Introduction

1. L’avènement de l’ordinateur personnel en 1980 a transformé la façon dont les secteurs public et privé mènent leurs activités et offrent des services à la population. Depuis, des millions d’ordinateurs et des milliers de réseaux distincts du monde entier ont été reliés, formant ainsi un immense réseau mondial de réseaux. Le nombre d’utilisateurs d’Internet a plus que doublé tous les ans au cours des dernières années et on estime aujourd’hui à quelque 40 millions le nombre d’utilisateurs répartis dans presque tous les pays. Les connexions entre systèmes informatiques augmentent à un rythme toujours plus rapide. Un nouveau réseau se branche à Internet toutes les demi-heures. Ces faits se confirment d’autant plus que les entreprises commencent à se lancer dans le commerce électronique, c’est-à-dire à faire des affaires en ligne, et que les gouvernements se mettent à offrir de l’information et des services dans un environnement électronique, le gouvernement en ligne. Selon un rapport du Computer Industry Almanac, près de 43 pour 100 des Canadiens utilisent Internet, ce qui fait du Canada l’un des chefs de file dans le domaine.

2. La dépendance croissante des gouvernements, des institutions, des entreprises, des groupes et des individus à l’égard des communications informatisées et des technologies de l’information vient sans cesse modifier la définition de la menace en cette « ère de l’information ». Les « acteurs malveillants(1) » n’ont plus besoin d’avoir directement accès à un ordinateur pour copier, détruire ou altérer les données qu’il contient. Une fois qu’un individu parvient, à distance, à s’infiltrer illégalement dans un système informatique, que ce soit au moyen d’Internet ou d’un téléphone et d’un modem, il dispose d’un large éventail de techniques et de logiciels pour l’exploiter. La plupart des lois et des mesures de protection visant à contrer les attaques contre les données et les systèmes névralgiques font maintenant l’objet de révisions et de mises à jour (si cela n’est pas déjà fait) afin de lutter contre un nouveau type de menaces informatiques, les « opérations d’information » (OI).

Opérations d’information

3. Le concept d’OI prend sa source dans celui de « guerre de l’information » (GI), à savoir les opérations physiques et informatiques menées par des forces militaires en temps de conflit et d’avant-conflit en vue de compromettre l’acheminement et la viabilité des informations nécessaires aux décideurs ennemis, tout en protégeant leurs propres informations et leurs propres systèmes. Il fait référence à l’utilisation des techniques et des outils propres à la GI. Avec le temps, la définition a évolué afin d’exprimer la nécessité pour un pays de veiller à la sécurité nationale en protégeant son infrastructure essentielle. Les secteurs névralgiques de cette infrastructure sont les suivants : transports, pétrole et gaz, eau, services d’urgence, pérennité des services gouvernementaux, opérations bancaires et financières, électricité et télécommunications.

4. Les OI découlent d’une doctrine militaire qui prône le recours à la guerre électronique pour nuire à ses adversaires sur le champ de bataille. En 1991, les opérations menées durant la campagne Tempête du désert ont permis de constater que les progrès technologiques avaient donné aux militaires des outils et des techniques informatiques capables d’endommager non seulement les systèmes militaires, mais aussi ceux du gouvernement et du secteur privé.

5. Dans le domaine des OI, nul n’est à l’abri d’une attaque et les frontières n’ont plus la moindre importance, car une opération peut être menée en tout temps contre l’un ou l’autre des secteurs, public ou privé. Toutes les « cyberactivités », telles que la cybercriminalité(2), le cyberterrorisme(3), la cyberguerre(4), le « netspionnage » et le cyberactivisme(5), constituent des sous-produits des OI. Dans ce contexte, toutefois, la plupart des débats sur l’utilisation d’outils et de techniques informatiques tournent autour de la protection des informations ainsi que des systèmes et des réseaux informatiques contre les intrusions et les attaques.

La menace

6. Du matériel et des logiciels peu coûteux(6) peuvent servir à attaquer des systèmes d’information nationaux n’importe où dans le monde. Les acteurs malveillants qui disposent d’outils et de techniques semblables peuvent représenter une menace pour l’infrastructure essentielle à plusieurs égards :
* perturbation d’éléments de l’infrastructure nationale ;
* exploitation d’informations ;
* manipulation d’informations à des fins politiques, économiques ou militaires ;
* destruction d’informations ou d’éléments de l’infrastructure.

7. L’altération d’un système informatique donné peut avoir de graves répercussions sur les activités sociales, politiques et économiques, lesquelles peuvent nuire grandement à la sécurité nationale. Bien que des mesures de protection soient mises en oeuvre, on voit constamment apparaître de nouveaux outils capables de les contourner et il est maintenant facile de se les procurer sur Internet. Le nombre d’intrusions dans les systèmes informatiques est à la hausse et les outils servant à exploiter les points faibles des systèmes deviennent de plus en plus sophistiqués et faciles d’emploi. Le nombre d’intrusions signalées est minime, mais certains indices donnent à penser que le degré de vulnérabilité et le nombre d’incidents doublent tous les ans. Selon les statistiques publiées en 2002 par le centre de coordination de la Computer Emergency Response Team (CERT) de l’université Carnegie Mellon à Pittsburg, 1 334 incidents du genre ont été signalés dans le monde en 1993, comparativement à 21 756 en 2000 et à 52 658 en 2001.

8. Les risques d’une intrusion non autorisée augmentent suivant le nombre de connexions à des réseaux externes (Internet, par exemple) et la standardisation des applications. Ces liens, combinés au besoin d’interopérabilité, rendent les systèmes plus vulnérables et plus susceptibles, pour de multiples raisons, d’être la cible de groupes malveillants qui utilisent des logiciels pernicieux sur Internet (virus, cheval de Troie, ver,(7) etc.). En outre, les attaques matérielles - comme le sectionnement de câbles d’alimentation ou la destruction du matériel à la base de l’infrastructure de l’information - équivalent aux attaques de déni de service. Ce type de méfait empêche les utilisateurs autorisés d’avoir accès aux systèmes d’information et aux données qu’ils contiennent. N’importe quel acteur malveillant peut exploiter les points faibles de l’infrastructure en ayant recours à des moyens matériels ou à des logiciels. Par conséquent, certains acteurs malveillants sont de plus en plus habiles pour mener des OI offensives, sous forme matérielle ou informatique, et risquent donc de représenter une menace pour la sécurité des Canadiens et la sécurité nationale.

9. Lorsqu’elles discutent de la prolifération des outils propres au OI, les Nations Unies utilisent la terminologie de la prolifération des armes. Le discours a évolué. Par armes de destruction massive, on entend maintenant les outils des OI ainsi que les armes de corruption ou de perturbation massive. En raison de la dépendance croissante des pays quant aux réseaux informatiques, leur infrastructure essentielle constitue une cible parfaite. Bon nombre de pays ont donc lancé des programmes de mise au point des outils et des technologies liées aux OI.

10. Selon des rapports de l’armée américaine et du Congrès, la Russie, la Chine, l’Inde et Cuba ont reconnu qu’ils se préparent à la cyberguerre et qu’ils cherchent à renforcer leurs compétences en matière d’OI. La Corée du Nord, la Libye, l’Iran, l’Irak et la Syrie possèdent déjà certaines connaissances dans le domaine. Malgré tout, peu de pays sont en mesure d’intégrer les différents outils disponibles pour lancer une attaque massive capable de paralyser l’infrastructure d’un pays. Cela dit, certains pourraient y parvenir d’ici une dizaine d’années.

11. Le 7 février 2001, dans le discours sur la sécurité nationale (Worldwide Threat 2001 : National Security in a Changing World) qu’il a prononcé devant le Select Committee on Intelligence du Sénat américain, le directeur de la CIA, George J. Tenet, a affirmé que les nouvelles technologies de communication facilitaient le travail des terroristes en les aidant à recueillir des fonds, à répandre leur dogme, à trouver des recrues et à planifier des opérations. Il a ajouté que certains groupes se dotent d’outils rudimentaires leur permettant de mener des cyberattaques. C’est Internet qui aide les groupes terroristes à adopter une structure organisationnelle sans dirigeant.

Sécurité des systèmes et des données

12. La conception d’outils et de techniques utiles aux OI progresse au même rythme que la technologie dans l’industrie des communications et de l’informatique. La possibilité de communiquer et de se brancher presque instantanément à des réseaux outre-mer comporte des avantages, mais rend aussi les systèmes plus vulnérables.

13. Comme des intrus ont pénétré dans leurs réseaux, leur faisant ainsi perdre des informations sensibles, les gouvernements et les entreprises du monde entier ont tenté de mettre en oeuvre des mesures de sécurité pour protéger à la fois leurs systèmes et les données qu’ils contiennent. Malheureusement, ces mesures deviennent vite désuètes. Selon des enquêtes menées par des ministères et des entreprises de sécurité du secteur privé dans le monde, un grand nombre des dispositifs de sécurité et des outils de surveillance, qu’on trouve pour la plupart sur le marché, sont inefficaces ou mal configurés. Beaucoup d’enquêtes ont été menées aux États-Unis et au Royaume-Uni. Elles ont montré que plus de 80 pour 100 des répondants n’utilisaient pas de coupe-feux ni aucune autre mesure de sécurité pour protéger leurs systèmes et leurs données. Une autre enquête a révélé que jusqu’à 93 pour 100 des répondants étaient vulnérables à des attaques élémentaires, même si leurs systèmes étaient munis de coupe-feux.

14. Comme de plus en plus de personnes, d’entreprises et de ministères dépendent maintenant des communications informatisées et de l’exploitation de réseaux, la configuration des réseaux informatiques et des systèmes d’exploitation devient de plus en plus complexe, créant ainsi des failles. Les phénomènes naturels (comme les tempêtes), la création normale de logiciels et de nouveau matériel ainsi que les outils liés aux OI pourraient mettre à rude épreuve les failles des systèmes et causer des pannes susceptibles d’avoir desconséquences graves à court comme à long terme sur le bon fonctionnement du gouvernement et du secteur privé.

15. Dans son discours devant un sous-comité du Congrès, le directeur d’Internet Security Alliance a souligné que 80 pour 100 des failles importantes en matière de sécurité sont communes à toutes les organisations, ce qui s’explique en grande partie par le fait qu’elles utilisent les mêmes logiciels vulnérables. En règle générale, la capacité de créer des réseaux dépasse de loin celle d’assurer leur protection. Les entreprises du secteur privé, y compris certaines sociétés responsables de l’infrastructure essentielle, installent et utilisent des réseaux sans fil pour faciliter leurs activités. Non seulement beaucoup de ces systèmes n’ont pas une configuration sûre, mais ils prêtent aussi le flanc à l’exploitation.

Exemples d’opérations d’information

16. L’expérience des départements américains nous offre un bon nombre d’exemples d’OI et nous donne une idée de la façon de faire obstacle aux intrusions et à l’exploitation des systèmes. Ces incidents ont été relatés dans des discours prononcés devant des comités du Sénat et du Congrès et dans des documents produits par le General Accounting Office des États-Unis.

17. Certains groupes extrémistes, certaines organisations criminelles et certains gouvernements acquièrent des connaissances dans le domaine des OI et pourraient représenter une menace pour divers systèmes s’ils possédaient les techniques et les outils appropriés pour exploiter leurs failles et s’ils avaient la volonté de le faire. Les témoignages livrés devant les membres de certains comités du gouvernement américain ont révélé qu’un nombre croissant de pays possèdent ou tentent de mettre au point des programmes offensifs d’OI. De plus, des données indiquent qu’un nombre croissant de groupes extrémistes et de services de renseignements se familiarisent avec la conception et l’utilisation des outils et des techniques utiles aux OI. Plusieurs d’entre eux pourraient avoir l’intention d’utiliser ces outils pour se livrer à des activités traditionnelles qui représentent une menace.

18. Récemment, les médias ont annoncé que des pirates s’étaient introduits sans peine dans les réseaux militaires protégés des États-Unis à l’aide d’outils logiciels élémentaires. Les études du General Accounting Office ont montré que les outils logiciels offerts sur les sites Web de pirates informatiques peuvent non seulement nuire aux opérations des départements américains, mais aussi menacer l’infrastructure essentielle du pays. D’après un rapport récent du National Institute of Standards and Technology, les pirates placent de 30 à 40 nouveaux outils sur leurs sites Web chaque mois. L’examen des statistiques indique qu’il y a eu 22 379 actes de sabotage de sites Web en 2001 et, des 29 000 actes répertoriés de 1998 au 22 janvier 2002, on compte 868 actes de sabotage contre des sites portant un « nom de domaine » américain, 519 dans le cas du Royaume-Uni, 345 dans celui de l’Australie et 205 pour ce qui est du Canada(8). Ces données sont incomplètes puisque les victimes ne rapportent pas toujours les actes de sabotage et les autres attaques commises, mais l’information révèle une tendance, c’est-à-dire que le nombre d’intrusions est à la hausse.

19. En février 2000, un virus et des attaques décentralisées de déni de service ont perturbé certaines infrastructures nationales. Ces attaques, qui se concentraient sur un certain nombre d’entreprises très présentes sur Internet, ont causé, selon les estimations, des dommages de l’ordre de milliards de dollars. L’incident a prouvé que lorsque les pirates arrivent à parasiter un certain nombre d’ordinateurs, ils peuvent aller plus loin et utiliser tous les appareils simultanément pour concentrer leurs attaques sur une ou plusieurs cibles.

20. Par la suite, la propagation planétaire du virus « I Love You » a eu un effet encore plus grave sur les systèmes et les réseaux. Le phénomène est en partie attribuable à la phrase apparaissant comme sujet du courriel, c’est-à-dire « I Love You », une ruse bien pensée visant à inciter le plus de gens possible à ouvrir la pièce jointe infectée, contaminant ainsi leur système informatique. Les menaces numériques que représentent les virus, les vers et les chevaux de Troie entraînent des milliards de dollars de dommages chaque année. Selon les estimations de Computer Economics, une entreprise spécialisée dans les études de marché, les dommages se sont élevés à 17,1 milliards de dollarsaméricains(9) en 2000 et à 13,2 milliards de dollars américains en 2001.

21. En 1997, les États-Unis ont évalué les risques qui pèsent sur l’industrie de l’électricité, ce qui leur a permis de se rendre compte que le réseau d’alimentation était criblé de points faibles. Certains éléments du réseau reposaient sur des systèmes non protégés de supervision, de contrôle et d’acquisition des données (SCADA)(10) auxquels les initiés pouvaient avoir accès en passant par les réseaux locaux intégrés. Dans d’autres cas, des systèmes SCADA non protégés pouvaient être contrôlés à distance par téléphone : il suffisait de connaître les numéros de téléphone nécessaires pour y accéder et compromettre le fonctionnement du réseau.

22. En 2001, Vitek Boden a été reconnu coupable en Australie d’utilisation de technologies sans fil pour pirater des ordinateurs équipés d’un système SCADA servant à contrôler certaines fonctions d’une station d’épuration des eaux usées. Au début de 2000, ses activités avaient entraîné le rejet d’eaux usées dans des réseaux d’aqueduc municipaux. On estime qu’il s’agit du premier cas connu de piratage « sans fil ». Les systèmes SCADA servent à contrôler toute une panoplie de procédés en lien avec l’infrastructure essentielle, comme la distribution de l’énergie électrique, le transport du gaz naturel ainsi que les services d’égouts et d’approvisionnement en eau partout dans le monde, y compris au Canada.

23. Dans divers pays, des tensions politiques et régionales ont été à l’origine de duels entre groupes de pirates informatiques :
* En 1999, des pirates du Japon et de la Chine se sont livrés bataille au sujet du massacre de Nankin.
* En Chine et à Taïwan, des pirates en sont venus à un véritable bras de fer sur la question de l’indépendance de Taïwan.
* La possession du Cachemire s’est avérée un enjeu de taille pour des pirates indiens et pakistanais.
* En 2000, des Arméniens ont placé de fausses informations dans un quotidien d’Azerbaïdjan, le Zerkalo.
* En 1999-2000, les tensions entre Israël et la Palestine ont amené des partisans des deux camps à se livrer à des actes de piratage, les partisans de la Palestine prenant même pour cible certaines entreprises et une organisation nord-américaine en faveur d’Israël.
* Des partisans de l’ancienne République de Yougoslavie ont lancé des attaques (virus et déni de service) contre des ordinateurs de l’OTAN.
* La collision entre un avion de surveillance des États-Unis et un chasseur de la Chine en avril 2001 a entraîné un duel entre pirates américains et chinois.
* L’Alliance musulmane Al Qaida, un regroupement de pirates appartenant au groupe pakistanais G-Force, au Pakistan Hackerz Club et à l’Anti-India Crew qui semble appuyer l’Al Qaida et embrasser la cause palestinienne, a piraté un certain nombre de sites américains, y compris celui du General Accounting Office, et a menacé de continuer ses attaques contre des sites indiens, américains et israéliens.

24. Les cyberattaques semblent être le résultat de tensions régionales et/ou d’attentats physiques commis par des groupes hostiles. En plus de prendre de l’ampleur, les attaques informatiques à motifs politiques sont de plus en plus sophistiquées et de mieux en mieux coordonnées.

Protection de l’infrastructure essentielle du Canada

25. Publié en 1999, le rapport du Comité spécial du Sénat sur la sécurité et les services de renseignements traite de la protection de l’infrastructure essentielle du Canada, à savoir des systèmes matériels et informatiques essentiels au bon fonctionnement quotidien de l’économie et du gouvernement. Par le passé, les éléments de cette infrastructure n’étaient pas réunis. Mais, peu à peu, ils ont été réunis, reliés, et sont devenus plus interdépendants. Les progrès de l’informatique et des communications ont présidé à une informatisation accrue des systèmes essentiels. Selon le rapport, la croissance de l’infrastructure essentielle, sa complexité et notre dépendance accrue à son égard en font une cible possible pour le terrorisme, qu’il soit matériel ou informatique.

26. Dans ses recommandations, le Comité suggère au gouvernement de prendre les mesures qui s’imposent pour protéger son infrastructure essentielle :
* concevoir des politiques et dégager des ressources permettant de faire face à n’importe quel type d’attaque ;
* se doter de moyens permettant d’évaluer les points faibles de l’infrastructure, de la renforcer, de prévenir les attaques matérielles ou informatiques et, le cas échéant, d’intervenir ;
* créer un partenariat entre les secteurs public et privé ;
* veiller à l’évaluation et à la mise à jour régulières du Plan national de lutte contre le terrorisme, tout particulièrement en ce qui concerne l’incidence des nouvelles technologies susceptibles d’être utilisées par les terroristes.

27. À l’instar d’autres pays, le Canada a créé récemment un nouvel organisme chargé de protéger son infrastructure électronique contre les attaques informatiques et les désastres naturels. Ce nouvel organisme, appelé Bureau de la protection de l’infrastructure essentielle et de la planification d’urgence, relèvera du ministre de la Défense nationale et collaborera avec le ministère du Solliciteur général, les provinces, les municipalités, l’industrie privée et les autres pays.

Contexte découlant du 11 septembre

28. Les attentats terroristes du 11 septembre ont transformé le dossier de la protection de l’infrastructure essentielle. L’urgence est la même, mais les pays en sont davantage conscients. Les États-Unis ont créé plusieurs nouveaux organismes et adopté de nouvelles lois afin de renforcer la « sécurité intérieure », un concept visant la défense du territoire, de l’infrastructure essentielle et de la population. Le Canada, le Royaume-Uni et l’Australie ont élaboré ou adopté des lois antiterrorisme semblables. Corollaire de cette sensibilisation accrue à la sécurité, on commence à retirer de plusieurs sites Web des informations (données sur les plans d’urgence et l’emplacement de l’infrastructure essentielle) pouvant être utiles aux terroristes. Dans l’ensemble, les pays s’intéressent aujourd’hui davantage aux risques que constituent tous les types de cyberactivité pour la sécurité nationale. Ce que d’aucuns considéraient comme abstrait est maintenant perçu par certains comme possible et même probable.

Perspective

29. L’une des plus grandes difficultés que pose la lutte contre les OI, c’est l’inexistence des frontières pour quiconque travaille dans un environnement virtuel. Même si l’on travaillait d’arrache-pied pour éliminer toutes les failles, ce serait pratiquement peine perdue puisque les outils servant aux attaques, les réseaux et les systèmes qui gèrent ces réseaux évoluent sans cesse.

30. Au fur et à mesure que de nouvelles technologies voient le jour, de nouveaux outils et de nouvelles techniques d’attaque apparaissent. Par conséquent, les gouvernements devront mettre en oeuvre des procédures grâce auxquelles les dispositifs de sécurité suivront le pas des nouvelles menaces. Par exemple, le gouvernement en ligne, le passage au commerce électronique pour les entreprises, le désir du secteur privé d’offrir des services et de relier des systèmes à l’aide d’outils sans fil ainsi que l’utilisation de communicateurs personnels comportent tous des risques pour la sécurité.

31. Il est possible de réduire le nombre de points faibles des systèmes informatiques, mais on ne peut les éliminer entièrement. Ainsi, les systèmes qui ne disposent pas d’une solide protection continueront d’être infiltrés et exploités. En règle générale, les outils et les techniques servant à mener de telles attaques sont maintenant plus faciles à utiliser et leur mode d’opération est plus sophistiqué. Une multitude de groupes malveillants semblent chercher à améliorer leurs capacités en matière d’OI, lesquelles pourraient prendre une ampleur importante dans un proche avenir.

1. Il peut s’agir d’individus, de groupes extrémistes ou terroristes, d’organisations criminelles, de services de renseignements ou de forces armées.

2. Crime en rapport avec la technologie, les ordinateurs et Internet ; plus précisément, toute forme d’attaque contre un système informatisé de traitement de données.

3. Bien que le terme puisse se définir de plusieurs façons, le « cyberterrorisme » se rapporte ici à toute attaque préméditée dans un but politique et dirigée contre des informations, des systèmes ou des programmes informatiques, ou des données. Il peut amener des groupes régionaux ou des agents clandestins à commettre des actes de violence contre des cibles non combattantes.

4. Synonyme de guerre de l’information.

5. Par cyberactivisme, on entend le piratage d’un système informatique ou son infiltration pour des raisons politiques ou sociales. La notion combine le piratage et l’activisme en ligne.

6. Au cours des 42 derniers mois, la National Security Agency (NSA) a procédé à 37 exercices d’intrusion informatique, et 99 pour 100 de ceux réalisés sur des systèmes américains n’ont pas été détectés. Les responsables de ces attaques n’ont employé que des outils et des techniques se trouvant sur Internet.

7. Un "cheval de Troie" est un logiciel destructif ayant l’apparence d’une application bénigne. À l’encontre d’un virus, il ne peut se reproduire. Un virus est un code de logiciel qui se reproduit en se greffant à un autre programme. Il peut directement endommager certaines données ou encore dégrader la performance du système en s’emparant des ressources du système, qui n’est plus disponible aux utilisateurs autorisés. Un ver est un programme ou un élément de code de logiciel qui se trouve dans des réseaux ou des systèmes distribués. Il se multiplie afin de monopoliser le plus possible les ressources du système pour ses propres besoins de traitement, ce qui a pour effet progressif de congestionner les réseaux et les systèmes informatiques.

8. Ces statistiques sont incomplètes puisqu’elles n’incluent que les actes de sabotage ayant été rapportés. Certains actes de sabotage et certaines formes de compromission et d’exploitation de systèmes ne sont pas rapportés et/ou consignés. Les statistiques pour les différents « noms de domaines » mentionnés ci-dessus ne comprennent pas le « .com », le « .net », le « .org », le « .edu » et les autres noms qui n’appartiennent à aucun pays en particulier.

9. Le montant des dommages est élevé en 2000 en raison des conséquences du virus « I Love You ».

10. SCADA est une application logicielle utilisée pour recueillir des données à distance en temps réel et traiter les données de manière à contrôler l’équipement. Combinant matériel informatique et logiciels, les systèmes SCADA émettent des mises en garde lorsque les conditions d’opération présentent des risques. Ils sont utilisés pour l’exploitation des centrales électriques, le raffinement du pétrole et du gaz, les télécommunications, les transports ainsi que la gestion de l’eau et des déchets.

Source : Service canadien du renseignement de sécurité (SCRC)