/finance/business
Navigation

Attaques informatiques: difficile de prouver que vos données n’ont pas été volées

Coup d'oeil sur cet article

Malgré les prétentions et les bonnes intentions des entreprises victimes de piratage informatique, il est très difficile de s’assurer que les données personnelles n’ont pas été dérobées, estime un expert en informatique.

• À lire aussi: Fuite de données: Desjardins connaissait ses faiblesses

• À lire aussi: Fuite de données: Desjardins a manqué à «ses obligations légales», tranche l'AMF

Desjardins a été sévèrement blâmée lundi pour ses lacunes dans la protection des données personnelles. Au même moment, deux compagnies d’assurances, Promutuel et le groupe La Capitale-SSQ, faisaient face à des attaques informatiques.

«Elles ont le profil complet [des clients], probablement des données médicales, un côté historique intéressant. Ce sont des places à aller pour obtenir des données pour le vol d’identité. Il y a une mine d’or d’informations», lance Éric Parent, spécialiste en cybersécurité et PDG d’Eva Technologies.

Le groupe qui englobe La Capitale Assurance, SSQ Assurance et Unica Assurances a affirmé lundi par communiqué qu’aucune donnée n’a été compromise par la cyberattaque qui a visé leur filiale l’Unique le 3 décembre.

Données saisies

Pour M. Parent, ces deux attaques ressemblent à celle de type rançongiciel (ransomware), un procédé par lequel les pirates cryptent les données en échange d’une somme d’argent. Souvent, ces attaques sont à l’origine aléatoires, et les pirates modulent ensuite les rançons selon la taille de l’entreprise piégée.

«Des groupes vont menacer de publier les données [sur le dark web] pour avoir une rançon. C’est sûr qu’ils les regardent pour déterminer le prix de la rançon. Heureusement, les attaquants, quand tu payes, ne publient pas les données et donnent la clé pour les décrypter. S’ils ne le font pas, les gens vont arrêter de payer et leur modèle d’affaires va tomber», affirme M. Parent.

Mais selon l’expert, ne pas publier les données tout de suite après l’arnaque n’est pas un gage de sécurité dans le futur.

«Ils l’ont l’information. Ils l’accumulent. Ils pourraient s’en servir dans deux ans, dans cinq ans en se retournant pour la vendre. Et s’ils attentent assez longtemps il n’y aura aucun moyen de dire d’où viennent les données.»

Absence de preuves

Éric Parent estime qu’il est ensuite très difficile de déterminer s’il y a bien eu vol de données, même lorsqu’une enquête indépendante est menée.

«La conclusion de toutes ces enquêtes, c’est qu’un paquet d’experts ne trouveront pas des traces que les données ont été exfiltrées», dit-il. Si pour ces entreprises, cela signifie qu’il n’y a pas eu de vol, il en faut plus pour le convaincre.

«Si une entreprise n’a pas la technologie en place, elle ne pourra jamais conclure s’il y a eu vol ou pas. Ça fait combien de temps, combien de mois que l’attaquant était sur le réseau?» questionne-t-il.

Certaines entreprises ont une technologie qui permet d’identifier une augmentation de la quantité de données qui sortent de leur réseau informatique. Elle protège contre une fuite massive de données, mais peut s’avérer inutile.

«Ce n’est pas vrai que l’attaquant va voler toutes les données d’un coup. Il va sélectionner ce qu’il veut et ça ne paraîtra pas», analyse-t-il.

L’histoire se répète

Pour Éric Parent, les entreprises tardent à retenir la leçon. «Quand l’histoire de Desjardins est sortie, tout le monde était sur ses gardes, mais deux ou trois semaines, c’était le retour à la normale.»

Pour se protéger correctement, les entreprises doivent commencer par trouver leurs vulnérabilités qui peuvent être exploitables.

«Le fait d’ouvrir un courriel ne devrait pas être une sentence de mort, avance M. Parent. Ça signifie qu’à partir d’un poste de travail ça se promène de gauche à droite sur toute l’infrastructure. Il manque des mécanismes pour détecter que quelqu’un se promène de gauche à droite et remonte jusqu’aux données de sauvegarde.»

S’il estime que les entreprises et les gouvernements n’ont pas toujours «une personne de sécurité mature» dans leur organisation, il met en garde contre les prétentions de certains. «C’est affreux. Tout le monde s’improvise expert en sécurité informatique. Il y a des clowns à n’en plus finir.»

Enfin, l’expert croit que le problème de la sécurité des données personnelles est abordé «du mauvais angle». «Ces données; mon numéro d’assurance social, ma date de naissance, le nom de jeune fille de ma mère, ne devraient pas avoir de valeur. Le problème à la source c’est la façon qu’on identifie quelqu’un. Il n’y a aucune pénalité si la banque ouvre un compte à la mauvaise personne. On n’a pas d’identité numérique avec une base centrale. On n’a pas évolué là-dessus.»

Capitale-SSQ attaquée

La Capitale-SSQ est maintenant regroupée sous le nom de Beneva. Par l’entremise d’une firme de relations publiques, elle a confirmé avoir été victime «d’une cyberattaque provenant de l’externe» et qu’elle s’en tiendra à cette déclaration.

Beneva n’a pas voulu indiquer, pour des raisons de sécurité, quels services informatiques elle partageait avec ses filiales Unica et l’Unique.

Concernant les failles de sécurité de la plateforme «Drupal» du site web de Beneva, l’entreprise a souligné que «le site est purement informationnel et ne contient aucune fonction transactionnelle».

«Les mesures de sécurité en place sur les sites de La Capitale et de SSQ Assurance sont parmi les plus élevées de l’industrie. Nous travaillons continuellement à l’amélioration de nos mesures de sécurité informatique et cet épisode ne fait que renforcer notre engagement en ce sens», a ajouté l’entreprise.