/investigations
Navigation

Hydro-Québec, Bell Canada, Metro et des banques: les «pirates» déjouent les entreprises canadiennes

Un vrai jeu d’enfant d’obtenir des informations sensibles pouvant nuire aux Québécois

Coup d'oeil sur cet article

De grandes entreprises canadiennes et des sociétés d’État comme Hydro-Québec ont offert sur un plateau d’argent des secrets à «certains des meilleurs pirates informatiques» au pays.

Hydro-Québec, Bell Canada, Metro, Télé-Québec et des banques canadiennes ont légalement été la cible des plus grands «hackers» au Canada, durant une compétition qui s’est tenue dans le cadre du Hackfest à Québec, la semaine dernière.

Notre Bureau d’enquête a obtenu les résultats de ces tests d’intrusion au cours desquels des sociétés privées et publiques ont divulgué au téléphone des confidences.

«Sur les huit entreprises ciblées, toutes ont fourni des informations qui donneraient à un attaquant un avantage supplémentaire en cas d’attaque à distance», explique le responsable de la compétition, l’Américain Shane MacDougall, un chercheur en sécurité et spécialiste de ce type d’attaques depuis 1989.

«Ingénierie sociale»

Ils ont utilisé une technique qualifiée d’«ingénierie sociale», qui facilite le vol de documents confidentiels et qui demeure «la principale menace» pour les entreprises et les gouvernements. Avec ces données, des pirates malicieux peuvent faire énormément de dommages.

L’objectif de ce concours de «piratage éthique» était simple : les 10 participants devaient contacter les sociétés sélectionnées au hasard à l’aide d’une simple ligne téléphonique et soutirer le maximum d’informations, en vertu d’un questionnaire précis.

Les «hackers» avaient une semaine pour préparer des scénarios qui leur permettraient de décrocher plusieurs confidences.

Sans se méfier, 75 % des employés joints au téléphone ont, à la suggestion du «hacker», visité un site internet. Geste risqué puisque si le lien avait été malicieux, le pirate aurait facilement infecté le poste de l’utilisateur en accédant à son réseau.

Ils ont ainsi aisément obtenu une masse de renseignements.

Informations précieuses

«Ce sont des informations inestimables pour un attaquant, affirme M. MacDougall. Aucune entreprise ne savait que nous allions appeler. Il s’agissait d’une démonstration, en direct, de la facilité avec laquelle les entreprises peuvent devenir la proie de ces attaques», relate M. MacDougall.

Les données obtenues ont «de quoi faire peur», admettent les participants interrogés par notre Bureau d’enquête.

Même son de cloche du côté de Patrick Mathieu, cofondateur du Hackfest. «Jusqu’à ce que nous puissions amener les entreprises canadiennes à reconnaître la véritable menace, nous allons continuer à voir des violations massives de données et des piratages», convient l’expert qui souhaite sensibiliser les milieux d’affaires et le gouvernement.

Qui sont les «hackers»?

Rémy Baccino

Photo courtoisie

♦ Chef d’équipe, Sécurité offensive chez In Fidem

♦ Spécialisations :

  • Simulation d’attaque informatique
  • Tests d’intrusion des réseaux et applicatifs
  • Expérience en tests d’intrusion physique

«Lorsqu’on a un temps limité pour récupérer un certain nombre d’informations, la meilleure manière, c’est d’appeler une branche de l’entreprise à l’extérieur de Montréal et se faire passer pour quelqu’un des ressources humaines. C’est une assez bonne approche.»


Sheryl

Photo courtoisie

♦ Travaille en sécurité informatique


Damien bancal

Photo courtoisie

♦ Journaliste français

  • Spécialiste en cybersécurité et cybercriminalité

«J’avais une grande banque et toutes les personnes que j’ai eues au téléphone, elles m’ont tout donné.»


Dora fugère

Photo courtoisie

♦ Enseignant en mathématiques

  • S’intéresse à la sécurité de l’information

«Je réalise l’importance des données et il faut faire attention à ce qu’on partage.»

► 6 participants ont désiré garder l’anonymat

  • 2 femmes, dont une qui travaille en sécurité informatique
  • 4 hommes, dont 3 qui travaillent en sécurité informatique

Qui a été piégé?

  • Hydro-Québec
  • Bell Canada
  • La Banque Nationale du Canada
  • La Banque de Montréal
  • Shell Canada
  • Les chemins de fer nationaux du Canada
  • Metro Inc.
  • Télé-Québec

► 75% ont visité une URL fournie par leur attaquant – ce qui signifie qu’un attaquant pourrait facilement infecter l’utilisateur en accédant à son réseau (notez que les URL utilisées n’étaient pas malveillantes)

► 88% ont donné des informations détaillées sur le navigateur internet qu’ils utilisaient – encore une fois, les informations qu’un attaquant peut exploiter

 100% ont donné des informations sur la version du système d’exploitation

►  75% ont donné des informations détaillées sur le réseau informatique interne

► 63% ont divulgué des informations sur le déchiquetage sécurisé de documents, y compris leur fournisseur et le calendrier de leur élimination

► 63% ont divulgué des informations détaillées sur leur client de messagerie

 75% ont divulgué des informations sur le réseau internet sans fil

 75% ont partagé des informations personnelles sur eux-mêmes et sur leurs antécédents de travail avec l’entreprise

Dans la peau d’un stagiaire de l’Université Laval

Un journaliste français spécialisé en cybersécurité qui a participé à la compétition a réussi à soutirer des informations confidentielles d’une grande banque canadienne en se faisant passer pour un étudiant étranger.

Depuis plus de 25 ans, Damien Bancal couvre la cybersécurité et la cybercriminalité en Europe.

Il participe à des exercices de «piratage légal» partout dans le monde afin de comparer les lacunes de chaque pays. Il a d’ailleurs été très surpris de la facilité avec laquelle il a réussi à récupérer les renseignements ici, au Canada.

«J’ai été étonné de pas mal de choses», explique-t-il, affirmant que les Canadiens devraient «craindre» pour leurs informations personnelles.

Des scénarios

Durant le concours, les participants avaient 25 minutes, seuls dans un kiosque insonorisé, devant un public, pour téléphoner à l’entreprise et tenter d’amasser le plus d’informations possible.

Lors d’un appel, M. Bancal s’est présenté comme un stagiaire de l’Université Laval qui avait besoin d’informations pour une étude marketing.

«J’ai des techniques qui sont un peu vicieuses. Je mets des sons de bébé qui pleure, des sons de voiture, des bruits d’ambiance de café ou d’entrepôt», souligne M. Bancal, soutenant que les «Canadiens» veulent tellement faire plaisir aux clients potentiels qu’ils sont prêts à «tout dévoiler».

En plus de l’étudiant, Damien Bancal s’est aussi glissé dans la peau d’un jeune père de famille qui a dû suivre sa femme au Québec.

«Seulement par le son, en plus de la voix et des questions, on leur fabrique un imaginaire. Alors, lorsqu’un papa téléphone avec son bébé qui pleure et qu’il explique que le bébé est en train de vomir, du coup, la personne se sent beaucoup plus empathique et elle répondra plus facilement», explique-t-il.

Ainsi, une employée lui a dévoilé quelle entreprise détruisait les documents confidentiels de la banque et la couleur particulière des sacs plastiques qui était utilisée pour ces documents.