Le mot « rançon » évoque habituellement d’horribles enlèvements commis par des brutes armées. Mais, à l’ère numérique, ce mot revêt une nouvelle signification avec les rançongiciels : des logiciels malveillants, ou maliciels, qui ciblent des ordinateurs personnels ou des réseaux informatiques d’établissements comme des banques, des hôpitaux… et des universités. Des données, plutôt que des personnes, sont retenues en otage et les auteurs de ces crimes sont d’habiles pirates informatiques qui verrouillent des fichiers cruciaux et exigent de l’argent pour les restaurer en toute sécurité.
Au cours de la dernière année, des universités dans tout le pays ont été victimes d’attaques qui ont fait les manchettes. Bien que les établissements postsecondaires aient essuyé des cyberattaques auparavant, les rançongiciels présentent une nouvelle menace toujours en évolution, explique Teju Herath, professeure associée en systèmes d’information à l’Université Brock. Selon elle, les universités s’exposent à un risque accru parce que leurs pratiques axées sur la liberté universitaire résultent en des réseaux ouverts par nature et donc, vulnérables au piratage. Et, comme les banques et les hôpitaux, les universités détiennent dans leurs systèmes une abondance de renseignements personnels et confidentiels que les pirates peuvent exploiter, poursuit-elle.
Cette vague d’attaques de rançongiciels a commencé au printemps dernier à l’Université de Calgary. Le 28 mai, des pirates ont envahi le système informatique de l’établissement, coupé l’accès au réseau sans fil et crypté des fichiers cruciaux. Une semaine après l’attaque, l’Université a annoncé qu’elle avait versé la rançon de 20 000 $ exigée par les pirates afin de pouvoir recouvrer l’accès aux données.
« L’Université a choisi de payer la rançon et d’obtenir les clés de déchiffrement afin de protéger des données de recherches et d’autres renseignements importants qui auraient pu être perdus à la suite du cryptage d’ordinateurs portables, d’ordinateurs de bureau et de serveurs, déclare Linda Dalgetty, vice-rectrice Finances et services, à l’Université de Calgary. Nous ne voulions pas risquer de perdre l’oeuvre de toute une vie d’un chercheur en raison de l’attaque. »
Mme Dalgetty a indiqué que depuis l’attaque, l’Université a « étoffé sa trousse d’outils et ses procédures de connexion et accru la surveillance de ses réseaux ». Bien que le versement de la rançon puisse donner l’impression que l’Université devient vulnérable à de futures attaques, Mme Dalgetty assure que l’avantage à récupérer l’information l’emportait sur le risque, « surtout compte tenu des mesures de sécurité resserrées ».
Bien qu’elle ne puisse commenter la décision de l’Université de Calgary de verser une rançon, Mme Herath de l’Université Brock estime que « l’idée de verser une somme qui a en fait été extorquée est toujours une tactique douteuse. » Selon elle, la décision dépend beaucoup de l’ « importance des données » et du temps que l’organisation peut se permettre de prendre pour les récupérer.
L’Université de Calgary n’est pas la seule à avoir vécu une expérience troublante de piratage. L’Université de l’Alberta a annoncé au début de janvier qu’elle avait découvert en novembre un maliciel dans 304 de ses ordinateurs, répartis dans 20 classes et laboratoires. Gordie Mah, chef de la sécurité informatique de l’établissement, affirme dans un article publié sur le site Web de l’Université que le créateur du maliciel « l’a conçu expressément pour récolter des mots de passe », mais ajoute que rien n’indique que des mots de passe piratés ont été utilisés.
Le 29 novembre, les administrateurs de l’Université Carleton ont envoyé une alerte au moyen de l’application mobile de l’établissement pour aviser les utilisateurs que le réseau de ce dernier avait été attaqué par un rançongiciel. Les pirates exigeaient apparemment d’être payés en bitcoin, une monnaie virtuelle difficile à retracer (selon ce que rapportent les médias américains, le Los Angeles Valley College a versé une rançon de 28 000 $ américains en bitcoin à des pirates, à la suite d’une cyberattaque semblable survenue en janvier). À l’époque, des représentants de l’Université ont confié à l’Ottawa Citizen que l’établissement conserve entre autres des copies de sûreté de ses systèmes servant aux courriels. Par voie de communiqué, l’administration de l’Université Carleton a également fait savoir qu’elle croyait que les pirates n’avaient accédé à aucun renseignement personnel.
Le piratage a d’abord interrompu le réseau Wi-Fi du campus et les utilisateurs de systèmes Microsoft Windows ont reçu la consigne de cesser d’utiliser leurs appareils. Les services d’impression du campus ont également été touchés. Le 13 décembre, deux semaines après le piratage, le service des communications de l’Université a informé le corps professoral et le personnel par courriel du fait que « tous les systèmes de TI essentiels étaient en fonction ». L’Université indique qu’aucune rançon n’a été versée.
David Shipley, directeur des initiatives stratégiques de technologie de l’information à l’Université du Nouveau-Brunswick, affirme s’être réjoui de cette nouvelle, car verser une rançon peut avoir de graves conséquences. Il fait allusion à des données de l’Office des Nations Unies contre la drogue et le crime, qui révèlent que jusqu’à 80 pour cent des cybercrimes peuvent être attribués à des groupes criminels s’adonnant à d’autres activités illégales comme le commerce d’armes ou le trafic de stupéfiants. Selon M. Shipley, un établissement qui paie une bilrançon pourrait involontairement soutenir une activité criminelle au-delà du piratage. Il qualifie cette solution de « placebo, alors qu’il convient plutôt d’investir dans des mesures qui accroissent la cyberrésilience », et notamment de faire régulièrement des copies de sauvegarde et des plans de continuité des activités.
Mme Herath et M. Shipley estiment tous deux que les universités peuvent prévenir de futures attaques de maliciels en se dotant de politiques institutionnelles claires sur la cybersécurité, en s’assurant du soutien de tous les échelons de la gouvernance universitaire et en formant plus adéquatement les utilisateurs. Pour Mme Herath, cette dernière mesure est la plus importante : « Il faut réfléchir avant de cliquer », déclare-t-elle.
M. Shipley souligne que la plupart des attaques de rançongiciels commencent par de l’hameçonnage : des messages que des pirates envoient par le biais d’un réseau, habituellement dans un courriel, et qui peuvent, si on clique dessus, installer un maliciel sur l’appareil. Il précise que si le faux message est suffisamment trompeur, environ 40 pour cent des gens mordront à l’hameçon et la moitié d’entre eux cliqueront ou répondront en moins d’une heure.
Selon lui, « c’est bien plus facile de pirater des humains que des systèmes informatiques. » Cela s’explique par un manque de connaissances sur la cybersécurité dans la plupart des établissements, et pas seulement les universités. « Beaucoup de gens font confiance à tort à la magie de la cybersécurité qui leur est soi-disant procurée », avance-t-il.
Ce que les administrateurs d’universités doivent retenir avant tout au sujet des cyberattaques, c’est qu’elles ne cesseront pas, préviennent Mme Herath et M. Shipley. Par exemple, un rapport paru en 2016 au Royaume-Uni révèle que six universités sur 10 avaient été infectées par un rançongiciel, même plusieurs fois pour les deux tiers d’entre elles. « Ce qu’on lit dans les manchettes n’est qu’une fraction des luttes qui se livrent dans l’ombre », croit M. Shipley.
Mme Herath explique que pour repousser les pirates, la collaboration entre les universités est essentielle, puisque les gouvernements et les services de police sont souvent mal outillés pour gérer le volume de ces attaques. Elle compare les attaques de maliciels au « changement climatique numérique » : individuellement, personne ne peut l’arrêter, mais collectivement, nous avons une chance de nous défendre.