Les systèmes informatiques sont paralysés. Des inconnus exigent le paiement d’une rançon avant de vous redonner accès à vos données. Comme si ce n’était pas suffisant, ils menacent de les diffuser publiquement. Comble de malheur, un journaliste vous appelle. Il a vu cette cyber attaque annoncée sur le site du groupe responsable. Il a des questions à vous poser…
Couvrir les brèches de sécurité soulève des questions éthiques. Pourquoi en parler? Ces reportages sont-ils d’intérêt public? Voulant explorer ces questions, je me suis entretenu par courriel avec Dissent Doe, Phd, pseudonyme de la personne derrière le site de nouvelles databreaches.net.
Dissent est une professionnelle du milieu de la santé. Elle s’intéresse aux brèches qui impliquent des données de nature médicale, ainsi que celles qui affectent les établissements d’enseignement. Son travail ne fait pas l’unanimité. Au début du mois d’avril, le site a fait l’objet d’une attaque de déni de service. Des personnes mal intentionnées l’ont bombardé de requêtes bidon pour le rendre inaccessible. Cette hostilité elle me l’a exprimée à la blague dans sa réponse initiale à ma demande d’entrevue, « tellement de gens me détestent déjà. Maintenant, il y en aura encore plus. Lol. »
« J’ai passé des années à plaider pour des enfants ayant des besoins particuliers », m’écrit-elle pour expliquer pourquoi elle trouve ce travail important. Elle a réalisé que si l’on voulait avoir les ressources nécessaires pour aider ces enfants, il fallait montrer que ce qui est considéré être un problème rare, ne l’est pas du tout. C’est grâce à l’éducation et la sensibilisation que les écoles se sont mises à offrir plus de formations sur les difficultés d’apprentissage et plus de support pour les enfants. Elle applique ce même raisonnement aux brèches de sécurité. Faire connaître les fuites de données sert à sensibiliser les organisations à l’importance de sécuriser leurs infrastructures.
Dissent tente de rejoindre l’entreprise avant de dévoiler une brèche sur son site. Elle veut savoir si l’organisation est au courant et tente d’avoir un commentaire sur les mesures prises suite à cette fuite. Elle attend habituellement que les données soient sécurisées ou que la faille de sécurité soit colmatée avant de publier un article.
Il y a parfois des exceptions. Dissent évoque comme exemples le fait de publiciser une fuite de données qui nuirait à la défense nationale ou mettrait des vies en danger. Elle dit avoir récemment décidé de ne pas rapporter une nouvelle, car la brèche de sécurité contenait des données personnelles d’enfants abusés. « J’étais tellement horrifiée par cette brèche-là, que j’ai envoyé un courriel au groupe criminel pour leur demander de considérer d’enlever ces informations de leur site public. Ils ne m’ont pas répondu, mais moralement, je considérais que je devais au moins essayer. Cela me brise le cœur de penser que les histoires et données de ces enfants vont possiblement circuler éternellement sur le web ou le “dark web” pour les hanter toute leur vie ».
Jean-Philippe Racine, président du Groupe CyberSwat, une entreprise québécoise spécialisée en cybersécurité, considère que les médias ont leur rôle à jouer. Pandémie oblige, nous nous sommes parlé par Zoom. Selon lui, il faut d’abord se questionner sur l’intérêt public d’une nouvelle et les journalistes sont les mieux placés pour le déterminer. Il évoque toutefois le danger de dévoiler une brèche alors qu’elle est encore en cours. « Ce n’est pas pour cacher l’information à la population, mais pour éviter que d’autres joueurs malfaisants en profitent. »
Au début du mois de mars, le groupe REvil (alias Sodinokibi) a annoncé qu’il allait appeler des journalistes lorsque les victimes refusent de payer. J’ai demandé à Dissent si elle pensait que les journalistes aident les rançonneurs en exposant les fuites de données. Sa réponse est sans équivoque. Non. C’est pourtant une accusation qu’elle dit avoir entendue à plusieurs reprises. « Si mes reportages mettent de la pression sur les victimes, elle met de la pression pour que les personnes affectées soient mises au courant et pour encourager la transparence ». Elle considère que ces entités se doivent d’avoir fait une analyse du risque et d’avoir élaboré un plan en cas d’incident. Le fait de payer ou non, et dans quelles circonstances, est une décision qui devrait avoir été considérée avant la brèche et avant le reportage d’une ou d’un journaliste.
Pour M. Racine, dont l’entreprise offre un service de gestion d’incident de sécurité, déterminer un plan à l’avance est primordial. « S’il n’y avait pas de plan de gestion, l’entreprise va peut-être improviser ». Ce n’est malheureusement pas encore une pratique dans la majorité des organisations. « Ce que je perçois dans le marché c’est qu’il y a plus d’organisations qui n’ont pas de plan ».
Une fois dans leurs griffes, les groupes de rançonneurs ne laissent pas le loisir aux victimes de réfléchir calmement. « La réalité », m’écrit Dissent, « c’est que les organisations doivent prendre une décision rapidement. Les acteurs malicieux commencent souvent à exposer des documents volés quelques jours seulement après la demande de rançon. Elles auraient dû considérer leur réponse à cette tentative d’extorsion lorsqu’ils discutaient calmement de leur plan avant de se trouver dans la proverbiale crotte ». « Le fait que REvil va appeler des journalistes ne prouve pas que nous les aidons ». Elle considère avoir l’obligation d’informer le public. Cela permet d’alerter les gens afin de leur permettre de prendre les précautions nécessaires pour se protéger.
Depuis la fuite de données chez Desjardins, M. Racine perçoit que les entreprises ressentent la pression et se posent la question du dévoilement public ou non des incidents. Il n’est actuellement pas obligatoire pour une entreprise de dévoiler le fait d’avoir été victime d’une brèche de sécurité. Cette situation va changer avec l’adoption prochaine du projet de loi 64 par le gouvernement du Québec. « Même si une organisation n’est pas obligée, elle pourrait être motivée dans un but de transparence. Elle pourrait aussi être motivée d’informer les gens pour qu’ils puissent prendre action rapidement ».
Pour l’entrepreneur en cybersécurité, il n’y a pas de ligne directrice applicable dans toutes les situations. La décision de parler aux médias ou de sortir publiquement va dépendre du contexte. Il rappelle l’importance de l’analyse par une équipe technique afin de savoir si les malfaiteurs ont bel et bien exfiltré des données. Même lorsque les pirates publient des documents, il faut effectuer un travail de vérification. « Dans un plan de gestion d’incident, il est important de savoir qui sont les joueurs ». Il y aura les intervenants techniques, mais aussi les personnes attitrées aux communications et les avocats. M. Racine insiste pour dire que le plus important est de miser sur la prévention et de mettre en place les mesures pour empêcher ce type d’incident.
Dissent décrit son travail comme la campagne d’une femme pour amener les organisations à répondre aux incidents de rançongiciel en notifiant plus rapidement les gens quand leurs données sont coulées. « Je veux que les gens soient avertis rapidement, pas dans 60 jours, afin qu’ils puissent prendre les mesures pour se protéger. Parce que la plupart des organisations ne notifient pas rapidement, je fais des reportages sur mon site. Ces organisations n’agissent pas de manière illégale lorsqu’elles n’avertissent pas immédiatement leur clientèle, mais je veux les voir agir plus rapidement. Alors, est-ce que mon travail fait une différence? Je pense que oui. »