Par Serge Oligny
Chacune des 146 élections tenues à travers le monde au cours des 2 dernières années a fait l’objet de campagnes de désinformation provenant de l’étranger et diffusées dans le cyberespace. Le Canada ne fait pas exception, les tentatives d’ingérence chinoise lors des derniers scrutins fédéraux font l’objet d’une enquête.
La Chine n’est toutefois pas le seul pays à s’attaquer aux institutions canadiennes. Les Russes sont également très actifs et visent non seulement les institutions gouvernementales, mais aussi des entreprises privées. Bienvenue dans la « cyberguerre », l’univers des attaques téléguidées ne nécessitant aucune troupe sur le terrain, aucun explosif, et qui font peu de morts. Mais qui peuvent néanmoins causer des dommages considérables.
Montréal, mai 2022. L’entreprise Top Aces est victime d’une attaque de rançongiciel de la part d’un groupe russophone. Les pirates « capturent » alors 44 giga-octets de données de l’entreprise et les cryptent, les rendant ainsi illisibles. Ils accordent 5 jours à Top Aces pour payer une rançon lui permettant de récupérer ses informations. Sans quoi, elles seront rendues publiques.
Top Aces a été fondée en 2000 par 3 anciens pilotes de chasse de l’armée canadienne. Basée à Montréal, elle emploie près de 300 personnes et détient une flotte de 75 avions de chasse usagés. L’entreprise offre des services militaires, notamment des entraînements et des exercices réels pour les pilotes de chasse. Parmi ses clients, elle compte l’armée canadienne, celle de l’Allemagne et celle de l’Australie, tous des pays de l’OTAN.
Très peu d’information supplémentaire a filtré dans les médias sur les suites de cette attaque, notamment si Top Aces a payé ou non la rançon demandée, dont le montant n’a jamais été divulgué. L’entreprise a refusé nos demandes d’entrevues pour cet article.
Chercher les clés
Alexis Rapin, chercheur en résidence à l’observatoire sur les conflits multidimensionnels de la Chaire Raoul-Dandurand de l’UQAM, compile des « cyber incidents » visant des cibles canadiennes, survenus depuis une douzaine d’années. On en dénombrait 5 à 6 annuellement, en 2011. On en prévoyait plus d’une quinzaine en 2023. « On note une accélération depuis 3 ans », dit Rapin. Est-ce parce qu’il y a effectivement une augmentation du nombre d’agressions ou simplement parce que le phénomène est plus connu? « On a des raisons de croire que le phénomène est bel et bien en hausse », répond-il.
Il admet que ses données sous-estiment la réalité, car les victimes de cyberattaques n’ont aucune obligation légale de signaler ces événements. Elles évitent généralement d’ébruiter l’affaire afin de ne pas nuire à leur réputation. Les seules données disponibles sont donc les cas qui font la manchette et dont on parle publiquement. De son propre aveu, Alexis Rapin se retrouve un peu à « chercher les clés là où le lampadaire nous éclaire », c’est-à-dire de travailler avec des données incomplètes qui ne permettent pas de mesurer l’ampleur réelle du phénomène.
Michel Juneau Katsuya, ancien cadre et agent de renseignements sénior du Service canadien du Renseignement de Sécurité (SCRS) estime, lui, que « les attaques contre des organisations canadiennes publiques et privées, partout au pays, sont nombreuses et quotidiennes ». Elles se comptent par centaines chaque année.
Les attaques contre des organisations canadiennes, publiques et privées, partout au pays, sont nombreuses et quotidiennes […]
– Michel Juneau-Katsuya, ancien cadre et agent de renseignements senior du Service canadien du Renseignement de Sécurité (SCRS)
À l’échelle internationale, des chiffres plus complets sont disponibles sur les cyberattaques étrangères pendant des campagnes électorales. Entre juillet 2021 et le printemps 2023, chacune des 146 élections nationales tenues dans le monde a été la cible de désinformation en ligne visant à influencer le vote. Les récents scrutins canadiens n’y ont pas échappé, comme ceux de nombreux autres pays membres de l’OTAN et de l’OCDE.
Ces données proviennent du Centre de la sécurité des télécommunications du Canada (CST), un des principaux organismes de sécurité et de renseignement au pays, qui a pour mission de protéger les réseaux informatiques et les données stratégiques.
La guerre propre, généralisée
En 1831, le grand stratège militaire prusse Carl von Clausewitz écrivait que « la guerre est la continuation de la diplomatie par d’autres moyens ». Aujourd’hui, les cyberattaques sont un puissant outil qui s’insère entre la diplomatie et la guerre.
Au moins 75 États souverains dans le monde disposent au minimum d’une unité dédiée à la cyberguerre, une forme d’agression qui offre de nombreux avantages. Elle ne nécessite aucune présence sur le sol du pays agressé, ni espions, ni soldats, ce qui réduit les risques de pertes humaines. Elle est beaucoup moins coûteuse à déployer qu’une guerre traditionnelle. Bien qu’elle cause moins de dommages matériels qu’une bombe, elle peut avoir des effets tout aussi destructeurs.
Les États hostiles à l’Occident ne sont pas les seuls à recourir aux cyberattaques. Les États-Unis auraient même été les pionniers dans le domaine.
Au cours de l’automne 2010, un étrange phénomène s’est produit au complexe d’enrichissement d’uranium de Natanz, au centre de l’Iran. Sans raison apparente, 1000 des 5000 centrifugeuses qui enrichissent l’uranium se sont subitement mises à tourner si vite qu’elles ont volé en éclats. Au grand dam des ingénieurs présents sur place qui ne comprenaient pas pourquoi les centrifugeuses s’emballaient ainsi, sans raison, et sans moyens de les arrêter.
Le complexe venait d’être victime de l’opération « Olympic Games ». Cet épisode peu connu a été révélé en 2012 par le New York Times, sous la plume de David E. Sanger. Selon le journaliste, il s’agirait de la 1ère fois que les États-Unis auraient utilisé des armes virtuelles pour endommager les infrastructures d’un autre pays. Le but de cette attaque était de ralentir le progrès de l’Iran dans le développement de l’arme atomique.
Le mécanisme de cette attaque américaine est un virus informatique nommé « Stuxnet », programmé sur mesure pour l’occasion. La conception de ce virus débute en 2006, sous l’administration de George W. Bush, au sein du fameux U.S. Strategic Command, l’unité militaire responsable des armes nucléaires aux États-Unis. L’équipe est assistée dans cette tâche par « l’unité 8200 » de l’armée israélienne, une équipe experte et respectée pour sa maîtrise de ce type de programmation. Le U.S. Cyber Command prendra le relais en 2009 et mènera toute l’opération à un succès.
Quant au Canada, bien qu’il dispose d’une unité de cyberguerre, il n’aurait jamais mené d’opérations offensive, selon les experts consultés pour cet article. Cette entité se contenterait de jouer un rôle défensif, le Canada souhaitant rester cohérent avec sa politique étrangère, basée sur « la résolution pacifique des conflits ».
La cyberattaque […] offre au pays agresseur le déni plausible.
– Alexis Rapin, chercheur en résidence, Chaire Raoul-Dandurand en études stratégiques et diplomatiques, Université du Québec à Montréal
Le principal avantage des cyberattaques, c’est qu’elles offrent le « déni plausible » à leurs auteurs, lorsqu’ils préfèrent rester anonymes et ne pas « signer » leur geste. Selon le CST, c’est le cas dans 85% des attaques visant des cibles canadiennes, dont on ne connaît pas clairement l’origine « politique ». Car les États agresseurs peuvent choisir de sous-traiter la tâche à des cyber criminels qui savent laisser le moins de traces possibles. Ainsi, si une cyberattaque est inopinément détectée, les mercenaires du cyberespace serviront de paravents aux leaders politiques les ayant commandités. Ces derniers pourront toujours plaider : « Ce n’est pas nous, sinon, prouvez-le! »
Ce mariage de raison entre le monde politique et le monde criminel a de quoi inquiéter. Les cybercriminels fournissent l’expertise pour mener les attaques, et des États leur offrent des moyens techniques et financiers considérables pour mener à bienleurs opérations.
Parmi les cyberattaques « revendiquées », visant des cibles canadiennes, la Chine et la Russie arrivent en tête, à peu près à parts égales, selon les chiffres compilés par Alexis Rapin. Depuis 2011, on dénombre 31 agressions provenant des premiers, 29 des seconds. « Sans en faire une exclusivité, constate-t-il, chaque État a des intérêts stratégiques différents ». Michel Juneau-Katsuya confirme : « La Chine se spécialise dans l’espionnage industriel. La Russie utilise plutôt les cyberattaques pour saper la confiance des citoyens dans les institutions politiques de leur pays, ou en guise de représailles. »
La Chine à la recherche du savoir-faire
La Chine pratique d’abord une forme d’espionnage industriel, de vol de propriété intellectuelle, visant essentiellement des centres de recherche et développement au Canada. Mais elle en cible aussi aux États-Unis et partout où on détient un savoir-faire pouvant servir les intérêts économiques chinois.
Les moyens utilisés ne sont toutefois pas toujours aussi sophistiqués que des attaques informatiques. Michel Juneau-Katsuya témoigne d’un professeur d’ingénierie d’une université québécoise qui, un soir, quitte son bureau, puis y retourne après quelques minutes pour récupérer un document oublié. Il surprend alors un de ses étudiants d’origine chinoise qui avait étalé plusieurs de ses documents de recherche sur un bureau et les prenaient en photo. L’université a discrètement demandé à l’étudiant de quitter l’établissement, mais on lui a laissé son appareil photo. On a tu l’affaire par crainte que la mauvaise publicité fasse perdre la manne d’argent qu’amènent les étudiants étrangers dans cette institution. « Un exemple parmi tant d’autres », ajoute-t-il.
La Chine présente un intérêt particulier pour les secteurs de l’aérospatiale, des hydrocarbures et des mines, surtout en cette époque où la demande mondiale pour les terres rares est en forte croissance.
En juin 2022, selon un rapport de la firme américaine Mandiant — une filiale de Google, spécialisée en cybersécurité —, une agression virtuelle provenant de Chine a été mise au jour. Elle visait 3 grandes minières, une australienne, une américaine et une canadienne : Appia Rare Earth & Uranium Corporation, dont les bureaux sont à Toronto. Dans ce cas, l’opération chinoise visait à discréditer l’entreprise canadienne qui venait d’annoncer la découverte d’un nouveau gisement important dans le grand bassin de l’Athabasca, en Saskatchewan. Les terres rares qui s’y trouvent contiennent plusieurs des minéraux les plus recherchés au monde — tels que le gallium, le terbium ou le neodynium —, notamment pour la fabrication des puces électroniques et d’énergies vertes. L’exploitation du nouveau gisement canadien pourrait menacer la domination mondiale de la Chine dans ce secteur.
La stratégie chinoise passait d’abord par les réseaux sociaux. Des milliers de faux comptes Facebook et Twitter, censés représenter des résidents vivant à proximité du nouveau gisement, ont été utilisés pour critiquer le projet et mettre en cause ses retombées environnementales. L’entreprise ciblée est tout de même allée de l’avant, malgré l’interférence chinoise.
Cette stratégie consistant à inonder les réseaux sociaux de faux comptes pour tenter d’influencer l’opinion publique, la Chine semble l’avoir transposée en politique canadienne. Le Globe and Mail révélait, en février 2023, que Pékin aurait lancé une ou plusieurs cyber opérations avec l’objectif stratégique de favoriser l’élection d’un gouvernement libéral minoritaire, et la défaite de plusieurs candidats conservateurs hostiles à la Chine, lors des scrutins fédéraux de 2019 et 2021.
Le député conservateur Michael Chong, déconsidéré par Pékin, dit en avoir fait les frais encore récemment. En mai 2023, il aurait été la cible d’une cyber opération d’influence visant à le discréditer sur la plateforme WeChat. On y aurait diffusé de façon coordonnée de nombreux contenus fallacieux à son sujet, sous de faux profils d’utilisateurs. On mentait sur ses antécédents, ses positions politiques, son héritage familial… Bien qu’il n’existe pas de preuve irréfutable à ce jour, Affaires mondiales Canada affirme qu’il est « hautement probable » que la Chine soit impliquée dans cette opération visant le député.
Cette accumulation d’allégations d’ingérence chinoise en politique canadienne est à l’origine de la Commission d’enquête fédérale finalement déclenchée par le gouvernement de Justin Trudeau, au cours de l’automne 2023. La Commission doit évaluer l’ingérence de la Chine, de la Russie et d’autres acteurs, étatiques ou non, lors des deux dernières élections fédérales. Elle tiendra ses premières audiences, présidées par la juge Marie-Josée Hogue, au début de 2024.
Dans les milieux de la sécurité, on se désole toutefois que le mandat de la Commission Hogue ne couvre pas les cas d’espionnage industriel ou de cyberattaques visant des cibles canadiennes non politiques. Selon Michel Juneau-Katsuya, « l’économie canadienne perdrait entre 100 et 120 milliards de dollars par an en vols de propriété intellectuelle, en parts de marché et en contrats potentiels » Un montant substantiel qui représente environ 4.5% du produit intérieur brut (PIB).
L’économie canadienne perdrait entre 100 et 120 milliards de dollars par an aux chapitres combiné de la propriété intellectuelle, en parts de marché et en contrats potentiels dus à une faible culture de la sécurité […]
– Michel Juneau-Katsuya, ancien cadre et agent de renseignements senior du Service canadien du Renseignement de Sécurité (SCRS)
Il estime que le Canada a une faible « culture » de la sécurité, qu’il est mal outillé pour faire face aux cyberattaques et aux tentatives d’ingérence chinoise. « Imaginons que les grains de sable sur une plage sont l’information à récolter, dit-il. Un service de renseignement occidental va envoyer discrètement un espion seul, la nuit, muni d’une pelle et d’un seau, qu’il va tenter de remplir au maximum, avant le lever du jour. Le service de renseignement chinois, lui, va envoyer 2000 personnes en pleine journée, se baigner, s’amuser et s’étendre sur la plage. Le soir venu, tous ces gens vont secouer leur serviette au même endroit et le service chinois va ainsi récolter plus d’informations que l’espion occidental, seul avec sa pelle, en pleine nuit », résume-t-il.
La Russie cible les complotistes
La Russie de Vladimir Poutine s’intéresse peu aux secrets industriels. Elle utilise plutôt les cyberattaques de 2 façons.
D’abord comme une arme de représailles politiques décomplexée, lorsqu’une décision du gouvernement canadien déplaît au Kremlin. En avril 2023, pendant six jours, des opérations de cyberintimidation ont ciblé le site Web du Sénat canadien et celui du premier ministre Trudeau. On les a inondés en rafale de fausses demandes, au point où chaque site est devenu inopérant et n’était plus en mesure de répondre aux demandes légitimes des véritables citoyens canadiens. Lors de cette attaque, les cibles n’étaient pas que politiques : les sites d’Hydro-Québec, de la Banque TD, du Canadien Pacifique et de la firme Husky Energy ont également été visés. Sans surprise, cette opération est survenue après la livraison d’armes à l’Ukraine par le Canada, et l’annonce de la visite ultérieure du président Volodymyr Zelensky au pays. La signature russe, dans le cas de cette agression virtuelle, en avril, laisse peu de doutes.
Mais la Russie ne se contente pas d’administrer des coups de poing virtuels au Canada, au gré des décisions politiques. Elle mène discrètement une campagne beaucoup plus insidieuse qui vise à miner la confiance des citoyens de pays démocratiques envers leurs politiciens et leurs institutions.
« Pour bien comprendre, explique Alexis Rapin, il faut partir de l’hypothèse que la Russie poursuit depuis quelques années une grande stratégie nationale visant à nuire à l’ordre international libéral, dont les États-Unis sont le leader. Comme la Russie n’est jamais parvenue, ou ne désire simplement pas intégrer ou profiter de cet ordre mondial libéral, elle a choisi de l’éroder. »
La désinformation est l’arme virtuelle privilégiée par le Kremlin dans sa discrète campagne de sape, confirme Michel Juneau-Katsuya. « La Russie préconise l’ingérence étrangère par le biais de fausses nouvelles. On retrouve plusieurs faux sites d’information en provenance de Russie, où de pseudo-blogueurs opérent sous de fausses identités. Cette campagne vise particulièrement les conspirationnistes, les groupes d’extrême droite et les simples citoyens insatisfaits du gouvernement actuel. Le but est de créer la zizanie au Canada. Les Russes font la même chose aux États-Unis, en Angleterre, en France, en Allemagne […]. »
Dans son rapport de décembre 2023, le CST confirme la stratégie russe visant à miner la confiance des Canadiens et des citoyens de plusieurs pays de l’OCDE envers leurs institutions. L’émeute du 6 janvier 2021, au Capitole, à Washington, est une illustration éloquente des effets possibles d’une telle campagne, souligne le document.
Alexis Rapin en tire une inquiétante conclusion : « La Russie est probablement l’État qui pose le plus grand danger pour le Canada.
Le Canada et le Québec en rattrapage
Le CST, principal acteur en matière de cyberscurité au Canada, souffre d’une pénurie de main-d’œuvre, de difficultés de recrutement et de rétention de son personnel dans un secteur hautement concurrentiel. Par exemple, le taux de placement des finissants en cybersécurité du Cégep de l’Outaouais est de 99,9%, selon Guillaume St-George, professeur dans ce programme. « On n’arrive plus à répondre à la demande », dit-il.
Le Québec fait tout de même figure de pionnier en étant la première province canadienne à s’être dotée d’un ministère de la Cybersécurité et du Numérique, depuis le 1er janvier 2022. Michel Juneau-Katsuya salue l’initiative québécoise, mais prône une meilleure collaboration avec le fédéral : « Le premier ministre Legault a décliné, sans expliquer pourquoi, l’offre de Justin Trudeau. Il lui proposait, comme à tous les premiers ministres provinciaux, d’obtenir une cote de sécurité donnant accès aux breffages périodiques du SCRS sur la sécurité nationale. À ce jour, seule la Colombie-Britannique a accepté la main tendue par Ottawa dans ce dossier », déplore-t-il.
Mais au-delà de la collaboration entre les gouvernements, il y a encore beaucoup à faire au Québec pour sensibiliser les entreprises et organismes privés et publics, à la vulnérabilité de leurs infrastructures en matière de cybersécurité, selon Steve Waterhouse, ancien sous-ministre adjoint au ministère de la Cybersécurité et du numérique du gouvernement du Québec. Près de la moitié des entreprises québécoises, surtout les PME, ne seraient pas suffisamment outillées pour affronter les défis de sécurité du numérique. C’est ce qu’indique le Baromètre industriel québécois, un réseau d’entreprises manufacturières québécoises fondé en 1987, avec pour mission d’améliorer la compétitivité de ses membres. Plusieurs de ces entreprises sont des cibles potentielles de choix pour des cyberattaques. Ni le CST, ni le bureau du ministre de la Cybersécurité et du Numérique n’ont donné suite à nos demandes d’entrevues pour cet article.
En attendant une meilleure collaboration avec les provinces, Ottawa avance de son côté. Parrainé par le ministère de la Sécurité publique, le gouvernement Trudeau a déposé, en novembre 2021, le projet de loi C-26, qui vise à mieux protéger les infrastructures publiques et privées du pays contre les cyberagressions diverses.
La grande nouveauté de C-26 est de rendre obligatoire la déclaration de tous les cyberincidents visant les « systèmes essentiels » dans des secteurs névralgiques du pays comme l’énergie, les transports, les services financiers ou les télécommunications. Le CST disposerait alors de données plus complètes afin d’agir en amont des agressions virtuelles, notamment par la prévention.
[…] il incombe à tout exploitant désigné de déclarer sans délai tout incident de cybersécurité concernant l’un de ses cyber systèmes essentiels au Centre de la sécurité des télécommunications […].
– Extrait de l’actuel projet de loi C-26
C-26 a franchi l’étape de la 2e lecture, aux Communes, le 27 mars 2023. Le projet de loi est présentement à l’étude par le Comité permanent de la sécurité publique et nationale à Ottawa. Avant d’entrer en vigueur, il doit être adopté par les députés en troisième lecture, puis par les sénateurs, avant d’obtenir la sanction royale.
Même adoptée, la future loi canadienne ne mettra pas fin pour autant aux nombreuses cyberattaques qui, elles, s’inspireront de plus en plus de la logique guerrière. Jusqu’au jour où les agressions seront à la fois réelles et virtuelles. C’est ce que croient Alexis Rapin, de même que Michel Juneau-Katsuya qui évoque même une scénario potentiel : « Le prochain 11 septembre pourrait intégrer des éléments virtuels en ouverture d’une attaque plus traditionnelle, dans le but de créer une diversion. Une stratégie militaire bien connue », soutient l’ancien cadre du SCRS. Il vaut sans doute mieux s’y préparer.
