Un organisme de surveillance presse la société civile de se mettre à niveau en matière de cybersécurité

Image

Rafal Rohozinski (à gauche) et Nart Villeneuve ont aidé à débusquer le présumé réseau de cyberespionnage surnommé GhostNet.

Kelly Haggart
Un organisme canadien de surveillance d’Internet, qui a récemment aidé à mettre au jour un vaste réseau présumé de cyberespionnage, presse les organismes voués au développement international de devenir beaucoup plus solides en matière de sécurité de l’information.
À LIRE ÉGALEMENT

À la défense de l’accès à Internet
Au moment où les États s’ingèrent dans la gouvernance d’Internet partout dans le monde, le CRDI appuie une nouvelle initiative d’envergure sur les répercussions de la censure d’Internet en Asie.

Certains États ont de plus en plus recours à des attaques visant à bloquer l’accès à des sites Web et interrompre le fonctionnement des réseaux de téléphonie mobile afin de perturber le travail de la société civile au moment où sa participation pourrait jouer un rôle décisif dans les processus politiques ou sociaux, a déclaré Rafal Rohozinski lors d’une rencontre publique au Centre de recherches pour le développement international (CRDI).

Des groupes bien intentionnés qui travaillent dans les pays en développement risquent aussi de mettre en danger les personnes et les collectivités qu’ils tentent d’aider s’ils n’actualisent pas leurs connaissances en matière de sécurité de l’information en cette ère numérique, dit-il.

Fondateur du groupe de réflexion SecDev Group d’Ottawa, M. Rohozinski collabore avec une équipe de cyberdétectives terrée dans le Citizen Lab, au sous-sol du Munk Centre for International Studies de l’Université de Toronto. Durant 10 mois, les chercheurs ont suivi les activités d’un réseau d’espionnage électronique qu’ils ont surnommé GhostNet, avant de le débusquer en mars 2009.

Les membres clés de l’équipe sont notamment Ron Deibert, directeur du Citizen Lab, Nart Villeneuve, titulaire de la bourse de recherche Psiphon au Citizen Lab, ainsi que Greg Walton, du SecDev Group, qui a effectué des essais sur place en Inde. (Ces personnes collaborent aussi dans le cadre de l’OpenNet Initiative Asia, un projet financé par le CRDI qui aide à mettre en place un réseau régional de spécialistes de la censure d’Internet et de la cybersurveillance.) 

 
Ron Deibert, directeur du Citizen Lab

Des cibles de haut niveau

Au moment où les chercheurs ont révélé l’existence de GhostNet, l’opération secrète de collecte de renseignements avait infecté près de 1 300 ordinateurs, dans 103 pays. Le réseau a exercé ses activités durant près de deux ans avant de fermer abruptement, deux jours après que le New York Times eut révélé son existence, le 29 mars 2009.

Près du tiers des ordinateurs touchés étaient des cibles de haut niveau, notamment des systèmes de ministères des affaires étrangères, d’ambassades, d’organisations internationales, d’organes de presse et d’ONG. Il s’agissait par exemple des bureaux du dalaï-lama, de l’ambassade de Russie à Beijing, des ministères des Affaires étrangères de l’Iran et de l’Indonésie, du service diplomatique de l’Inde et de la Banque asiatique de développement. Les ordinateurs ont été infiltrés durant 145 jours en moyenne, et certains jusqu’à 660 jours.

Le centre de commandement et de contrôle du réseau semble avoir été situé sur l’île de Hainan, dans le Sud de la Chine, mais les chercheurs se gardent d’attribuer le blâme à quiconque. Ils disent n’avoir pu déterminer avec certitude si GhostNet était une opération gouvernementale ou criminelle, ou encore une entreprise bidouillée par des pirates agissant de façon autonome.

En fin de compte, l’identité des personnes responsables de GhostNet est peut-être moins importante que la signification stratégique de l’ensemble des cibles touchées, écrivent les chercheurs dans leur rapport, Tracking GhostNet: Investigating a Cyber Espionage Network. Cette étude fournit des preuves que la sécurité de l’information est un problème qui exige une attention urgente aux échelons les plus élevés, précisent-ils dans le rapport.

 
Le cyberespionnage, facile et bon marché
 
À première vue, il peut sembler que l’espionnage électronique est réservé au monde interlope et qu’il concerne peu les groupes qui oeuvrent dans le domaine du développement international. Pourtant, la cybersécurité et le cyberespionnage ont de profondes répercussions sur leur travail, affirme M. Rohozinski.

Dans le passé, le « renseignement électromagnétique » cherchait avant tout à intercepter des communications (par télex, télécopieur, téléphone ou courriel) durant leur transmission vers le destinataire. Mais Internet a tout changé. L’information peut maintenant être cueillie à la source avant qu’elle soit envoyée, et le coût pour ce faire — au moyen d’outils rudimentaires accessibles à tous — est minime. Il est maintenant facile et bon marché de prélever de l’information, explique M. Rohozinski, et les ONG sont davantage ciblées qu’elles ne l’étaient il y a 15 ans.

Les groupes qui recueillent des données sur les collectivités vulnérables risquent d’aggraver la situation de ces dernières si cette information est volée, prévient-il. Même des documents en apparence inoffensifs, tels que les listes de participants à des réunions, pourraient acquérir une importance stratégique s’ils tombent entre de mauvaises mains.

Il importe de reconnaître qu’à titre d’ONG, particulièrement celles qui interviennent auprès des collectivités à risque, on recueille de l’information de nature personnelle, qui peut être mise à profit à des fins très différentes — en fait aux antipodes — de celles qui ont motivé leur collecte, fait observer M. Rohozinski.

Il faut faire preuve de discipline dans le choix des renseignements à recueillir et dans la façon de les conserver et de les communiquer, précise-t-il. Mais la plupart des ONG et des organismes de recherche s’y connaissent peu en sécurité de l’information; la prise de conscience est épouvantablement minime. Un logiciel commercial grand public ne peut contrer ce type d’attaque.

 
Les gains en matière de développement sont compromis

Internet est en voie de devenir beaucoup plus contrôlé et réglementé, dit M. Rohozinski. Toutefois, les mesures prises par les pays développés pour régler leurs propres problèmes de sécurité numérique pourraient faire dévaler sur les pays en développement « une avalanche de conséquences involontaires » qui risquent de compromettre les gains réalisés en matière de développement grâce aux ordinateurs et à Internet au cours des 15 dernières années, prévient-il.

En qualifiant quelque chose de risque pour la sécurité ici, sans définir exactement ce qu’on veut dire, on ouvre la voie à l’application de cette définition à un éventail beaucoup plus large d’activités dans les pays en développement, dit M. Rohozinski. « Terrorisme » peut justifier l’exclusion de n’importe quel groupe politique; « pornographie » peut comprendre tout ce qui est problématique sur le plan culturel.

Avec le temps, le système judiciaire et des groupes de plaidoyer dynamiques aideront probablement à corriger le tir dans les pays développés, estime-t-il. Mais il est moins certain que cela se produira dans les pays en développement, où l’on ne dispose guère de l’expertise voulue pour s’engager dans un tel dialogue sur le plan des politiques.

M. Rohozinski croit que la constitution de cette expertise dans les pays en développement est désormais une tâche tout aussi importante que l’était la promotion de la propagation des ordinateurs et d’Internet au cours des années 1990.

Un Rat dans le pot de miel
 
Les enquêteurs suivaient GhostNet depuis neuf mois lorsque Nart Villeneuve, titulaire de la bourse de recherche Psiphon au Citizen Lab, a repéré une chaîne de code de 22 caractères qui apparaissait à maintes reprises dans les ordinateurs infectés. Après avoir saisi le code dans Google, il est tombé avec étonnement sur l’un des serveurs de contrôle du réseau d’espionnage, situé en Chine.
 
Cette découverte a mené les chercheurs à trois autres serveurs du GhostNet — deux en Chine et un chez une société d’hébergement Web aux États-Unis. Ils ont surveillé les serveurs de façon virtuelle, observant tout le trafic entrant et sortant, en veillant à ne pas enfreindre les lois sur le respect de la vie privée.
 
M. Villeneuve a ensuite tendu un piège. Un ordinateur « pot de miel », isolé du réseau des chercheurs, allait permettre d’assister de près au fonctionnement de GhostNet. Le ou les attaquants ont mordu à l’appât et ont infecté l’ordinateur leurre en y posant un Rat (Remote Administration Tool), un outil d’administration à distance.
 
Un Rat est un type de logiciel malveillant, ou un maliciel, qui donne à un utilisateur externe la pleine maîtrise d’un ordinateur. Il peut prélever des documents sur l’ordinateur ciblé, allumer et éteindre sa cybercaméra ou encore enregistrer des sons grâce à son micro intégré.
 
Il peut aussi utiliser la boîte de courriel pour envoyer des messages légitimes à partir du compte Outlook à un autre utilisateur légitime, qui ne saura pas qu’il a affaire à un maliciel, explique Rafal Rohozinski, membre de l’équipe de chercheurs qui a enquêté sur GhostNet. Et il peut voler des données. Les chercheurs ont pu voir, en temps réel, un document sensible être sélectionné et téléchargé.

Kelly Haggart est rédactrice principale au CRDI.