Des ministères québécois bombardés d’attaques informatiques

Cyberattaque internationale, demande de rançons, vulnérabilités, violation de confidentialité : les menaces informatiques explosent dans les ministères et organismes du Québec, et plusieurs d’entre eux veulent garder le phénomène secret.

Entre mars et octobre 2018, soit en pleines campagnes pré-électorale et électorale, le ministère du Conseil exécutif a bloqué plus de 6842 intrusions malveillantes. L’année précédente, à pareille date, seulement 1402 tentatives avaient été détectées.

Notre Bureau d’enquête a récemment demandé à tous les ministères, organismes et sociétés d’État de dresser un portrait des cyberattaques réussies ou stoppées lors des quatre dernières années. Ainsi, il a été possible d’observer une forte croissance des tentatives d’intrusion informatique. D’autres ont toutefois choisi de garder secrètes les informations (voir autre texte).

«Menace réelle»

«Les besoins sont criants. La menace est réelle, elle est là et elle augmente», a analysé Steve Waterhouse, expert en cybercriminalité.

Plusieurs ministères et organismes ont transmis les rapports d’incidents détaillés, révélant les menaces qui affectent le réseau public.

M. Waterhouse a eu accès à plusieurs des rapports obtenus par notre Bureau d’enquête. Il a remarqué que tous les ministères travaillaient en silos et traitaient les attaques informatiques de façon différente.

«Le Centre de services partagés du Québec devait permettre les économies d’échelles, mais aussi la consolidation de l’information, dit-il. Les recommandations du Conseil du trésor ne sont pas appliquées.» Pourtant, il existe une équipe de réponse aux incidents de sécurité de l’information de l’Administration québécoise, rappelle M. Waterhouse.

Renseignements personnels

Les experts indiquent que la numérisation des dossiers personnels des Québécois augmente la fragilité de la confidentialité, surtout si Québec ne met pas l’accent sur les bonnes pratiques en matière de sécurité.

«Avant, un médecin pouvait perdre le dossier d’un patient en rentrant chez lui, mais aujourd’hui, il peut perdre sa clé USB avec les 3000 copies de dossiers de ses patients», illustre la spécialiste en architecture de sécurité Chantale Pineault.

«On le voit avec Facebook et Microsoft, ce n’est pas quelque chose qui ira en diminuant. Ce sont des entreprises privées et ils engagent les meilleurs. Alors, imaginez la moustiquaire que nous avons ici, plaide-t-elle. Le numérique nous expose 100 fois plus qu’à l’époque du papier.»

Cette dernière est très critique envers les politiques gouvernementales en matière de sécurité de l’information. «Dans tous les ministères, le nombre d’impacts a augmenté et nos données personnelles sont mises en péril, s’inquiète-t-elle. Ce sont nos renseignements personnels et notre vie privée.»

Elle mentionne que des centaines d’attaques informatiques qui ébranlent l’État québécois proviennent de l’extérieur du pays, principalement de la Russie et de la Chine.

«Ce qui arrive de l’externe, ce sont des attaques organisées. C’est du crime organisé», souligne-t-elle.

Pirates actifs

Des «rançongiciels» au ministère des Transports

Le MTQ a été victime d’attaques informatiques qui ont affecté plusieurs ordinateurs en novembre 2014 et mai 2015.

Ces incidents ont «porté atteinte à la disponibilité, à l’intégrité et à la confidentialité de l’information».

Les pirates ont pris en otage en cryptant les documents, puis ont demandé des rançons afin de libérer les informations. Nous avons le nom des virus et le nombre de postes informatiques touchés (total de 17 en deux ans). Une fuite d’information a également eu lieu en octobre 2014.

«Aucun système informatique n’est à l’abri d’attaques peu importe leur nature. Toutefois, au MTQ, on prend cette question très au sérieux. Ces postes ont été isolés du réseau rapidement et il y a eu un nettoyage sur les postes infectés», a indiqué la porte-parole Émilie Lord.

Le MTQ a d’ailleurs changé ses méthodes depuis deux ans, alors que des tests d’intrusion annuels sont réalisés par une firme externe et un plan d’action est mis en place afin de sécuriser les lacunes identifiées par ces tests.

---

Des centaines de courriels en chinois

Une employée du Secrétariat général et bureau de la sous-ministre du ministère de la Culture et des Communications souligne avoir reçu plus de 500 courriels en chinois la semaine précédant le jour de Noël.

Ce n’est que le 3 janvier 2018 qu’elle a informé les responsables des technologies de l’information.

Le ministère a confirmé dans le rapport d’incident que plusieurs employés avaient reçu ce genre de courriel dès le 17 décembre 2017, mais qu’il avait été avisé seulement deux semaines plus tard.

Finalement, il s’agissait de pourriels et il était possible de les supprimer.

Le MCCQ a été la proie de 10 cyberattaques en 2017-2018, incluant des tentatives d’extorsion, des messages contenant des pièces jointes infectées et des postes de travail infectés par des virus.

D’ailleurs, l’un des dossiers est toujours en analyse selon la demande d’accès à l’information faite par notre Bureau d’enquête.

---

Cyberattaque internationale qui frappe le CSPQ

Les jours précédant le scrutin du 1^er octobre, le Centre des services partagés du Québec (CSPQ) a été victime d’une cyberattaque internationale de type déni de service (DoS).

Certains sites web hébergés par l’organisme gouvernemental ont «été inaccessibles à quelques reprises durant les derniers jours», affirme dans un courriel la coordination de technologie de l’information du CSPQ.

Elle indique également qu’ils ont réagi rapidement afin d’éviter des pertes de services ou d’en minimiser la durée.

«Nos équipes travaillent continuellement pour détecter rapidement et bloquer les connexions suspectes tout en maintenant le trafic légitime. Nous poursuivons nos vérifications.»

Le CSPQ a révélé avoir noté bon nombre d’incidents de sécurité durant les derniers mois, comme des violations de confidentialité, des accès non autorisés, des codes malicieux et la détection de vulnérabilité critique.

---

Investissement Québec attaqué

► Postes infectés par virus : 333 entre 2014 et 2018.

► En 2017, IQ a également été victime de deux cyberattaques. L’organisme n’a pas transmis les détails de ces offensives informatiques.

Près d’un milliard de tentatives au ministère de la Santé

► Depuis quatre ans, plus de 762 millions d’éléments « potentiellement malicieux, comme de l’hameçonnage, des virus et des codes dangereux ont été bloqués dans l’ensemble du réseau de la santé et des services sociaux, incluant le MSSS. Ce dernier assure qu’aucun cas d’hameçonnage n’a réussi et aucune tentative réussie n’a « été signalée » au ministère.

La Justice se veut rassurante

► Le ministère qui compte numériser tous les dossiers prochainement assure que les mesures de sécurité du réseau ont réussi à déjouer toutes les tentatives d'intrusion informatique au cours des huit derniers mois. Les coupe-feu ont permis de bloquer 369 427 tentatives d'intrusion par des logiciels malveillants et 77 tentatives d'intrusion par des logiciels malveillants prenant en otage les données.

Le MRI peu touché...

► Le ministère des Relations internationales (MRI) soutient n’avoir bloqué que 139 tentatives d’intrusion et deux tentatives d’hameçonnage depuis 2014.

L’opacité entoure les attaques informatiques

L’époque de l’opacité à la suite d’attaques informatiques doit prendre fin, estiment les spécialistes en sécurité. Ils croient que les ministères et organismes « sont mal à l’aise » d’être des proies aussi faciles pour les hackers.

Au total, huit ministères, organismes et sociétés d’État ont systématiquement refusé de répondre aux demandes d’accès à l’information effectuées par notre Bureau d’enquête, prétextant qu’il s’agit « d’informations hautement sensibles, stratégiques et confidentielles ».

Plusieurs autres ont seulement transmis des données partielles.

Pourtant, les incidents de sécurité sont multiples et mettent à risque les données personnelles et collectives des Québécois.

«En 2018, la sécurité par l’obscurité, c’est terminé», affirme Steve Waterhouse, ancien officier de sécurité informatique à la Défense nationale.

«Les citoyens veulent savoir si le gouvernement est responsable lors de ces situations et ils veulent qu’il diffuse ce qu’il a été capable de faire ou de ne pas faire.»

Vaste différence

Par exemple, M. Waterhouse ne comprend pas comment un ministère peut dire qu’il a subi seulement 130 tentatives d’intrusion, alors qu’un autre admet en avoir reçu près d’un milliard.

De plus, la majorité affirme que parmi ces millions d’attaques, jamais les «hackers» n’ont réussi à piéger certains ministères.

«J’ai du mal à le croire. À cette quantité, il va y avoir une fuite ou une brèche quelque part», assure l’expert, soutenant que le gouvernement est mal à l’aise.

«S’ils disent la vérité, ils devraient partager leur succès!» ironise-t-il.

10 ans de retard

Selon nos informations, la sécurité informatique gouvernementale n’est pas étanche.

Plusieurs sources ayant travaillé comme consultants à l’intérieur de l’appareil gouvernemental ont affirmé à notre Bureau d’enquête que des ministères et organismes avaient 10 ans de retard en ce qui a trait aux bonnes pratiques de sécurité.

«Je ne contredirai jamais ça. On est loin du compte... Entre le moment où le gouvernement observe une problématique et le moment où elle est corrigée, il peut s’écouler trois ans», note M^me Pineault.

– Avec la collaboration à la recherche de Marie-Christine Trottier