Le samedi 25 janvier dernier, un virus informatique a pénétré dans neuf ordinateurs de l'Université de Montréal et, en moins de 15 minutes, a paralysé presque complètement le réseau. «De chez moi, j'ai vite constaté que quelque chose n'allait pas, signale André Earl Paquet, officier de sécurité à la Direction générale des technologies de l'information et de la communication (DGTIC). Nous avons réagi très vite. Les postes contaminés ont été mis en quarantaine, les accès de communication ont été interrompus. En après-midi, le problème était maîtrisé.»
Le virus SQL Slammer avait frappé. En termes techniques, il s'agit d'un «ver informatique», c'est-à-dire d'un virus qui se propage sans aucune intervention humaine. Rares sont les utilisateurs du réseau de l'Université de Montréal qui s'en sont aperçus, mais les clients des 250 000 serveurs de bases de données dans le monde qui ont été infectés ne peuvent en dire autant. Aux États-Unis, les 13 000 guichets de la Bank of America ont cessé de fonctionner et Continental Airlines a dû retarder ou annuler des vols. Au pays, les services de transactions bancaires par Internet et par téléphone de la Banque Royale du Canada ont été interrompus pendant plusieurs heures. Et de nombreux guichets de la Banque de Montréal et de la CIBC ont été paralysés.
Si ce «ver» avait proliféré un jour de semaine, l'immense majorité des utilisateurs d'Internet sur le campus auraient été touchés, du moins temporairement. Les accès au Web auraient alors été suspendus ou ralentis. «C'est une des attaques les plus virulentes des dernières années», signale M. Earl Paquet, qui travaille dans le secteur de l'informatique à l'UdeM depuis 12 ans.
Une attaque de déni de service
De telles attaques de pirates informatiques (ou hackers, selon le vocabulaire à la mode) n'étonnent même plus Jacques Viau, responsable de la sécurité au Centre de recherche informatique de Montréal (CRIM). Au cours d'une conférence donnée à l'occasion d'un midi de la veille, le 20 février dernier, il a affirmé que de semblables attaques sont si nombreuses qu'il devient difficile de distinguer les menaces réelles ou appréhendées.
«Nous ne parlons même plus de sécurité informatique chez nous, mais de gestion du risque, a-t-il déclaré d'entrée de jeu. Aucune technologie n'est exempte de failles. Les outils électroniques de protection n'y peuvent rien. Les attaques peuvent prendre plusieurs formes et les pirates pénétrer par différents moyens: les systèmes d'exploitation, les applications, les bases de données, les logiciels de gestion de réseau, etc.»
Trois éléments de la sécurité des systèmes peuvent être menacés: la disponibilité, l'intégrité et la confidentialité. Le ver SQL Slammer s'est attaqué à la disponibilité du réseau, c'est-à-dire qu'il a paralysé ou ralenti les communications (sans laisser de séquelles, semble-t-il). Un autre acte de piratage pourrait mettre en cause la confidentialité des données si, par exemple, des renseignements sur le salaire des employés étaient soutirés.
Avec l'entrée massive de nouveaux utilisateurs (Hong-Kong et la Chine, notamment, produiraient d'excellents pirates) et le développement de la technologie sans fil - plus vulnérable à l'interception -, la menace n'ira qu'en s'accentuant.
Ancien enquêteur du Service de police de Montréal, passé au CRIM il y a quelques années, Jacques Viau a participé à plus de 1200 enquêtes sur des infractions commises dans le réseau informatique. Il navigue lui-même deux heures par jour dans Internet pour se tenir au courant des dernières trouvailles des pirates. Il entre en contact avec ceux-ci par clavardage pour connaître leurs trucs et assiste même à leur congrès international, à Las Vegas. «Certains sont de véritables génies de l'informatique», lance-t-il avec un sentiment paradoxal d'admiration. Dans sa présentation, une diapositive montrait certains des plus illustres cracks, dont Vladimir Levin, arrêté alors qu'il s'apprêtait à transférer dans son compte en banque la bagatelle de 200 M$...
En 2001, il y aurait eu de 200 à 400 M$ de rançons payées à des pirates informatiques par des entreprises désireuses ainsi de récupérer des données essentielles à leur bon fonctionnement. Des crimes qui n'éclatent pas toujours au grand jour, car rares sont les sociétés qui souhaitent voir leur vulnérabilité faire la une.
Pourquoi les hackers passent-ils des nuits blanches à tenter de contourner les pare-feu, antivirus et autres barrières électroniques? Pour jouer, pour obtenir gratuitement des services, pour affirmer leur droit à la liberté d'expression, quand ils n'ont pas d'objectifs illégaux, répond l'expert. D'ailleurs, il affirme que le combat ne se déroule pas à armes égales: d'un côté, des cols blancs payés de neuf à cinq, avec plusieurs semaines de congés annuels, obligés de traiter avec des patrons qui doutent de leur utilité jusqu'à ce qu'une catastrophe éclate; de l'autre, des passionnés qui ne vivent que pour la technologie, dont certains passent 24 h sur 24 devant leur écran.
«Des cyberdépendants ne se lavent plus, ne se rasent plus et se soulagent dans un pot de chambre pour ne rien manquer.»
L'Université de Montréal: une petite cible
En présentant le conférencier, le vice-recteur adjoint aux technologies de l'information et de la communication, Pierre Bordeleau, a dit que la sécurité informatique était depuis longtemps une préoccupation à la DGTIC. Ce n'est pas pour rien qu'on a créé le poste occupé par M. Earl Paquet. La DGTIC a pris également l'initiative de créer un comité institutionnel chargé d'élaborer une politique de sécurité informatique.
André Earl Paquet a pour sa part voulu se faire rassurant. «Je peux vous dire que tout le système administratif est actuellement assez bien protégé, car il ne circule pas librement dans Internet. Mais je ne vous dis pas qu'aucune faiblesse n'existe dans le réseau. C'est pourquoi nous attendons beaucoup de la politique qui est en cours d'élaboration.»
Cela dit, l'Université de Montréal ne constitue pas une cible de choix pour les pirates professionnels, car le fait d'y pénétrer frauduleusement ne présente pas de défi particulier. Et il n'y a guère d'appât du gain, contrairement à une banque. «Toutefois, les universités comme la nôtre sont une cible intéressante pour ce que nous appelons des hackers de bas de gamme, signale M. Earl Paquet. Elles forment un bon terrain de pratique, pourrait-on dire...»
Mathieu-Robert Sauvé