Numéro : AL20-020
Date : 28 juillet 2020
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires de cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. L’alerte vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.
RÉSUMÉ
Le Centre pour la cybersécurité a été informé d’une récente exploitation des infrastructures réseau vulnérables du Canada qui serait toujours en cours. Le Centre pour la cybersécurité recommande fortement que les organismes appliquent immédiatement tout correctif aux infrastructures essentielles et mettent en place une authentification multifacteur là où c’est possible.
DÉTAILS
Dans les derniers mois, le Centre pour la cybersécurité a été informé de plusieurs compromissions de réseaux informatiques au Canada à l’intérieur desquelles on s’est servi de versions peu sécurisées de services d’accès à distance (voir les références Note de bas de page 1 et Note de bas de page 2 plus bas). Dans chaque cas, l’auteur de menace a été en mesure de compromettre des infrastructures qui étaient accessibles par Internet parce qu’elles n’avaient pas été sécurisées de manière adéquate à l’aide d’une authentification multifacteur ou parce que des logiciels tournaient sur des serveurs exposés auxquels on n’avait pas appliqué la dernière version des correctifs.
Les activités malveillantes ont été signalées au Centre pour la cybersécurité en juin et en juillet 2020. Les incidents comprenaient des activités de reconnaissances des réseaux ciblés suivies de compromissions de serveurs et de dispositifs d’accès aux réseaux vulnérables qui n’avaient pas été sécurisés de manière adéquate. Dans certains cas, des maliciels ont été installés et des infrastructures pourraient avoir été utilisées pour tenter de compromettre des réseaux différents ou d’autres organismes. Les auteurs de menaces pourraient avoir été actifs sur les réseaux compromis pendant plusieurs mois avant que les activités aient été détectées.
Le Centre pour la cybersécurité a publié plusieurs bulletins de sécurité et des alertes à propos d’importantes vulnérabilités qui pourraient permettre des accès non authentifiés aux services à distance et mener à l’exécution de code à distance, ou à une exploitation plus approfondie de l’infrastructure (voir la référence numéro Note de bas de page 3 plus bas). Il est à noter qu’un système qui n’est pas vulnérable et pour lequel on a limité les privilèges d’accès peut faire l’objet de compromissions s’il est accessible par l’Internet et qu’un auteur de menace obtient des justificatifs d’identité valides.
Le Centre pour la cybersécurité presse les organismes canadiens d’effectuer toutes les mises à jour de sécurité de leurs services accessibles par Internet et d’activer l’authentification multifacteur pour tous les comptes accessibles à distance.
MESURES RECOMMANDÉES
Le Centre pour la cybersécurité recommande aux administrateurs de systèmes :
- d’évaluer la présence de logiciels vulnérables sur leurs réseaux, particulièrement s’ils sont installés sur des dispositifs accessibles par Internet, et d’appliquer les tout derniers correctifs aussitôt que possible;
- de mettre en place une authentification multifacteur pour tous les services d’accès à distance à partir d’Internet, en commençant par les dispositifs de protection du périmètre comme les pare-feu et les passerelles d’accès à distance destinées aux télétravailleurs et aux administrateurs (voir la référence numéro Note de bas de page 4);
- de considérer prendre des mesures pour limiter la quantité d’information sensible que les auteurs malveillants pourraient recueillir à propos des réseaux en :
- utilisant des outils de source ouverte pour identifier sur les réseaux les ports ouverts qui seraient inutiles ou inadéquatement sécurisés;
- mettant en place un système de protection contre les intrusions afin de réduire l’efficacité des activités d’analyses de vulnérabilités des auteurs malveillants;
- configurant les pages d’erreurs des serveurs Web pour qu’elles ne divulguent pas l’information concernant le produit et la version.
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.