Partie I : Les cybermenaces : enjeux et intervenants
Le Comité des parlementaires sur la sécurité nationale et le renseignement — Rapport spécial sur le cadre et les activités du gouvernement pour défendre ses systèmes et ses réseaux contre les cyberattaques

25. En tant que composante fondamentale de l'infrastructure essentielle du Canada, le gouvernement recueille et détient de l'information, et fournit des services qui représentent une grande valeur pour les adversaires du Canada. En cette ère numérique, la quasi-totalité de ce que détient le gouvernement et de ce qu'il en fait est a risque — qu'il s'agisse de renseignements relatifs aux impôts et à l'emploi des Canadiens, de données exclusives et de recherche appartenant à des entreprises, de politiques, d'enquêtes et d'opérations ou de processus numériques qui sous-tendent les nombreux services et avantages dont dépendent les Canadiens. Les réseaux gouvernementaux sont donc indispensables à la sécurité nationale du Canada. Le présent chapitre porte sur les enjeux posés par les cybermenaces qui guettent les systèmes du gouvernement, l'évolution des cybermenaces au fil du temps et les principaux acteurs menaçant le Canada a l'heure actuelle. Il constitue la base du présent examen.

Quels sont les enjeux?

26. Les cyberattaques contre les systèmes du gouvernement menacent l'information qu'il détient ainsi que divers systèmes et processus électroniques nécessaires à son fonctionnement. Cette vulnérabilité étendue peut être décomposée en cinq volets, lesquels seront décrits dans les prochains paragraphes :

  • renseignements personnels des Canadiens;
  • information relative à la propriété, à la propriété intellectuelle et à la recherche appartenant à des entreprises et à des chercheurs canadiens;
  • politiques du gouvernement et processus d'élaboration de politiques;
  • information et opérations relatives à la sécurité et au renseignement;
  • intégrité des systèmes du gouvernement.

Menaces aux renseignements personnels des Canadiens

27. Le gouvernement recueille et gère des quantités considérables de renseignements personnels. Ceux-ci comprennent les noms, les dates de naissance, les adresses, les renseignements liés à l'assurance sociale et aux passeports, les dossiers médicaux, les renseignements liés au vote et d'autres détails personnels. Par exemple :

  • l'Agence du revenu du Canada détient de l'information relative à l'identité des Canadiens, leur revenu, leur emploi, leurs avantages sociaux et leurs imp6ts;
  • Immigration, Réfugiés et Citoyenneté Canada détient de l'information relative à l'identité et au statut des particuliers au pays;
  • l'Agence des services frontaliers du Canada détient des renseignements de nature délicate concernant le Système d'information préalable sur les voyageurs/dossiers du passager, les entrées et sorties, et les données biométriques (empreintes et photographies numériques) pour certaines catégories de voyageurs.

Des criminels pourraient se servir de telles données afin d'usurper l'identité de Canadiens, ouvrir des comptes bancaires, obtenir des emprunts ou des cartes de crédit ou se prévaloir d'avantages ou de remboursements du gouvernement. Note de bas de page 19 Des États étrangers hostiles pourraient avoir recours à ces données pour localiser des Canadiens ou des personnes résidant au Canada. Note de bas de page 20

Menaces à l'information organisationnelle, à la propriété intellectuelle, aux réseaux de recherche et aux activités universitaires

28. Le gouvernement détient des renseignements relatifs aux entreprises canadiennes, à la propriété intellectuelle, aux réseaux de recherche et aux activités universitaires. Par exemple :

  • le Conseil national de recherche détient de l'information liée aux avancées du Canada en matière de technologies et de propriété intellectuelle qui peut s'avérer cruciale à la réussite technique d'entreprises canadiennes et internationales;
  • Défense, Recherche et développement Canada détient de l'information sur la science et les technologies en matière de défense - y compris celle ayant été élaborée ou communiquée aux ministères partenaires et aux alliés de l'industrie, du milieu universitaire et étrangers - utilisée pour appuyer les opérations de défense et de sécurité au pays et a l'étranger;
  • Innovation, Science et développement économique Canada détient de l'information liée aux conditions du Canada relativement aux investissements, à l'innovation et au commerce international.

Le vol de ces données par des acteurs malveillants pourraient nuire à la capacité de concurrence du Canada à l'échelle internationale et à ses intérêts économiques, miner l'innovation et porter atteinte à la sécurité nationale.

Menaces aux politiques ou aux processus d'élaboration des politiques gouvernementales

29. Le gouvernement détient de l'information sur ses politiques ou ses processus d'élaboration des politiques. Au moyen de divers processus d'élaboration de politiques et de prise de décision, le gouvernement génère et obtient de l'information en quantité considérable et souvent de nature très délicate sur des sujets couvrant son travail au pays et a l'étranger, com me les politiques et le commerce étrangers, la défense et la sécurité, les ressources naturelles, l'énergie et les financés. Il en va de même quant aux processus et aux décisions qui peuvent avoir une incidence sur les marchés financiers ou les investissements à l'étranger, notamment la planification budgétaire et la réglementation, ou qui ont trait au système judiciaire du Canada. Par exemple :

  • Affaires mondiales Canada détient de l'information concernant les relations bilatérales et multilatérales du Canada, le commerce international, les dossiers consulaires et les efforts d'assistance en matière de sécurité et de paix;
  • le Secrétariat du Conseil du Trésor du Canada détient de l'information concernant les dépenses du gouvernement, la réglementation et la gestion dans les secteurs touchant les personnes, les financés et les technologies;
  • le ministère des financés détient de l'information relative à l'économie et à la fiscalité, notamment au budget annuel, aux politiques en matière de tarifs et de fiscalité, aux mesures sociales et aux investissements liés à la sécurité;
  • La Cour fédérale détient de l'information sur les délibérations concernant le droit administratif; la citoyenneté, l'immigration et les réfugiés; la propriété intellectuelle; le droit maritime et la sécurité nationale (p. ex. les mandats autorisant certaines activités du Service canadien du renseignement de sécurité).

De tels renseignements sont d'intérêt pour les États étrangers ou les criminels. Leur vol pourrait compromettre les intérêts nationaux du Canada, sa capacité de concurrence à l'international, ses positions de négociation, sa réputation sur la scène internationale ainsi que ses relations internationales. Le vol de documents liés aux processus décisionnels et aux financés pourrait mener au dévoilement de renseignements liés aux plans de dépenses et de programmes du gouvernement, nuire à ses stratégies de négociations à l'étranger ainsi qu'ébranler la confiance dans les marchés canadiens. Quant aux cyberattaques ciblant les processus judiciaires, elles pourraient mener à la divulgation de dossiers et de délibérations de nature délicate, ce qui menacerait l'intégrité du système juridique.

Menaces à l'information et aux opérations liées à la sécurité et au renseignement

30. Les réseaux du gouvernement renferment de l'information liée à la sécurité nationale, au renseignement et aux activités de défense du Canada, y compris les opérations et les enquêtes. Par exemple :

  • Le Service canadien du renseignement de sécurité détient de l'information hautement classifiée, y compris des enquêtes liées à la sécurité nationale visant des États précis et des personnes canadiennes. En outre, dans le cadre du processus de filtrage de sécurité du gouvernement, Il recueille de l'information de nature délicate sur les employés du gouvernement qui requièrent l'accès à de l'information classifiée ou à des installations afférentes;
  • Le ministère de la Défense nationale et les Forces armées canadiennes détiennent de l'information sur les opérations militaires du Canada, ses technologies et son équipement, ses stratégies, son renseignement et ses plans d'approvisionnement.

Le vol d'information sur les opérations militaires pourrait mener au dévoilement de Stratégies, de ciblés, d'opérations et de plans militaires, ce qui risquerait de compromettre la sécurité des troupes canadiennes à l'étranger ainsi que la réussite des opérations militaires. Le vol d'information sur les opérations de sécurité et de renseignement pourrait mener au dévoilement de l'identité de représentants de la sécurité et du renseignement, ce qui compromettrait leur sécurité et les exposerait à l'extorsion et à l'espionnage. La perte de tels renseignements entrainerait possiblement la divulgation des sources et des méthodes utilisées pour recueillir le renseignement, ce qui affaiblirait la capacité du Canada à recueillir des renseignements sur les menaces à la sécurité nationale.

Menaces à l'intégrité des systèmes du gouvernement

31. Enfin, une cyberattaque réussie pourrait compromettre l'intégrité des systèmes du gouvernement. En tant que composante clé de l'infrastructure essentielle du Canada, le gouvernement doit fournir des services ininterrompus. Au sein de nombreux secteurs, il est essentiel de veiller à la continuité des activités du gouvernement. Par exemple :

  • le premier ministre, le Cabinet, les ministres et les parlementaires dépendent des technologies de l'information et des communications électroniques pour mener des activités d'État de nature délicate;
  • Emploi et Développement social Canada, Service Canada et leurs ministères partenaires dépendent des technologies de l'information pour offrir de nombreux avantages aux Canadiens, y compris des régimes de pension, des passeports, une assurance-emploi et une assurance-invalidité pour les vétérans;
  • Services partagés Canada fournit des services centraux et numériques aux organisations gouvernementales afin de permettre la prestation de services et de programmes numériques couvrant une gamme de mandats.

Une cyberattaque entre les systèmes du gouvernement pourrait compromettre la continuité des activités gouvernementales, la prestation de services et l'intégrité de l'information détenue. C'est l'économie et l'aide sociale aux Canadiens qui en subiront les contrecoups.

Quelle est la situation? Le contexte de la cybermenace

32. Le Centre de la sécurité des télécommunications (CST) entend par cybermenace « une activité qui vise à compromettre la sécurité d'un système d'information en altérant la disponibilité, l'intégrité ou la confidentialité d'un système ou de l'information qu'il contient. » On appelle « auteurs de cybermenace » les personnes à l'origine de ces activités. Il s'agit d'États, de groupes ou de personnes malveillants qui cherchent à tirer avantage des vulnérabilités, d'une sensibilisation insuffisante à la cybersécurité et des progrès technologiques pour obtenir un accès non autorisé aux systèmes d'information ou encore porter préjudice aux données, aux appareils, aux systèmes et aux réseaux des victimes. Note de bas de page 21 Le CST a établi six catégories d'auteurs de cybermenaces en fonction de leur motivation principale.

  • États-Nations : Motivés par une gamme d'objectifs stratégiques, politiques, économiques ou liés à la sécurité, les États tentent d'obtenir des avantages dans les sphères économique, politique et militaire.
  • Cybercriminels : Motivés par des récompenses financières réelles ou perdues, les criminels cherchent à s'enrichir en ciblant les vulnérabilités.
  • Hacktivistes : Animés par un idéal activiste, ceux-ci tentent de donner de la visibilité à leur cause de nature politique ou sociale. Note de bas de page 22
  • Groupes terroristes : ils sont guidés par un extrémisme violent fondé sur des croyances religieuses ou politiques et cherchent à recueillir des fonds, à faire du prosélytisme et à organiser des attentats.
  • Amateurs de sensations fortes : Pour leur satisfaction personnelle, les amateurs de sensations fortes tentent de « déjouer » les mesures de cyberdéfense d'une organisation ou d'un gouvernement.
  • Menaces internes : Motivés par leur mécontentement et leur insatisfaction, les auteurs de menaces internes cherchent à se venger d'affronts subis dans le passé ou à profiter de la vente de secrets. Note de bas de page 23

33. Les auteurs de cybermenaces n'ont pas tous les mêmes capacités et le même degré de perfectionnement. C'est l'accès aux ressources techniques et financières et à une formation qui les différencie principalement. Les auteurs ayant atteint un perfectionnement et des compétences du plus haut niveau représentent des cybermenaces persistantes avancées. Pour parvenir à leurs fins stratégiques, ils utilisent des techniques avancées afin de mener des campagnes prolongées et complexes. Les États-Nations sont généralement les auteurs de cybermenaces les plus perfectionnés, en raison de leurs ressources d'état étendues, de leurs technologies avancées ( et souvent hautement classifiées ), d'une planification et d'une organisation exhaustives, et de la capacité d'agir presque en toute impunité sur le plan judiciaire. A quelques exceptions près, les cybercriminels sont considérés comme des auteurs de cybermenaces modérément perfectionnés, quoiqu'ils puissent parfois avoir recours à une planification rigoureuse, a du soutien et à des moyens techniques de sorte à faire un grand nombre de victimes. Les hacktivistes, les groupes terroristes et les amateurs de sensations fortes se situent habituellement au bas de l'échelle sur le plan du perfectionnement, car ils ont recours à des outils dont le déploiement ne requiert que peu d'habiletés techniques. Les personnes travaillant en tant qu'employé au sein d'une organisation qui leur fait confiance constituent des menaces internes. Leur accès aux réseaux internes (et protégés de surcroît) pourrait mener à des pertes de données considérables ou à des perturbations de systèmes. Note de bas de page 24 Si le Comité reconnaît que le gouvernement se doit de défendre ses systèmes contre toute menace, quel que soit son degré de perfectionnement ou la motivation de son auteur, Il se penche principalement, dans le cadre du présent examen, sur les auteurs de cybermenaces parrainés par l'état en raison de leur haut degré de perfectionnement et de l'ampleur des dommages qu'ils peuvent ainsi causer.

34. L'environnement de cybermenace est l'espace en ligne ou les auteurs de cybermenace mènent leurs activités malveillantes. Note de bas de page 25 Il est constitué de composantes technologiques, y compris d'une connectivité Internet et d'appareils connectés, d'une puissance de traitement et de stockage de données, et des personnes et organisations qui s'en servent, dont les gouvernements, les citoyens, les entreprises, les universités et les industries. Cet environnement de cybermenaces a évolué au fil du temps; les changements les plus remarquables consistent en la croissance exponentielle du nombre d'utilisateurs, de la bande passante, des ordinateurs et d'autres appareils, et une augmentation en parallèle de la création de données personnelles et exclusives. Note de bas de page 26

35. Les ministères et organismes ont accru leur interconnectivité, entre eux et avec des environnements Internet externes, tels que des organisations du secteur privé et des citoyens. Pour que le gouvernement assure la prestation de services aux clients, l'interface entre les réseaux gouvernementaux et les cyberenvironnements externes est essentielle. En fait, elle est au cœur même de sa vision des opérations numériques, ou les programmes et services sont offerts de façon numérique à tous les Canadiens, n'importe quand, n'importe ou et sur n'importe quel appareil. Note de bas de page 27 Les systèmes et les réseaux du gouvernement sont donc exposés à des auteurs de menaces délibérés pouvant mener des cyberactivités malveillantes ciblant le gouvernement; et la cybercompromission d'un ministère peut menacer les autres ministères.

36. Les auteurs de cybermenaces ont recours à diverses méthodes pour attenter aux systèmes d'information. Comme le relève le CST, [traduction] « la structure de l'Internet permet aux auteurs de menaces de se connecter directement à un système d'information partout sur la planète ou de surveiller les communications liées à un système d'information pris pour cible. Note de bas de page 28 . » Par exemple, des auteurs de cybermenaces pourraient:

  • surveiller l'interaction entre deux appareils ou composantes logicielles dans le système d'information, ce qui entraînerait une compromission des données;
  • bloquer la communication entre deux composantes, interrompant la prestation de services essentiels;
  • s'insérer entre deux appareils ou modules communicants et intercepter leurs communications;
  • obtenir un accès aux systèmes du gouvernement en usurpant l'identité d'un utilisateur légitime ou en volant des justificatifs d'identité. Note de bas de page 29

37. L'équilibre entre la cyberdéfense et la cyberattaque est variable. Les ministères utilisent une gamme de navigateurs, de logiciels, d'applications et de matériel informatique, dont l'âge et le perfectionnement varient, qui nécessitent des mises à jour et un entretien constant afin de minimiser leurs vulnérabilités. Les ministères ont aussi mis en œuvre des mesures perfectionnées pour renforcer les mesures de défense. Or, pendant ce temps, la capacité des auteurs de cybermenaces de commettre des cyberattaques s'est accrue. Pour les auteurs de cybermenaces relativement moins perfectionnés, les outils de piratage sont devenus moins coûteux et plus facilement accessibles par l'entremise de fournisseurs de services criminels, ce qui permet à ces premiers d'orchestrer des attaques complexes difficiles à détecter. Note de bas de page 30 Comme Il est décrit ci-après, les auteurs de cybermenaces les plus perfectionnés, notamment la Chine et la Russie, continuent d'adapter leurs moyens pour faire échec aux mesures de défense, et d'autres états, com me***investissent considérablement dans leurs moyens pour faire de même. En somme, les cybermenaces aux réseaux gouvernementaux ainsi que les mesures pour les centrer évoluent rapidement.

Cyber threats to government networks, 2015 to 2020

38. Dans son Rapport annuel 2020, le Comité décrit le paysage contemporain des cyber activités malveillantes menaçant les systèmes gouvernementaux, les fournisseurs de services essentiels, le secteur privé et la population canadienne. Note de bas de page 31 Dans le cadre du présent examen, l'analyse du Comité portera précisément sur les cyberactivités malveillantes qui ont ciblé les systèmes et les réseaux du gouvernement de 2015 à 2020.

39. Le CST emploie deux procédés pour cerner les menaces aux systèmes gouvernementaux. Le programme du renseignement étranger du CST surveille les auteurs de cybermenaces étrangers afin de déterminer leurs techniques et leurs champs d'intérêt (entre autres). L'information est ensuite communiquée au Centre canadien pour la cybersécurité (CCC), situé au sein du CST. Pour sa part, le CCC gère trois types de capteurs de cyberdéfense, qui cherchent des menaces connues et des anomalies dans certains ministères, réseaux et environnements d'infonuagique. Le CCC combine l'information recueillie de ces sources et celle transmise par des partenaires pour créer des indicateurs de compromission qui lui permettront de cerner ces cybermenaces malveillantes. Note de bas de page 32 Suivant l'augmentation du déploiement des capteurs de cyberdéfense au fil du temps, la capacité du CCC à détecter les cyberactivités malveillantes sur les systèmes du gouvernement a également augmenté.

40. La capacité du CCC à parer cette activité s'est aussi accrue. En 2013 (avant la création du CCC), le CST a commencé à mettre en œuvre des mesures de défense dynamique basées sur le réseau, représentant un tournant révolutionnaire dans les moyens défensifs. Le CST, qui était seulement en mesure de cerner les menaces, a pu dès lors les parer proactivement. Pour Créer ces mesures de défense, les menaces nouvellement cernées sont *** mises à jour dans le système de défense dynamique du CST. Les capteurs peuvent ensuite détecter ces menaces et activer automatiquement des mesures d'atténuation. Bien que les auteurs malveillants continuent de cibler le gouvernement, le déploiement de ces mesures de défense dynamique a considérablement miné leur capacité à compromettre les systèmes du gouvernement. Note de bas de page 33 Dans le cadre de comparutions devant le Comité, des représentants du CCC ont affirmé que le volume de cyberincidents a diminué depuis 2015, et que les répercussions de tels incidents sont moins importantes grâce à la capacité d'intervention rapide du CCC en cas de nouvelles attaques et de prévention des types de dommages qui par le passé auraient contraint les ministères ciblés à rebâtir leurs réseaux. Note de bas de page 34 Les représentants ont aussi déclaré qu'au début des années 2010, le CST a constaté des milliers d'incidents par année, dont plusieurs cas d'exfiltration à partir des réseaux du gouvernement du Canada. Ils ont ajouté que [traduction] « [a] présent, si l'on en constate *** par année, Il s'agit d'une mauvaise année, car on est en mesure d'intervenir très rapidement. Note de bas de page 35  » L'évolution et le déploiement des capteurs seront abordés ci-après.

Preuve d'une compromission

41. Plusieurs activités malveillantes indiquent la compromission d'un réseau, notamment : le balisage, l'exploitation à distance, les artefacts de logiciel, le téléchargement de maliciels, l'hameçonnage, l'exploitation basée sur navigateur, l'exfiltration de données, l'accès à distance et le déni de service, décrites ci-dessous. Note de bas de page 36 ***

Balisage

42. Le balisage est une méthode de communication entre un réseau ciblé compromis et l'ordinateur de l'attaquant. L'auteur d'une cybermenace peut déployer une balise par divers moyens, notamment par l'exploitation à distance, l'hameçonnage ou l'exploitation basée sur navigateur. La balise sert à signaler à l'auteur de la cybermenace que son attaque a réussi et que l'outil implanté est parvenu à déjouer les mesures de défense du réseau (p. ex. un coupe-feu). L'auteur de la cybermenace peut alors créer d'autres canaux de communication (habituellement dissimulés et chiffres) afin d'y introduire d'autres outils plus poussés (p. ex. afin d'exploiter le réseau davantage ou de voler de l'information). Note de bas de page 37 [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST. ***] Note de bas de page 38

Exploitation à distance
43. L'exploitation à distance est un processus au cours duquel un auteur de cybermenaces transmet à partir d'un réseau à distance un ensemble de commandes à un appareil ciblé pour y accéder ou accéder à l'information qu'il contient. Note de bas de page 39 En général, les exploitations à distance profitent des vulnérabilités ou des faiblesses des logiciels, du matériel informatique ou de la configuration d'un ordinateur ou d'un appareil connecté au réseau. Autrement dit, c'est par l'exploitation à distance que le criminel force une serrure. Note de bas de page 40 [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST. ***] Note de bas de page 41
Accès à distance

44. L'accès à distance renvoie aux connexions à distance non autorisées à un hôte victime par un auteur de cybermenaces sans exploitation (p. ex., recours à une combinaison valide d'un nom d'utilisateur et d'un mot de passe, souvent obtenu par le vol de données ou une tentative réussie d'hameçonnage par courriel). Note de bas de page 42 Des utilisateurs légitimes interagissent avec des dossiers, de l'information et des ressources du système lorsqu'ils travaillent à distance (p. ex. le télétravail). Note de bas de page 43 En tirant profit de l'accès à distance à un réseau ciblé, les auteurs malveillants de cybermenaces peuvent imiter toutes les interactions et les activités d'un utilisateur légitime.

[*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation par le CST. ***] Note de bas de page 44

Artefacts et téléchargements de maliciel

45. On définit le maliciel comme une grande gamme de logiciels malveillants conçus pour infiltrer ou endommager un système informatique, sans le consentement du propriétaire. Note de bas de page 45 Un maliciel peut être déployé par divers moyens (p. ex. l'exploitation à distance, l'hameçonnage ou l'exploitation basée sur navigateur). Le code d'un maliciel est écrit dans le but précis de causer des dommages, de divulguer de l'information ou de porter atteinte à la sécurité ou à la stabilité d'un système. Note de bas de page 46 Les artefacts de maliciel sont des traces détectables de maliciel sur l'appareil d'une victime. Note de bas de page 47 Le téléchargement de maliciel renvoie aux occurrences ou un maliciel a été téléchargé sur un appareil ***. Note de bas de page 48 [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST. ***] (voir l'image 1). Note de bas de page 49

Sources: CST, Rapport annuel de cyberdéfense, 2016; CST, Rapport annuel de cyberdéfense, 2017; CCC, Rapport sur la cyberdéfense: vulnérabilités et compromissions TI au gouvernement du Canada, Rapport annuel de 2018, 2019; et CCC, Operational Threat Report: 2019 Annual Threat Landscape, 2020.

Image 1 : [*** Cette image a été supprimée pour retirer l'information préjudiciable ou privilégiée. L'image montrait des données recueillies par le CST.***]

Hameçonnage

46. L'hameçonnage est un procédé par lequel des auteurs de menaces parrainés par l'État et des criminels sollicitent de l'information confidentielle appartenant à des ciblés précises pour les inciter à divulguer des renseignements personnels ou des justificatifs d'identité. Note de bas de page 50 Une tentative d'hameçonnage peut utiliser des courriels d'apparence officielle (connu sous le nom de harponnage) dont le degré de perfectionnement varie et qui contiennent souvent des liens ou des fichiers malveillants qui, une fois ouverts, infectent l'ordinateur du destinataire avec un maliciel. Un auteur de menaces peut avoir recours à ce maliciel pour accéder à l'ordinateur d'une ciblé afin de voler de l'information ou d'utiliser les renseignements personnels de la ciblé (com me des justificatifs d'identité ou des renseignements de carte de crédit) pour accéder à des informations bancaires ou commettre un vol d'identité. Note de bas de page 51

47. [*** Ce paragraphe a été supprimé pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST. ***] Note de bas de page 52

Exploitation basée sur navigateur

48. Les navigateurs Web et les applications connexes comportent des défauts et des vulnérabilités que les auteurs de cybermenaces malveillants exploitent pour prendre le contrôle de l'ordinateur d'une ciblé qui se connecte à un site Web infecté. Alors, ces auteurs volent les justificatifs d'identité de l'utilisateur, envoient un rançongiciel, exécutent un maliciel, volent de l'information ou obtiennent des autorisations sur un réseau pour accéder à d'autres appareils. Note de bas de page 53 [*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient un moyen et une évaluation du CST. ***] Note de bas de page 54 Note de bas de page 55 Note de bas de page 56

Exfiltration de données

49. L'exfiltration de données est le retrait non autorisé (vol) d'information d'un réseau ciblé par un auteur de menaces une fois qu'il a obtenu un accès au moyen de l'exploitation à distance par exemple. Note de bas de page 57 [*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation du CST. ***] Note de bas de page 58 Note de bas de page 59

Déni de service

50. Le déni de service est une technique utilisée pour empêcher des utilisateurs légitimes d'accéder à un service relié à un réseau en envoyant des demandes illégitimes pour surcharger les ressources d'un réseau. Note de bas de page 60 [*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation du CST. ***] Note de bas de page 61

Les menaces persistantes avancées que présentent les États-nations

51. Le CST surveille les cyberactivités de certains acteurs étatiques. La Chine et la Russie représentent les auteurs de cybermenace qui ciblent le gouvernement les plus expérimentés. Note de bas de page 62 L'Iran, la Corée du Nord et*** ont des capacités modérément sophistiquées; et *** présentent des menaces mains avancées. Les auteurs de menaces persistantes avancées peuvent faire partie de l'appareil officiel d'un État (p. ex. les forces armées, ou un organisme de la sécurité ou du renseignement) et être considères comme étant des acteurs d'État; ou faire partie d'une entité non étatique qui est dirigée et soutenue (p. ex. financièrement) par un État et être considérés comme étant des acteurs parrainés par un État. Note de bas de page 63 À des fins de simplicité, le Comité utilise le nom de l'État concerné lorsqu'il est question d'acteurs étatiques et d'acteurs parrainés par un État (p. ex., « la Chine »). L'évolution de ces menaces persistantes avancées pendant la période allant de 2015 a 2020 est présentée ci-dessous. (Remarque: Le CST accorde un niveau de menace faible, modéré ou élevé en fonction de ses connaissances du perfectionnement technologique de l'auteur de menace et de son évaluation de la probabilité que des auteurs de menace précis s'en prennent au Canada.)

Chine

52. La Chine constitue un auteur de cybermenace très sophistiqué. Ses principaux objectifs stratégiques consistent à maintenir une stabilité interne et à se développer à titre de puissance mondiale. Voici ses trois priorités :

  • recueillir des renseignements à l'appui des politiques étrangères ainsi que des politiques en matière de sécurité et de commerce du gouvernement;
  • recueillir de l'information scientifique et de l'information sur la recherche pertinente sur le plan des technologies stratégiques qui pourraient favoriser l'économie ou les forces armées de la Chine;
  • recueillir ***. Note de bas de page 64

Le CST a déterminé que [traduction] « on ne peut surévaluer la portée et la ténacité des activités de la Chine visant à accéder à la propriété intellectuelle, à l'information, ainsi qu'aux politiques et aux positions du gouvernement du Canada ». Le CST a également mentionné que les cyberactivités de la Chine étaient agressives et vastes, et plus audacieuses qu'auparavant.

[*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST des moyens de la Chine. ***]. Note de bas de page 65

53. ***, la Chine a continué d'être un auteur de menace ciblant le gouvernement *** prolifique. Conformément à ses priorités en matière de renseignement, la Chine a ciblé plusieurs secteurs gouvernementaux, notamment la sécurité, le renseignement et la défense (***); les affaires étrangères, le commerce et le développement (***); le développement de l'industrie et du commerce (***); l'administration gouvernementale (***); les transports (***); et les ressources naturelles, l'énergie et l'environnement (***). Note de bas de page 66 Depuis le début de la pandémie de COVID-19, la Chine a pris pour cible des réseaux de recherche aux États-Unis, au Royaume-Uni et au Canada. ***. Note de bas de page 67

54. La Chine sert de diverses techniques pour cibler les systèmes et les réseaux du gouvernement. [*** Quatre phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation par le CST des moyens de la Chine. ***] Note de bas de page 68 Note de bas de page 69 Note de bas de page 70 En résumé, la Chine a adapté ses techniques pour qu'elles répondent à la posture de défense de ses ciblés.

55. *** le CST a observé un vaste éventail de cyberactivités malveillantes de la Chine de même que la superposition de techniques. [*** Trois phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation par le CST des moyens de la Chine. ***] Note de bas de page 71 En résumé, la Chine continue de représenter une cybermenace très active et complexe. Note de bas de page 72

Russie

56. La Russie constitue un auteur de cybermenace très expérimenté. La Russie mène des activités de cybermenace malveillantes, notamment *** le cyberespionnage et l'ingérence étrangère, a l'appui d'un vaste éventail de priorités stratégiques en matière de renseignement, notamment:

  • recueillir des produits du renseignement étrangers et militaires auprès de ciblés diplomatiques, économiques et militaires, y compris des établissements d'enseignement supérieur et des organismes du secteur privé;
  • reconnaître les fournisseurs de télécommunications et de systèmes de contrôle industriel pour l'infrastructure essentielle;
  • cerner les tendances et les événements conflictuels des États rivaux en vue de mener des campagnes d'influence et d'ébranler les normes et les valeurs libérales et démocratiques. Note de bas de page 73

La Russie a également recours à certains acteurs non étatiques, notamment des cybercriminels, des entreprises privées et des usines à trolls, pour qu'ils mènent des activités de cybermenace à son nom. [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST des priorités de la Russie. ***] Note de bas de page 74

57. *** La Russie comptait parmi les auteurs de menace parrainés par un État ciblant le gouvernement les plus prolifiques. Conformément aux priorités stratégiques en matière de renseignement de la Russie, ses activités de cybermenace ont ciblé divers secteurs de manière systématique: les affaires étrangères, le commerce et le développement (***); la sécurité, le renseignement et la défense(***); et les ressources naturelles, l'énergie et l'environnement (***). Note de bas de page 75 En 2020, la Russie a ciblé le système de santé du Canada dans le but de voler la propriété intellectuelle sur la recherche pharmaceutique et la création du vaccin contre la COVID-19. [*** Une phrase a été supprimée pour retirer l'information préjudiciable ou privilégiée. La phrase décrivait l'évaluation par le CST. ***] Note de bas de page 76

58. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST des moyens de la Russie, et indiquait que la Russie emploie un large éventail de tactiques dans son ciblage des systèmes et des réseaux gouvernementaux et que la Russie demeure une cybermenace très poussée et active pour les réseaux gouvernementaux. ***] Note de bas de page 77 Note de bas de page 78 Note de bas de page 79 Note de bas de page 80 Note de bas de page 81 Note de bas de page 82

Iran

59. L’Iran présente une cybermenace modérée. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST des moyens de l'lran, et indiquait quatre secteurs au centre des cyberactivités de l'lran. ***] Note de bas de page 83 Note de bas de page 84 Note de bas de page 85 Note de bas de page 86

Corée du Nord

60. La Corée du Nord a présenté une cybermenace modérée. La Corée du Nord agit de la même manière que les cybercriminels : elle vole de la cryptomonnaie et de la monnaie fiduciaire pour financer le gouvernement et ses représentants. [*** Deux phrases ont été supprimées pour retirer l'information préjudiciable ou privilégiée. Les phrases décrivaient l'évaluation par le CST. ***] Note de bas de page 87 Note de bas de page 88

***

61. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST d'un État qui fait peser une cybermenace modérée.***] Note de bas de page 89 Note de bas de page 90 Note de bas de page 91

***

62. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST d'un État qui fait peser une cybermenace faible. ***] Note de bas de page 92 Note de bas de page 93

***

63. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST d'un État qui fait peser une cybermenace faible. ***] Note de bas de page 94 Note de bas de page 95

***

64. [*** Ce paragraphe a été revu pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST d'un État qui fait peser une cybermenace faible. ***] Note de bas de page 96 Note de bas de page 97

Réseaux du gouvernement et cybercriminalité

65. Le gouvernement est de plus en plus conscient de la menace que représente la cybercriminalité envers ses systèmes. La cybercriminalité est l'une des cyberactivités les plus répandues touchant les réseaux, les systèmes et les utilisateurs gouvernementaux puisqu'il s'agit d'une activité à faible risque et à rendement élevé. La disponibilité de nouvelles technologies et l'accès à celles-ci ont fait en sorte de grandement diminuer les obstacles à l'entrée de la cybercriminalité, permettant aux cybercriminels amateurs de lancer plus facilement des attaques avancées et difficiles à détecter.

66. Le CST a examiné pour la première fois des activités de cybercriminalité ciblant le gouvernement sous forme classifiée dans le cadre de son Rapport annuel des menaces de 2019. Le CST a déterminé qu'il existe plusieurs raisons pour lesquelles le gouvernement représente une ciblé attirante pour les cybercriminels. Premièrement, les réseaux du gouvernement hébergent de nombreuses bases de données qui contiennent de l'information d'une grande valeur sur un vaste éventail de sujets, comme les renseignements financiers, la propriété intellectuelle et les renseignements personnels. Deuxièmement, la taille considérable des systèmes et des réseaux du gouvernement fait en sorte qu'il est inévitable que les cyberacteurs opportunistes dont les activités ont une très large portée sur Internet ciblent le gouvernement. Troisièmement, les gouvernements à tous les niveaux représentent une ciblé intéressante aux fins d'extorsion, surtout par l'entremise de rançongiciels, en raison des importants budgets ministériels et des obligations envers les citoyens qui pourraient forcer le gouvernement a payer une rançon, dans certains cas. Note de bas de page 98 [*** La fin du paragraphe a été revue pour retirer l'information préjudiciable ou privilégiée. Le paragraphe décrivait l'évaluation par le CST de l'étendue des attaques par rançongiciel comparativement à tous les cybercrimes qui prennent les réseaux du gouvernement pour cible. Bien qu'elle soit faible, le CST a noté que même une seule compromission par rançongiciel fructueuse pourrait être dommageable pour un ministère. Il a donné en exemple une attaque récente centre un ministère, qui a été endiguée, et une autre centre une société d'État, qui a entraîné des dommages considérables. Le paragraphe indiquait que le gouvernement étudié une politique concernant le paiement de rançons à des pirates informatiques. ***] Note de bas de page 99 Note de bas de page 100 Note de bas de page 101

Résumé

67. Les réseaux du gouvernement du Canada font partie intégrante de l'infrastructure essentielle du Canada et permettent au gouvernement de recueillir et de détenir de l'information, ainsi que de fournir des services essentiels pour la population et les entreprises canadiennes. L'information que détient le Canada représente également une grande valeur pour ses adversaires, y compris les auteurs de cybermenace parrainés par un État et les cybercriminels. En cette ère numérique, la quasi-totalité de ce que détient le gouvernement et de ce qu'il en fait peut être la ciblé de cyberactivités malveillantes - allant d'un vaste éventail de données sur les entreprises et les citoyens du Canada aux processus numériques qui sous-tendent les nombreux services et avantages dont dépendent les Canadiens et les Canadiennes. Les prochaines parties décrivent les efforts du gouvernement visant à renforcer ses mesures de cyberdéfense et à diminuer les vulnérabilités du Canada.