accéder à des systèmes informatiques à distance. Ils ont pu prendre le contrôle de l’usine comme s’ils étaient sur place, derrière le clavier et la souris. L’hypothèse la plus plausible est que le mot de passe pour accéder au système était trop court ou facile à deviner. Par ailleurs, l’usine fonctionnait encore avec le système d’exploitation Windows 7, qui n’est plus supporté par Microsoft depuis le 14 janvier 2020, tout en étant exposé à Internet. C’est un peu comme si on s’était arrangé pour que tous les pirates informatiques soient tentés de venir cogner à la porte.
L.A. – Est-il possible qu’une telle attaque survienne au Québec ?
A.D.-J. – Plusieurs conditions sont réunies pour que le risque d’une cyberattaque soit plus élevé que pour d’autres types de systèmes. Ce que je veux dire, c’est qu’il est essentiel de faire de la surveillance de systèmes comme ça, à distance, surtout en contexte de pandémie. Les usines de production d’eau potable sont décentralisées. Plusieurs municipalités ont leur.s usine.s et toutes n’utilisent pas les mêmes technologies pour les gérer. Il existe donc un risque que de petites municipalités n’aient pas toutes les ressources pour faire une gestion exem-plaire de la sécurité informatique. Il faut seulement un système délaissé et vulnérable pour qu’un attaquant entre et puisse faire des dommages. Il y a toutefois un facteur qui joue en faveur de la décentralisation. Ça enlève le risque qu’un attaquant puisse affecter l’ensemble des usines d’eau potable de la province avec une seule attaque.
L.A. – Quelles sont les façons de se prémunir contre de telles attaques ?
A.D.-J. – Il y a plusieurs façons. À la base, les municipalités devraient avoir un inventaire de tous les systèmes critiques et un plan de maintenance pour que les infrastructures puissent bénéficier des protections les plus récentes. En Floride, le système d’exploitation était désuet, mais même avec une version Windows 10 mise à jour, si le mot de passe de TeamViewer est trop facile à deviner, les pirates informatiques pourront quand même s’introduire dans le réseau.
L’authentification à deux facteurs est donc une autre bonne pratique, car elle protège contre les vols de mot de passe. De plus, il faut procéder fréquemment à des audits de sécurité et à des tests d’intrusion. Idéalement, on cache aussi les serveurs derrière un réseau privé virtuel (Virtual Private Network, ou VPN). De cette manière, il faut d’abord se brancher au VPN avant de pouvoir accéder au réseau. Si on ajoute une authentification à deux facteurs, on a des barrières supplémentaires à l’entrée. La sécurité d’un système est toujours égale à son maillon le plus faible.
L.A. – Avec toutes ces bonnes pratiques, les systèmes seraient-ils protégés contre toutes les attaques ?
A.D.-J. – Il faut arrêter les attaques où les cybercriminels n’ont qu’à balayer le Web à la recherche de systèmes vulnérables pour y déployer des rançongiciels. Oui, certains pirates pourraient quand même franchir toutes les étapes, mais ça prendrait beaucoup plus de temps et de ressources. Ça augmente les chances d’empêcher l’intrusion pendant qu’elle est en cours au lieu d’être placé devant le fait accompli.
*Ce texte est paru le 10/03/2021