Pierre Martin Tardif, professeur au Département des systèmes d’information et méthodes quantitatives de gestion à l’École de gestion de l’Université de Sherbrooke. Illustration : Kagan McLeod
Nos systèmes informatiques et nos objets connectés évoluent à grande vitesse. Les pirates en profitent aussi. Comment peut-on garder une longueur d’avance ?
Depuis la pandémie, le nombre d’attaques informatiques aurait doublé dans le monde. On n’a qu’à penser aux cégeps d’Ahuntsic ou de Lanaudière, forcés de fermer à la suite d’une cyberattaque ce printemps, ou encore aux urgences d’hôpitaux américains qui ont dû temporairement interrompre leurs services après une attaque au rançongiciel en 2023.
En réaction à cette menace grandissante, les budgets de cybersécurité des entreprises montent en flèche. Par exemple, celui d’Hydro-Québec est passé de 52 millions de dollars en 2020 à 81 millions cette année.
Alors que les gouvernements s’affairent aussi à sécuriser les informations de nature délicate, de nouvelles technologies bouleversent le monde de la cybersécurité. L’intelligence artificielle (IA), la perspective d’un ordinateur quantique et la complexification des réseaux transforment les méthodes des pirates et celles des spécialistes qui tentent de les bloquer.
À l’Université de Sherbrooke, le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) a récemment reçu 2 millions de dollars du gouvernement fédéral pour faire avancer les connaissances dans ce domaine. Un de ses membres, Pierre Martin Tardif, professeur au Département des systèmes d’information et méthodes quantitatives de gestion à l’École de gestion de l’Université de Sherbrooke, fait le point pour nous sur ce domaine en pleine transformation.
***
Québec Science Comment le monde de la sécurité informatique a-t-il évolué ces dernières années ?
Pierre Martin Tardif Il a évolué radicalement, en particulier avec les téléphones intelligents et autres appareils mobiles, ainsi qu’avec le stockage des données dans les réseaux informatiques, ce qu’on appelle l’infonuagique.
Avant, les criminels devaient entrer « physiquement » dans nos ordinateurs, à la maison ou dans les usines. Aujourd’hui, ils peuvent avoir accès à une quantité faramineuse d’informations, et s’en emparer à distance en très peu de temps.
Il y a dix ans, ce type de vol concernait des gigaoctets de données. Maintenant, ce sont des quantités 1000 fois plus importantes.
QS Comment se passe, concrètement, un vol de données ?
PMT Il existe plusieurs méthodes. Certaines passent par l’hameçonnage : l’attaquant envoie un courriel frauduleux à une personne, qui risque alors de lui fournir des informations de nature délicate, comme le mot de passe du réseau de sa compagnie.
D’autres emploient des logiciels intrusifs, conçus pour endommager ou détruire des ordinateurs et des systèmes informatiques, pour recueillir des informations ou encore pour verrouiller le système et le libérer contre une rançon – on parle de rançongiciels.
La plupart exploitent ce qu’on appelle des vulnérabilités, soit des failles dans la structure d’un réseau ou d’un logiciel. Elles vont d’une mauvaise configuration du pare-feu jusqu’à un bogue dans un logiciel ou un système d’exploitation. Elles permettent aux pirates de contourner les systèmes de sécurité d’un réseau.
QS Les risques se sont-ils multipliés ces dernières années ?
PMT Il y a toujours des vulnérabilités qu’un pirate peut exploiter. Certaines sont déjà connues, mais ça peut prendre jusqu’à cinq ans avant que des entreprises ne parviennent à s’en protéger, soit pour des raisons techniques, soit parce qu’elles sous-estiment le risque et négligent de s’en occuper. Beaucoup de rançongiciels ciblent des vulnérabilités vieilles de cinq ou six ans.
D’autres vulnérabilités sont inconnues. Quand un criminel en découvre une nouvelle, ce qu’on appelle une vulnérabilité de jour zéro, pour lui, c’est comme la clé d’un coffre au trésor ! Il peut faire ce qu’il veut, tant que personne ne se rend compte que la vulnérabilité existe et ne parvient à la bloquer.
Les fournisseurs d’infonuagique [stockage de données en ligne] travaillent de façon exemplaire à la cybersécurité. Ce sont plus souvent des utilisateurs qui, par méconnaissance ou manque de temps, omettent les mesures de protection appropriées. Je pense qu’au Québec, les institutions et même le grand public sont assez bien informés sur les risques de fraude ou d’hameçonnage, mais une baisse de vigilance peut toujours survenir.
QS Comment les récents progrès technologiques feront-ils évoluer la cybersécurité ?
PMT Les deux éléments qui induiront les plus grands bouleversements sont l’intelligence artificielle et l’ordinateur quantique. L’intelligence artificielle a déjà changé nos façons de faire, mais c’est encore difficile d’entrevoir l’ampleur de ses effets. L’IA peut servir autant à attaquer une organisation qu’à la protéger. Un duel entre une IA qui attaque une organisation et une autre qui la défend était encore de la science-fiction il y a 5 ans. Aujourd’hui, c’est une réalité, bien que je doute qu’on en arrive à un mode de fonctionnement 100 % automatisé, sans intervention humaine.
Quant au futur ordinateur quantique, on se prépare à son arrivée. Ce jour-là, nos algorithmes actuels de chiffrement, qu’on appelle infrastructures à clé publique et chiffrement asymétrique, devront être revus. Décoder des messages cryptés par ces méthodes prendrait des milliards d’années à des ordinateurs classiques, mais cela ne demanderait que quelques heures à quelques jours à un ordinateur quantique. En fait, si quelqu’un enregistre aujourd’hui un échange crypté et le conserve, il pourra le décoder dans plusieurs années avec un ordinateur quantique.
On doit donc migrer vers ce qu’on appelle la cryptographie post-quantique. Le gouvernement américain y travaille et s’attend à ce que les équipements réseau traditionnels, tels que les réseaux privés virtuels et les routeurs, adoptent les nouvelles normes d’ici 2030, et que les navigateurs Web, les serveurs et les services d’infonuagique fassent le changement d’ici 2033.
QS Comment vos travaux et ceux de vos collègues peuvent-ils aider à relever ces défis ?
PMT On travaille sur beaucoup d’éléments, mais j’en trouve trois particulièrement importants. Le premier, c’est que ce qu’on appelle la cryptoagilité, qui est justement en lien avec la migration vers de nouvelles méthodes de chiffrement. On veut éviter le gaspillage d’efforts et d’investissements et faire en sorte qu’une migration de cryptographie exige le moins de ressources possible pour nos systèmes. C’est pour ça qu’on parle d’agilité, et on fait partie des quelques centres dans le monde qui travaillent là-dessus.
Le deuxième point concerne le recours à l’IA pour détecter les vulnérabilités de jour zéro. Présentement, quand on détecte une anomalie dans un système, c’est très difficile pour nous de bien comprendre ce qui se passe. Mais tous les ordinateurs gardent aussi des journaux de données, ou logs. Pour chaque action, un journal note : « X s’est connecté à telle heure, a fait telle action, a copié des fichiers, démarré un enregistrement », etc.
Notre but, c’est de compiler tous les journaux de tous les systèmes d’une organisation, les centraliser et demander à l’IA d’examiner cette incroyable quantité de données. Les algorithmes peuvent faire des corrélations, repérer ce qui a l’air normal et cohérent, par opposition à ce qui ne l’est pas.
QS Et quel est le dernier point ?
PMT C’est la gestion de la confiance entre deux éléments. Pour prendre le contrôle d’un ordinateur ou d’un appareil électronique, un pirate peut envoyer une fausse mise à jour, qui imite celle du fabricant. On aimerait que l’appareil en question soit capable d’attribuer un niveau de confiance aux éléments qu’il reçoit, et aussi de refuser les éléments louches en attendant la réaction de l’administrateur du système. On appelle ça la gestion de la confiance. Il nous faut un Internet des objets ayant un certain niveau de confiance, qui puisse en quelque sorte être autonome au plan de la sécurité.
QS Que peuvent faire les gouvernements et les citoyens ?
PMT Le Canada commence à rattraper son retard face aux États-Unis et à l’Europe. Cela s’est fait par les différents ordres de gouvernement, avec toute une panoplie d’actions coordonnées décrites par le Plan d’action national en matière de cybersécurité canadien [2019-2024]. Il inclut les nouvelles mesures de surveillance des menaces, d’améliorations technologiques et de lutte directe contre la cybercriminalité… Un ministère de la Cybersécurité et du Numérique a aussi été créé au provincial, et les municipalités ont lancé de nombreuses initiatives, notamment un mouvement vers les villes intelligentes.
Le gouvernement provincial a par ailleurs mis en place la loi 25 [Loi modernisant des dispositions législatives en matière de protection des renseignements personnels], ce qui a permis de mettre à jour un ensemble de lois sur la protection des renseignements personnels. Ces changements visent à responsabiliser la gestion des renseignements personnels pour l’ensemble des organisations publiques, les organismes à but non lucratif et les entreprises privées. Cela offre aux citoyens une perspective plus transparente sur la gestion de leurs renseignements personnels, notamment en forçant un consentement préalable et explicite, ainsi qu’en donnant un pouvoir de rectification. Je pense donc qu’à date, on a agi intelligemment, que le gouvernement gère bien la cybersécurité.
Quant à nous, nous avons évolué dans notre interconnectivité, mais pas dans nos comportements liés à notre sécurité. Je pense que nous devons prendre individuellement un temps de réflexion face à ça. Et toujours nous demander si la source d’information avec laquelle nous interagissons est crédible.
