La cybersécurité d’entités gouvernementales laisse à désirer, selon la vérificatrice générale. En cause: du matériel désuet et la persistance de mauvaises pratiques, qui rendent ces entités encore trop fragiles face aux risques d’attaques et de vol de données.
Le 24 novembre, la vérificatrice générale a déposé un rapport à l’Assemblée nationale dans lequel elle évalue le niveau de préparation à une attaque en ligne de trois entités gouvernementales qui« détiennent des renseignements personnels et confidentiels sur les Québécois et les entreprises québécoises ». Conclusion: les mesures de cybersécurité mises en place sont « à améliorer ». Mais derrière ce ton conciliant, le texte du rapport donne des raisons de s’inquiéter.
« Ce rapport, c’est une vraie bombe », s’exclame Patrick Mathieu, cofondateur du Hackfest, un événement annuel de sécurité informatique. Ce spécialiste trouve particulièrement inquiétant de lire que certains principes de base de la sécurité informatique ne sont pas respectés.
L’une des trois entités examinées n’a pas encore mis en place un processus pour automatiser la gestion de ses actifs informationnels: c’est-à-dire qu’elle ne tient pas correctement l’inventaire de ses serveurs, ordinateurs et autres éléments informatiques. Impossible de sécuriser comme il faut dans ce cas, nous explique Patrick Mathieu: « Tu vas appliquer une mise à jour de tes serveurs, mais tu vas en oublier une centaine parce que tu ne sais pas qu’ils sont là. Si un seul de ceux-là est compromis, c’est game over ».
Autre manquement soulevé par la vérificatrice générale: « aucune des trois entités étudiées n’a formalisé le processus d’évaluation des menaces et des risques liés à la sécurité de l’information. » Traduction: aucune entité ne sait véritablement ce qu’elle protège, ni contre qui.
« Ces deux éléments-là sont la base de l’informatique et de la sécurité », se désole Patrick Mathieu.
Des mots de passe partagés
Des administrateurs utilisent des « identifiants génériques », peut-on lire dans le rapport. Cela peut vouloir dire qu’ils utilisent des mots de passe par défaut ou que plusieurs personnes partagent des comptes d’administrateur: dans tous les cas, ce n’est pas une bonne pratique.
« Chacun doit avoir son propre compte pour les activités quotidiennes et utiliser un compte unique différent pour les tâches qui nécessitent des droits d’administrateurs », explique Patrick Mathieu.
Partager des accès à des comptes d’administrateurs multiplie le risque que ces derniers soient compromis, or il s’agit de comptes qui donnent plus d’accès et de privilèges.
Par ailleurs, ces accès ne sont pas révisés assez régulièrement selon la vérificatrice, c’est-à-dire que les entités ne vérifient pas assez souvent l’identité des gens qui possèdent des accès. Patrick Mathieu s’inquiète de ne pas trouver dans le rapport mention d’un processus qui serait mis en place pour vérifier qui a accès à quoi et réagir immédiatement si des changements doivent être fait. « la question n’est même pas soulevée », dit-il. Par exemple, lorsqu’un employé quitte, ses accès aux comptes informatiques devraient être supprimés automatiquement, pas lors d’une vérification faite plus tard.
Du matériel désuet et vulnérable
Dans le rapport, la vérificatrice constate que « les trois entités étudiées utilisent des logiciels et du matériel informatique désuets » qui peuvent donc contenir des vulnérabilités connues facilement exploitables par des acteurs malicieux. De plus, le rapport indique que « l’une des entités tarde à appliquer certains correctifs de sécurité visant à éliminer les vulnérabilités connues de ses systèmes. » Cela veut dire que des problèmes connus ne sont pas corrigés dans des délais raisonnables.
Le rapport mentionne des actions prises pour pallier cela, mais selon Patrick Mathieu « ce sont des mesures de sécurité passées date. »
La vérificatrice n’évoque pas l’utilisation de multiples facteurs d’authentification (MFA, un processus par lequel on utilise un mot de passe et un autre facteur, comme un code généré par une application, pour s’authentifier) ou celle de logiciel de gestion de mot de passe, qui sont des éléments de base pour limiter les risques.
Une journalisation déficiente
Il est important pour les organisations de garder une trace de ce qui se passe sur leurs systèmes: qui s’est authentifié, qui a téléchargé quoi, qui a modifié quoi et quand. C’est le principe de la journalisation.
Or la vérificatrice a noté que certains administrateurs peuvent modifier ces journaux. « Ces fichiers ne doivent être modifiables par personne », avertit Patrick Mathieu. Sinon, un pirate pourrait accéder à des dossiers confidentiels puis effacer les traces de sa présence. Et si ces journaux devaient être utilisés lors d’un procès par exemple, le fait qu’ils soient modifiables introduit un doute raisonnable sur leur validité.
En plus de garder en mémoire les actions sur le réseau, il est important de mettre en place des alertes quand des actions louches sont posées. Selon le rapport, « certaines des mesures de cybersécurité de deux des entités pourraient être améliorées pour offrir une protection plus efficace contre la fuite massive de données. »
Se préparer au pire
Lors de l’édition du Hackfest de 2019, Patrick Mathieu présentait, en compagnie du spécialiste en cybersécurité Steve Waterhouse, une analyse de l’infrastructure web du gouvernement, et les problèmes qu’ils avaient trouvés. Il n’est donc pas surpris du diagnostic de la vérificatrice générale. « Ce qu’on voit dans ce rapport, on le disait au gouvernement en 2010 ! », s’insurge-t-il, « il y a des choses de base qui ne sont toujours pas faites. »
Patrick Mathieu se demande si les ministères ont un plan un place en cas de cyberattaque et si ce plan a été testé de façon régulière. « Est-ce que l’on est en mesure de réparer les dégâts? » Pour le savoir, il faut l’avoir testé avant que la crise ne survienne.
L’attaque dévastatrice qui a paralysé une bonne partie du système de Santé à Terre-Neuve et Labrador récemment est un exemple du type de menace auquel le gouvernement doit être préparé à faire face.