Pendant des mois, des pirates informatiques ont pu pénétrer dans les serveurs de l'Organisation de l'aviation civile internationale (OACI), une agence de l'ONU basée à Montréal. Le logiciel malveillant permettait de piéger des gouvernements et des compagnies aériennes, révèlent des documents obtenus par CBC/Radio-Canada.

Un texte de Debra Arbec et Thomas Gerbet

En novembre 2016, l'OACI a été la cible de la plus grave cyberattaque de son histoire. Des documents internes révèlent une intervention déficiente avec des retards, des obstructions et de la négligence, en plus de tentatives pour camoufler cette mauvaise gestion.

Les rapports d'enquête suggèrent que le piratage informatique était très probablement l'oeuvre d'Emissary Panda, un groupe de cyberespionnage chinois.

Les experts indépendants mandatés par l'OACI ont découvert un réseau informatique vulnérable, rempli de failles qui auraient dû être signalées des années auparavant.

Selon les documents, quatre membres de l'équipe des technologies de l’information et de la communication (TIC) de l’OACI ont tenté de dissimuler des preuves de leur propre incompétence, une opération facilitée par l'absence de leur superviseur.

Malgré la gravité de l'attaque, des sources confidentielles ont révélé à CBC/Radio-Canada que la secrétaire générale de l'OACI, Fang Liu, avait écarté des recommandations internes pour enquêter sur les membres de l'équipe des TIC et leur patron, James Wan. Tous travaillent encore à l'Organisation.

L'OACI siège à Montréal depuis sa création en 1947. L'agence des Nations unies, qui compte 500 employés, est chargée d’établir le cadre réglementaire mondial de la sécurité de l’aviation civile internationale.

Une cyberattaque dite du « point d'eau »

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Des pirates informatiques russes visent des groupes politiques américains à l'approche des élections de mi-mandat aux États-Unis, a prévenu Microsoft mardi (21 août 2018) Photo : iStock

Le 22 novembre 2016, un analyste en cyberintelligence de la compagnie Lockheed Martin contacte le responsable de la sécurité de l'information de l’OACI pour le prévenir qu'un pirate informatique contrôle deux des serveurs de l'Organisation et les utilise pour propager des programmes malveillants sur des sites web de gouvernements étrangers.

Dans son courriel, l'analyste en cyberintelligence qualifie l'attaque de « menace importante pour l’industrie aéronautique ».

Le piratage a toutes les caractéristiques d'une attaque dite du « point d'eau » (watering hole, en anglais), dans laquelle un pirate trouve un site web fréquenté par ses cibles et l'infecte avec des logiciels malveillants afin d'accéder à ses proies, comme le ferait un fauve attendant près d'un point d'eau dans la savane.

Dans les 30 minutes qui ont suivi le piratage de l’OACI, le site web d'au moins l’un des 192 États membres de l’agence des Nations unies, la Turquie, a été infecté.

L'expert en cybersécurité et professeur à Polytechnique Montréal José Fernandez estime que le retard de réaction de l'OACI revient à « laisser sa voiture déverrouillée et ainsi permettre à un criminel d'utiliser l'auto pour commettre un crime ».

Dans un but de cyberespionnage, « l’OACI est un choix naturel, selon M. Fernandez. L'agence devenant ainsi un guichet unique pour le piratage de tous les autres acteurs de l'industrie aérospatiale ».

Violation généralisée de la vie privée

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Salle du Conseil de l'OACI, qui réunit 36 pays membres. Photo : Radio-Canada / Martin Thibault

Alarmé par le signalement de Lockheed Martin, le 22 novembre 2016, le responsable de la sécurité de l'information de l'OACI donne une journée à son équipe pour mettre les serveurs infectés hors ligne. Il contacte également une agence informatique affiliée à l'ONU, à New York, pour analyser l'attaque.

Les documents internes révèlent que l'équipe informatique de l'OACI a rejeté l'expertise des analystes de l'ONU, en ne prenant pas la peine de répondre à des courriels pendant plusieurs jours ou en transmettant des données inutilisables.

Ce n'est qu'une quinzaine de jours plus tard que le responsable de la sécurité de l'information de l'OACI autorise l'analyse externe des serveurs infectés.

Le 7 décembre, l'analyse de New York découvre que ce que l'OACI qualifiait d'« un incident grave » sur deux serveurs les plus sensibles de l'organisation est en fait un problème encore plus large.

Les comptes des serveurs de messagerie, d'administrateur de domaine et d'administrateur système étaient tous touchés, offrant ainsi aux cyberespions un accès aux mots de passe passés et actuels de plus de 2000 utilisateurs des systèmes de l'OACI. Les pirates pouvaient ainsi lire, envoyer ou supprimer les courriels de n'importe quel utilisateur.

Les espions avaient aussi accès aux dossiers personnels des employés passés et actuels, aux dossiers médicaux de ceux qui avaient utilisé la clinique de l’OACI, aux enregistrements des opérations financières et aux informations personnelles de quiconque avait visité le bâtiment de l’OACI ou s'était enregistré sur le site web.

Le gouvernement fédéral préoccupé Ottawa n'avait pas été mis au courant de la cyberattaque. Le ministre fédéral des Transports Marc Garneau se dit « préoccupé » par ces informations et compte en discuter avec la secrétaire générale de lOACI, Fang Liu.

Une intervention truffée d'erreurs

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ La secrétaire générale de l'OACI Fang Liu et le directeur adjoint, gestion de l’information et services administratifs, James Wan. Photo : Radio-Canada

Selon les rapports d'enquête, le responsable de la sécurité de l'information de l’OACI a demandé que le serveur de messagerie infecté soit déchiffré afin d’identifier et d'avertir les personnes susceptibles d’avoir été dépossédées de leur vie privée.

Mais James Wan, le chef de l’équipe informatique, a rejeté cette demande. Pourtant, trois jours plus tard, le 10 décembre, l’un des membres de l’équipe informatique ramène chez lui un fichier pour tenter de le déchiffrer.

« Il aurait dû savoir que, par ses actes imprudents, il compromettait la sécurité des données confidentielles », peut-on lire dans les documents.

Le même jour, les analystes informatiques de l'ONU basés à New York ont de la difficulté à déchiffrer le fichier. L’équipe de l’OACI leur dit alors que, s’ils n'y parviennent pas avant la fin de la journée, ils devront supprimer le fichier.

Finalement, les analystes de New York ont réussi à le déchiffrer et ce qu'ils ont trouvé les a alarmés.

Soupçons concernant un superutilisateur

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Les ordinateurs, téléphones intelligents et appareils connectés peuvent être vulnérables aux failles informatiques. Photo : iStock / Tomas Nevesely

Le fichier déchiffré a lié l'attaque au compte de superutilisateur de l'un des membres de l'équipe des TIC, dont le titre anglais est Systems Infrastructure Associate. Cela pourrait signifier qu'un pirate informatique avait accès au compte ou bien que le superutilisateur faisait lui-même partie de la cyberattaque. L'analyse n'a pas permis de le déterminer.

Malgré les suspicions, cette personne a été chargée de valider le travail des analystes de New York et elle a contesté leurs conclusions, affirmant qu’aucun logiciel malveillant n’avait été détecté.

Sur la base de ce rapport, le directeur James Wan a informé la secrétaire générale de l’OACI que l’incident de cybersécurité était mineur et que les analystes de New York en avaient exagéré les conséquences.

Escortés en dehors de l'OACI

Agrandir l’image ﻿ (Nouvelle fenêtre) ﻿ ﻿ Entrée du siège de l'OACI, à Montréal. Photo : Radio-Canada / Martin Thibault

Les documents montrent qu’à ce moment-là, le supérieur de James Wan, Vincent Smith, semble perdre confiance dans l’équipe informatique.

Le 20 décembre, M. Smith dépose une plainte officielle au sein de l'organisation, alléguant que les quatre membres de l'équipe des TIC avaient « agi dans l'intention de dissimuler la source, la nature et l'impact d'une violation du réseau de l'OACI ».

Le lendemain, les quatre sont escortés à l'extérieur du siège de l'OACI et relevés de leurs fonctions avec salaire, dans l'attente des conclusions de l'enquête.

Le 4 janvier 2017, plus de six semaines après la découverte de l'attaque, une déléguée européenne de l'OACI découvre qu'un inconnu a utilisé son compte pour envoyer un courriel, en se faisant passer pour elle.

Les documents internes montrent que James Wan minimise la situation et lui répond qu'il s'agit d'une « menace commune, dans le monde numérique actuel ». Il lui conseille de supprimer le courriel suspect, sans faire enquête.

Au début de l'année 2017, SecureWorks, une société indépendante spécialisée dans la cybersécurité, est mandatée par l'OACI pour effectuer sa propre analyse de l'attaque et de sa gestion.

L'enquêteur David Peck se plaint, le 17 janvier, que James Wan s'est « engagé dans un processus d'obstruction, de tromperie, d'insubordination et d'incompétence dans son traitement de la menace en matière de cybersécurité ».

David Peck conclut que les problèmes de sécurité remontent à au moins trois ans.

Le programme malveillant utilisé dans la cyberattaque avait été identifié par le logiciel antivirus de l'OACI, 12 mois plus tôt, mais le réseau n'avait jamais été désinfecté. Il s'agit pourtant d'une des tâches les plus élémentaires d'une équipe informatique.

L'enquêteur blâme James Wan, qui, selon les documents, avisait à l'époque d'autres gestionnaires que « les systèmes de l'OACI étaient propres et sûrs ».

Dans les semaines critiques qui ont suivi l'attaque, James Wan n'est pas entré au travail à trois reprises. Une série de courriels urgents demandant son approbation pour isoler un serveur infecté sont restés sans réponse pendant trois jours et demi.

Invitée à s'expliquer, l'Organisation de l'aviation civile internationale indique, dans un courriel, que les décisions prises à la suite de « l'incident de 2016 » ont été « basées sur la preuve fournie par les deux expertises indépendantes ».

Laissez-moi rassurer votre public, l'OACI ne conserve aucune information de type financière ou privée qui pourrait poser un risque pour des Canadiens. Anthony Philbin, chef des communications, OACI

Le chef des communications de l'OACI, Anthony Philbin, n'a pas souhaité émettre d'autres commentaires sur cette affaire, jugeant « imprudent » de le faire.

Dans un nouveau courriel, envoyé mercredi, M. Philbin dénonce une « exagération » des événements et des « interprétations erronées ».

Il ajoute que l'OACI a fait de « solides améliorations à sa cybersécurité afin de prévenir de tels incidents ».

Les quatre membres de l'équipe des TIC relevés de leurs fonctions le 21 décembre 2016 ont été réintégrés dans leurs postes le 6 février 2017.

L'étendue complète de la cyberattaque et son véritable objectif ne sont pas révélés dans les documents obtenus par CBC/Radio-Canada.

Une liste complète des organisations susceptibles d'avoir été infectées n'a pas pu être établie, car le fichier du serveur contenant ces informations a mystérieusement disparu.