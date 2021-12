La brèche informatique Log4Shell qui a forcé le gouvernement du Québec à fermer 4000 sites internet vulnérables la fin de semaine dernière est une vraie bombe à retardement. Elle met en danger les systèmes de presque toutes les entreprises et tous les gouvernements de la planète. Elle risque de paralyser des organisations durant des mois et d’amuser les pirates pendant des années. Notre Bureau d’enquête et notre Bureau parlementaire se sont entretenus avec plusieurs experts en sécurité informatique et des sources gouvernementales afin de mieux comprendre les risques de cette faille.

• À lire aussi: Banques et sociétés d'État sur le qui-vive

Qui est vulnérable ?

« Ça touche tout le monde », relate Patrick Mathieu, le cofondateur du Hackfest et spécialiste en sécurité informatique.

Tous les gouvernements, toutes les entreprises, les PME, les banques, les entreprises offrant des services web, etc.

Pratiquement tout le monde utilise cette composante, sans même le savoir parfois.

De Google au garage du coin, personne n’est à l’abri.

« Je ne connais pas d’entreprises qui ne sont pas vulnérables », précise M. Mathieu.

Le nombre exact est toutefois difficile à évaluer.

Selon le groupe spécialisé Check Point, il y a eu une explosion des tentatives de piratage depuis l’annonce de la brèche, et elles auraient visé 40 % des sociétés mondiales et 42 % des entreprises canadiennes.

Entreprises et PME en danger

Si vous êtes à la tête d’une entreprise ou d’une PME et que vous n’avez rien fait depuis l’annonce de cette faille... il est peut-être déjà trop tard, soulignent les experts.

« Si tu es une PME, que tu penses que ce n’est pas grave, puis que tu te fais attaquer, ça se peut que tu fasses faillite dans quelques jours », explique Patrick Mathieu.

« Un rançonlogiciel dans tous les systèmes pour une PME de 80 personnes, ça se peut que tu ne te remettes pas de ça. »

Certaines entreprises ont peut-être déjà été attaquées, ne le savent pas encore ou le cachent tout simplement à leurs clients ou actionnaires.

Ceux qui n’ont pas les ressources doivent, « au minimum », appeler leurs fournisseurs de services, a indiqué le ministre Éric Caire.

À risque depuis plusieurs jours

Capture d'écran

La brèche est connue depuis plus de deux semaines, et selon les premières analyses, des attaques ciblées ont été réalisées.

Jeudi soir dernier, l’annonce a été faite publiquement, ce qui a ouvert la porte aux attaques de masse robotisées.

Il s’agit d’une menace « de niveau critique de 10 sur 10 », ce qui est « très rare », relatent les experts.

Des pirates se sont sans doute déjà infiltrés dans les systèmes de certaines entreprises et attendent le bon moment pour lancer l’attaque.

En entrevue hier, le ministre Éric Caire a admis qu’un pirate pourrait s’être introduit dans certains sites du gouvernement, que la possibilité existera tant que tous les systèmes n’auront pas été vérifiés.

De gros noms chez les victimes

Des listes d’entreprises qui sont touchées par la brèche ont été publiées sur le web.

Plusieurs organisations ont décidé de rendre publique cette information et indiqué à la population qu’elles étaient à pied d’œuvre afin de colmater la faille et de vérifier que les systèmes n’avaient pas été attaqués.

Parmi les entreprises connues qui utilisent Apache Log4j, notons la présence de Cisco, Dell, Google Cloud, Huawei, McAfee, Twitter, Amazon, Microsoft, Minecraft, Netflix, Oracle et plusieurs autres.

Au Québec, Equifax et Desjardins ont confirmé être des victimes de la brèche.

Première en 15 ans

Capture d'écran

Il s’agit de l’une des plus importantes brèches informatiques de l’histoire et la plus grosse depuis au moins 15 ans.

Cette brèche touche Apache Log4j, une composante technologique gratuite qui permet aux entreprises de se connecter à de nombreuses applications.

Elle fait souvent partie des outils utilisés par les concepteurs lors de la création d’un système informatique.

Capture d'écran

En raison de la brèche, les pirates peuvent maintenant lancer facilement des attaques contre des organisations.

« C’est un branle-bas de combat généralisé », affirme une source gouvernementale.

Quoi faire en cas de brèche

Réaliser un inventaire complet de tous ses systèmes informatiques et répertorier ceux qui utilisent Log4j ainsi que communiquer avec ses fournisseurs de services web. Entre 80 % à 95 % des entreprises n’ont jamais fait de tels inventaires, selon nos experts.

Réaliser une mise à jour de l’outil pour chacun des systèmes vulnérables détectés, ce qui permettra de colmater la faille.

Vérifier toutes les connexions, intrusions ou anomalies dans les systèmes informatiques vulnérables depuis les deux dernières semaines, afin de s’assurer qu’aucun logiciel espion n’a été infiltré, ce qui pourrait mener à une attaque informatique coûteuse.

JUSQU’À SIX MOIS POUR SÉCURISER LE GOUVERNEMENT

Photo Stevens LeBlanc

Québec pourrait avoir besoin de trois à six mois avant de réussir à sécuriser tous ses sites internet et ses systèmes technologiques touchés par la brèche informatique mondiale.

Selon nos sources, ce délai s’explique par le manque d’employés dans les départements informatiques internes du gouvernement.

Le ministre délégué à la Transformation numérique gouvernementale Éric Caire a parlé hier d’effec-tivement « quelques semaines » pour vérifier qu’aucun site du gouvernement n’a été attaqué.

Le gouvernement doit aussi joindre tous ses fournisseurs de services pour faire des vérifications et ensuite attendre que la brèche soit colmatée et testée.

Beaucoup de systèmes

Mais le gouvernement n’est pas seul dans son malheur.

Toutes les entreprises et les organisations victimes de cette faille auront besoin d’un nombre important de spécialistes en sécurité informatique et de dizaines heures de travail pour assurer la sécurité de leurs installations.

En plus de ses 4000 sites internet, le gouvernement a également de nombreux systèmes de gestion, par exemple pour les ressources humaines et la paye, qui utilisent Apache Log4j.

Ces systèmes ne seront pas fermés, mais seront néanmoins rehaussés.

De son côté, le gouvernement assure avoir les ressources pour régler le problème.

Pour l’instant, il se concentre sur Revenu Québec et clicSÉQUR afin de fournir rapidement des services aux citoyens.

« Ces systèmes-là sont plus critiques, on les fait en premier », a indiqué le ministre Caire en entrevue.

« C’est la grande priorité [...] Il y a des gens qui attendent et qui bénéficient d’un programme de sécurité de revenu, CNESST, etc. ».