Si vous êtes professeur, administrateur universitaire, chercheur ou si vous avez tout simplement une adresse courriel universitaire, vous pourriez avoir été la cible d’une attaque informatique d’origine étrangère au cours des derniers mois. Le cyberespionnage de la recherche canadienne, notamment celle menée dans les universités aurait significativement augmenté depuis le mois de mars, à un point où le gouvernement fédéral doit mettre en garde les chercheurs.
Au cours des sept derniers mois, l’Université de Calgary a connu une hausse des attaques ciblant les travaux de ses chercheurs, ses professeurs, ses étudiants et son personnel et visant à obtenir des données confidentielles. L’établissement mène plusieurs études en lien avec le SARS-CoV-2, notamment sur l’efficacité d’un traitement s’appuyant sur l’hydroxychloroquine. La vice-rectrice aux finances et aux services de l’Université, Linda Dalgetty, admet que son établissement bloque des millions de menaces chaque mois, et encore plus depuis le début de la pandémie. « Des exemples de ces attaques incluent les attaques par déni de service, les attaques par force brute, les attaques d’applications Web et les tentatives d’hameçonnage », explique-t-elle.
Les pirates tenteraient de profiter du sentiment d’urgence causé par la crise sanitaire actuelle et des nombreux changements engendrés par le passage au télétravail. « En milieu universitaire, la méthode la plus utilisée est celle du harponnage, qui est une variante plus ciblée de l’hameçonnage, dit le professeur titulaire en criminologie à l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité, Benoît Dupont. Avec le harponnage, [les attaques] sont menées de façon beaucoup plus ciblée. On va se faire passer pour un collègue à l’étranger, avec qui vous avez peut-être déjà publié un article scientifique, ce sera une proposition de partenariat d’une université à l’étranger, ou encore un CV provenant d’un étudiant qui est à la recherche d’un stage postdoctoral. »
Les cyberattaquants mènent d’abord des actions de reconnaissance pour déterminer qui a accès à quel type de données et d’information. Selon le chercheur, les personnes travaillant avec des données et des informations confidentielles sur la COVID-19, ainsi que les employés des unités de technologie de l’information des universités sont les plus à risque. Celles-ci sont plus précisément des chercheurs, des directeurs, des employés de laboratoire, des techniciens ou encore des experts en informatique qui ont un accès privilégié à l’infrastructure informatique qui rassemble le savoir d’un établissement.
Retracer les pirates des quatre coins du globe
Il est très rare pour les pirates informatiques de ne laisser aucune trace après avoir mené une attaque. « Encore faut-il savoir comment les retrouver et comment les analyser, reconnaît M. Dupont. À quelques exceptions près, les universités, à l’interne, n’ont pas vraiment les ressources informatiques pour pouvoir mener ce genre d’enquête. » C’est pourquoi la plupart font appel à des organisations externes spécialisées dans l’analyse des outils informatiques et des habitudes des cyberespions. « Sans jamais avoir une totale certitude, ces enquêtes vont pouvoir dire que cette attaque vient de Chine, par exemple, parce que les attaquants ont utilisé tel outil, tel type de stratagème, et ils ont cherché tel type d’information. Donc, il y a plus de chances que ce soit la Chine plutôt que la Russie ou l’Iran. »
Depuis le début de la pandémie, la Chine, la Russie et l’Iran figurent au palmarès des états soupçonnés d’être derrière des attaques contre la recherche liée au coronavirus dans le monde. En juillet, le Canada, les États-Unis et le Royaume-Uni ont identifié « une activité de cybermenace » provenant de la Russie et visant leurs recherches. « Cette activité malveillante avait fort probablement pour objectif de voler l’information et la propriété intellectuelle relatives au développement et à l’essai de vaccins contre la COVID-19, et d’interférer avec les mesures d’intervention alors que les experts de la santé et les chercheurs en médecine ont besoin de toutes les ressources disponibles pour lutter contre la pandémie », peut-on lire dans la déclaration du Centre de la sécurité des télécommunications (CST).
Cyberlanguage :
- Hameçonnage : envoyer des courriels frauduleux à grande échelle dans le but d’inciter la divulgation d’information ou le téléchargement de code malveillant
- Harponnage : envoyer un courriel frauduleux fortement personnalisé à un seul ou un nombre limité d’utilisateurs
- Attaques par déni de service : rendre un réseau ou un appareil indisponible
- Attaques par force brute : pirater un mot de passe
- Attaques d’applications Web : se servir des vulnérabilités des systèmes informatiques pour infiltrer des bases de données
Le CST n’a pas précisé qui a été la cible de ces attaques au pays. Mais selon un bulletin du Centre canadien pour la cybersécurité, publié avant cette annonce, « à la mi-avril 2020, une société biopharmaceutique canadienne a été compromise par un auteur étranger de cybermenaces qui cherchait presque certainement à voler sa propriété intellectuelle ».
Le chercheur en résidence à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand, Alexis Rapin, estime que la dénonciation conjointe des autorités canadiennes, américaines et britanniques est marquante. « C’est rare qu’un gouvernement reconnaisse publiquement qu’il y a des cyberattaques étrangères qui nous visent actuellement. Et c’est encore plus rare, qu’un gouvernement attribue l’attaque et dise que c’est la Russie qui est derrière tout ça. »
Dans un rapport publié à la fin septembre, Microsoft rapporte une sophistication des cyberattaques « utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les cibles les plus avisées ». L’entreprise note également une augmentation de 35 pour cent du volume d’attaques par rapport à 2019. Le Canada serait le pays le plus ciblé après le Royaume-Uni et les États-Unis par les pirates avides de données provenant des groupes de recherche sur la COVID-19, des organisations non gouvernementales, des collèges et des universités.
Protéger sa recherche
Alors que les recherches actuellement menées dans les universités touchent de plus en plus la santé et la sécurité publiques, M. Rapin estime que le gouvernement fédéral devrait davantage s’intéresser à leur protection. « La pandémie a servi à montrer du doigt toute la problématique du cyberespionnage industriel qui date d’il y a bien plus longtemps. Peut-être que les attaques liées à la crise sanitaire vont mettre cet enjeu plus haut dans l’agenda et stimuler des mécanismes pour s’en prémunir. »
Le gouvernement fédéral a récemment rendu disponible une série d’outils et de ressources sur la plateforme Protégez votre recherche afin d’aider les chercheurs universitaires à assurer la sûreté de « l’intégrité de la recherche, la propriété intellectuelle et les intérêts commerciaux du Canada ». Le gouvernement recommande également aux organismes fédéraux de financement de la recherche d’examiner leurs politiques et leurs processus de sécurité et de faire connaître les meilleures pratiques et les outils.
Le professeur Dupont croit que les universités ont également une part de responsabilité. « On ne peut pas s’attendre à ce que les chercheurs individuellement soient efficaces à se protéger contre ces attaques si les universités ne mettent pas à leur disposition toute l’infrastructure et les outils nécessaires pour le faire. » Il suggère notamment que les établissements offrent des formations aux chercheurs et aux employés pour apprendre à identifier les messages suspicieux. Les modes d’authentification multifacteur et l’utilisation de l’intelligence artificielle pour détecter les messages atypiques sont aussi de bons outils pour renforcer la sécurité de la recherche. « Vu le degré de sophistication et de persistance de ces attaques, les chercheurs sont très mal équipés pour y faire face seuls. »
« Vu le degré de sophistication et de persistance de ces attaques, les chercheurs sont très mal équipés pour y faire face seuls. »
Les universités sont-elles bien outillées pour faire face aux cybermenaces grandissantes? « Les études sur la situation en Australie, au Royaume-Uni et aux États-Unis laissent penser que les universités de ces trois pays-là ne sont pas bien outillées. Comme les établissements canadiens ne sont pas très différents en termes de ressources, de culture et autres, on pourrait faire l’hypothèse qu’on n’est pas mieux équipé au Canada », avoue M. Dupont.
Effectivement, dans le cadre d’une étude menée en 2019 par l’organisme britannique Jisc, dont le rôle est de soutenir les établissements d’enseignement supérieur, a mené des tests de piratage sur une cinquantaine d’universités du pays. En utilisant la méthode de l’hameçonnage, l’organisme a réussi à accéder aux données de grande valeur de 100 pour cent des établissements en deux heures.
« Il est impératif que les universitaires évaluent et améliorent continuellement leurs capacités de sécurité et que les dirigeants d’établissements prennent les devants dans la gestion des cyberrisques afin de protéger les étudiants, le personnel et les données de recherche précieuses contre la menace croissante d’attaques », conclut le rapport.
Universités Canada (éditeur d’Affaires universitaires) se dit en communication constante avec le gouvernement fédéral pour lui faire comprendre l’importance des investissements pour renforcer la cybersécurité dans les universités canadiennes. « Ces discussions ont renforcé l’importance de la collaboration internationale en matière de recherche, de la liberté universitaire et de l’autonomie institutionnelle pour l’entreprise de recherche au Canada, et ont permis de mieux faire connaître les menaces possibles à l’intégrité et à la sécurité de la recherche canadienne », explique le président-directeur général de l’association, Paul Davidson.