L’Université Carleton d’Ottawa, l’Université de l’Alberta d’Edmonton, l’Université de Calgary, celle de Régina ou encore l’Université Concordia ont toutes subi des cyberattaques majeures en 2016. L’UdeM pourrait s’ajouter à la liste. « Je vous dirais que 80 % des institutions publiques ou privées ne sont pas protégées pour faire face aux cyberattaques », prévient d’emblée le professeur en criminologie à l’UdeM, Benoit Dupont. Selon lui, les universités logent à la même enseigne.
« On a un gros problème de protection à l’UdeM », affirme l’assistant aux communications du réseau intégré sur la cybersécurité (SERENE-RISC) basé à l’UdeM, Bong-Sou Moulinet. Celui-ci pointe notamment du doigt le fameux UNIP et son mot de passe trop court selon lui – huit caractères seulement – pourtant le garant d’un accès à des informations personnelles sensibles. « Ces mots de passe sont très simples à craquer et cela traduit une sécurité informatique qui n’est pas optimale, poursuit M. Moulinet. Ce serait facile de pénétrer dans le système de l’UdeM, si ce n’est pas déjà fait. Au SERENE-RISC, on s’attend à ce que ça arrive. »
Les coûts sont considérables pour protéger adéquatement les communautés universitaires des cyberattaques. « Pour l’instant, les dépenses en sécurité informatique des universités sont faibles, indique M. Dupont. On se rend compte que les universités sont vulnérables et qu’elles devront investir de manière significative. » Ces dépenses pourraient surtout permettre d’en éviter d’autres. En juillet dernier, l’Université de Calgary a été victime d’un piratage par « rançongiciel », un logiciel malveillant demandant une somme d’argent en échange d’informations subtilisées. Elle a dû débourser 20 000 $. Même chose pour l’Université Carleton d’Ottawa en novembre dernier, qui n’aurait toutefois rien payé aux pirates. À l’UdeM, le budget total de la DGTIC s’élève à près de 27 M$ pour 2016-2017, mais l’Université ne souhaite pas divulguer le montant alloué spécifiquement à la sécurité informatique.
Des cibles faciles
Des diplômés de Polytechnique ayant en commun d’avoir été boursiers ont vu leurs informations personnelles, notamment leur numéro d’assurance sociale, dérobées dans le cadre de l’École. Cyberattaque ou fuite interne, la lumière n’a pas encore été entièrement faite sur cet incident datant de 2015. Il a cependant été confirmé que des cartes de crédit ont été émises et utilisées sous le nom d’une dizaine d’étudiants, alors que plus d’un millier de boursiers pourraient être concernés par cette fuite.
« C’est un paquet de troubles, assure le diplômé de génie géologique et victime de la fraude, Jérôme Pépin. Il faut mettre une protection sur tous tes comptes, sur ton assurance, et il faut appeler ta banque, l’agence du revenu du Canada, du Québec… tout le monde. » Une mention a été ajoutée à son dossier financier, ajoutant pendant 6 ans des vérifications supplémentaires pour toute nouvelle demande de crédit à son nom. Gérer cette situation représente un coût pour Polytechnique qui a dû mettre en place un service de suivi du crédit pendant deux ans pour toutes les victimes de ce vol et dont l’École paie les frais. Les attaques virtuelles ont décidément des conséquences bien réelles.
Responsabilisation des institutions
« On offre beaucoup de services en ligne, d’accessibilité au WiFi dans les pavillons, mais est-ce qu’on le fait toujours de la façon la plus sécurisée possible ? s’interroge M. Dupont. Est-ce qu’on n’a pas créé des cibles attractives et “molles” pour des gens qui ont des intentions malveillantes ? » Pour combattre le statut de proies faciles, M. Dupont et M. Moulinet croient en la formation des étudiants aux comportements sains à adopter en informatique. Le SERENE-RISC a d’ailleurs été créé afin de diffuser les connaissances sur le sujet. Ce réseau propose des tutoriels en ligne intuitifs pour les néophytes de la sécurité informatique.
« C’est la responsabilité de l’Université d’aider les plus de 40 000 utilisateurs de ses systèmes, de les accompagner dans une utilisation sûre et protégée face aux menaces complexes auxquelles ils seront inévitablement confrontés », pense M. Dupont. Il prône la mise en place d’une campagne de sensibilisation hebdomadaire ou mensuelle, ainsi qu’une formation par tutoriels en ligne lors de la première connexion au réseau d’un utilisateur.
L’UdeM offre toutefois, sur le site de la DGTIC, dix conseils en matière de sécurité informatique et dispose d’une plateforme affectée à cela. Le dernier bulletin de sensibilisation remonte cependant à septembre 2008.