(Québec) Québec a ordonné la fermeture préventive de l’ensemble de ses systèmes informatiques accessibles depuis l’internet – pas moins de 3992 sites et services – à la suite de la découverte d’une faille de sécurité majeure touchant des serveurs à travers le monde.
À Ottawa, le gouvernement fédéral a décidé d’en faire autant en fermant bon nombre de services qui pourraient être vulnérables pendant que l’on évalue la situation. L’Agence du revenu du Canada (ARC) est du nombre.
« L’Agence a pris connaissance d’une vulnérabilité de sécurité qui affecte des organisations à travers le monde. Par précaution, nous avons de façon proactive pris la décision de suspendre nos services en ligne pendant que nous apportons les mises à jour nécessaires à nos systèmes. Rien n’indique à présent que les systèmes de l’Agence ont été compromis ou qu’un accès non autorisé aux informations de contribuables a eu lieu en raison de cette vulnérabilité », a indiqué l’ARC dans une déclaration.
Revenu Québec a également suspendu ses services en ligne, bien que son site demeure ouvert pour la consultation d’informations de base. « Rien n’indique que nos systèmes soient touchés par cette vulnérabilité, mais nous agissons proactivement afin d’en préserver l’intégrité. Nos services seront à nouveau disponibles dès que possible », peut-on lire sur son site web.
En fin de journée, dimanche, la Ville de Montréal a emboîté le pas et annoncé la suspension préventive de certains de ses services numériques.
Faille « Log4Shell »
La faille « Log4Shell » permet à un cyberpirate de faire exécuter des codes informatiques sur le serveur des organismes et de prendre le contrôle de leur système. Une bibliothèque Java de la société Apache, largement utilisée dans le monde, est concernée. À Québec, le Centre gouvernemental de cyberdéfense a pris connaissance de cette vulnérabilité le 10 décembre et a demandé à tous les responsables de la sécurité informatique de détecter cette faille dans les systèmes de l’État québécois.
« [En fin de journée samedi], nous avons convenu que la menace de préjudice était plus grande que le préjudice de fermer l’ensemble des systèmes du gouvernement accessibles depuis internet », a expliqué le ministre délégué à la Transformation numérique, Éric Caire, lors d’une conférence de presse en compagnie du dirigeant principal de l’information, Pierre Rodrigue, dimanche.
Nous étions face à une menace d’un niveau critique de 10 sur 10. Une criticité de 10 entraîne automatiquement la fermeture du système qui est visé.
Éric Caire, ministre délégué à la Transformation numérique
Il a donc été ordonné de fermer de manière préventive les 3992 sites et services internet de l’État, une décision exceptionnelle et jamais vue au gouvernement du Québec.
« C’est l’ensemble de l’appareil public qui est visé par la directive », les ministères et les organismes publics comme parapublics, a insisté Éric Caire. L’ordre touche, entre autres, les services gouvernementaux offerts aux citoyens sur l’internet – comme ceux utilisant CLICSÉQUR – et les sites web du réseau de l’éducation et de la santé. Le système de prise de rendez-vous pour un vaccin contre la COVID-19 « a déjà été corrigé » et est accessible, et les données du passeport vaccinal ne seraient pas concernées par le danger, selon les explications du ministre.
Québec précise qu’aucune activité laissant croire qu’un pirate informatique a exploité cette faille n’a été détectée à ce jour. Il n’y aurait donc pas eu fuite de données personnelles ou d’informations sensibles du gouvernement pour le moment, par exemple.
« Il y a peut-être des gens qui ont scanné des systèmes. Ça, ça ne laisse pas de trace et on ne le sait pas. Mais il n’y a pas eu de tentative d’introduction, donc personne qui a essayé d’utiliser cette brèche pour s’introduire dans un serveur et causer du dégât. Il n’y en a pas au moment où on se parle », a affirmé Éric Caire.
Tous les ministères et organismes publics et parapublics doivent vérifier s’ils utilisent la bibliothèque Java en cause et donc si leurs systèmes informatiques sont vulnérables. « On cherche un peu une aiguille dans une botte de foin, je ne vous le cache pas ! », a lâché le ministre.
« Excusez l’expression, mais il faut scanner l’ensemble de nos systèmes, parce qu’on n’a pas un inventaire. C’est comme dire combien de pièces dans tous les immeubles du gouvernement du Québec utilisent des ampoules 60 watts. Je ne le sais pas. Donc on fait le tour des pièces et on fait le tour des ampoules pour savoir si c’est une 60 watts. C’est un travail de moine. »
Les sites et services internet seront rouverts rapidement si l’on constate qu’ils ne sont pas concernés par la faille de sécurité. Les autres devront installer un correctif informatique et vérifier ensuite si un problème persiste. « Il y a une batterie de tests à faire », a indiqué Éric Caire. Plusieurs jours seront nécessaires pour terminer l’opération et rétablir l’ensemble des systèmes informatiques. Pour le ministre, il n’est pas question de « tourner les coins ronds ».
Si des sites web du gouvernement sont accessibles en ce moment, c’est soit parce qu’ils n’ont pas encore exécuté l’ordre de fermeture – ce serait une très faible minorité –, soit parce que l’on a conclu rapidement qu’ils ne sont pas concernés par la faille ou que leurs systèmes ont été corrigés – c’est le cas pour des sites du réseau de la santé. La plateforme Québec.ca, qui utilise la bibliothèque en cause, a été fermée et remise en ligne rapidement, puisque les correctifs ont été apportés.
« Les sites critiques, plus névralgiques et utilisés, seront priorisés pour minimiser les impacts et s’assurer qu’ils sont rendus disponibles le plus rapidement possible », a indiqué le ministre Caire. Lundi, le gouvernement devrait rendre publique une liste des sites et services qui sont rouverts comme de ceux qui demeurent fermés.
Les citoyens ayant besoin d’un service offert en ligne et se butant à un site fermé devront « utiliser une autre voie de passage », et « des fonctionnaires peuvent répondre aux besoins des citoyens », s’est contenté de dire Éric Caire.
À Ottawa, la ministre de la Défense, Anita Anand, a affirmé que tout est mis en œuvre pour protéger l’intégrité des sites du gouvernement fédéral et des données confidentielles qu’ils abritent.
« Le gouvernement du Canada est au courant d’une vulnérabilité signalée par Apache. Cette vulnérabilité pourrait permettre à des auteurs malveillants de mener des attaques ciblées et à portée limitée. […] Le gouvernement du Canada dispose de systèmes et d’outils permettant de surveiller, de détecter et d’analyser les menaces potentielles, et de prendre des mesures le cas échéant. Par excès de prudence, certains ministères ont interrompu leurs services en ligne afin de procéder à l’évaluation et à l’atténuation de vulnérabilités potentielles. À ce stade, rien ne nous laisse croire que ces vulnérabilités ont été exploitées sur les serveurs gouvernementaux », a-t-elle affirmé dans une déclaration.
Le Centre canadien pour la cybersécurité a diffusé une alerte à l’intention de l’ensemble des ministères et organismes fédéraux pour qu’ils effectuent des mises à jour visant à assurer la sécurité de leurs sites.
Les gouvernements ont-ils pris la bonne décision ?
Selon Marc-Etienne Léveillé, chercheur sénior en logiciels malveillants chez ESET, entreprise de sécurité informatique, les gouvernements ont pris la bonne décision en fermant temporairement leurs sites et services. « L’impact d’avoir un site fermé pour quelques heures, pour quelques jours dans certains cas, est très minime comparativement aux risques qu’un de ces systèmes-là se fasse pirater », estime le chercheur.
La faille rend les logiciels vulnérables à l’exécution de codes à distance, explique pour sa part Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec. « C’est la pire vulnérabilité qu’il peut y avoir. »
Avis d’experts
Les gouvernements ont-ils pris la bonne décision ?
Selon Marc-Etienne Léveillé, chercheur sénior en logiciels malveillants chez ESET, entreprise de sécurité informatique, les gouvernements ont pris la bonne décision en fermant temporairement leurs sites et services. « L’impact d’avoir un site fermé pour quelques heures, pour quelques jours dans certains cas, est très minime comparativement aux risques qu’un de ces systèmes-là se fasse pirater », estime le chercheur.
La faille rend les logiciels vulnérables à l’exécution de codes à distance, explique pour sa part Jean-Philippe Décarie-Mathieu, chef de la cybersécurité aux Commissionnaires du Québec. « C’est la pire vulnérabilité qu’il peut y avoir. »
Quand la faille a-t-elle été détectée ?
Des sites web spécialisés rapportent que la faille était connue de la société Apache dès le 24 novembre, après qu’un expert de l’entreprise chinoise Alibaba l’eut mise au jour, et qu’un correctif aurait été publié le 6 décembre. Les experts interrogés par La Presse indiquent pour leur part avoir été mis au courant de la faille « Log4Shell » le jeudi 9 décembre.
« Ce qui a dû se passer, c’est qu’elle n’a pas été rendue publique le 24 novembre, mais le chercheur a dû avertir Apache », croit Sébastien Gambs, professeur au département d’informatique de l’Université du Québec à Montréal (UQAM). Selon lui, Apache a dû préférer attendre la publication d’un correctif avant de divulguer la faille au grand public, puisqu’elle n’aurait rien pu faire pour y remédier.
Les gouvernements ont-ils réagi trop tard ?
Pas selon M. Gambs. « Souvent, les mises à jour prennent quelques jours ou quelques semaines à être faites. Donc, c’est vraiment rare que les mises à jour soient faites le premier jour où le correctif sort, explique-t-il. Divulguer la faille publiquement, c’est justement une façon de dire aux gens : c’est un problème très sérieux, faites votre mise à jour. »
Qui peut exploiter la faille ?
La faille est « relativement facile » à exploiter pour ceux qui possèdent des connaissances en programmation, indique Marc-Etienne Léveillé. Des personnes malintentionnées pourraient, notamment, exécuter un logiciel malveillant sur un site web visé. Les pirates informatiques qui exploiteraient la faille « Log4Shell » pourraient aussi avoir accès à toutes les informations contenues sur un site web, dont les données personnelles qui s’y trouvent, dans le cas des sites web gouvernementaux.
La faille est-elle l’œuvre d’un pirate ?
Non, estime Marc-Etienne Léveillé. « C’est une erreur des développeurs des logiciels », croit le chercheur.
Avec Coralie Laplante et La Presse par Tommy Chouinardla et Joël-Denis Bellavancela
Bouesso
World Vision 