Un étudiant de l'UdeS traque des pirates informatiques

Philippe-Antoine Plante naviguait dans Internet le 13 janvier dernier. Tout d'un coup, les pages sur le site d'une PME se sont brouillées et une fenêtre s'est ouverte: on lui indiquait que la police de caractère «Hoefler» était requise sur son ordinateur pour que la page puisse s'afficher correctement. Une grosse flèche verte l'encourageait à cliquer pour télécharger un document. Alerte! La menace de virus n'est pas passée inaperçue, car Philippe-Antoine Plante est diplômé du baccalauréat en informatique de la faculté des sciences de l'Université de Sherbrooke et commencera sous peu sa maîtrise avec le professeur Marc Frappier, spécialiste de l'ingénierie du logiciel.
« Dès que j'ai constaté que c'était une campagne malicieuse, j'ai contacté un collaborateur (Anthony Branchaud) pour entreprendre une recherche sur son mode de fonctionnement », explique Philippe-Antoine Plante.
En trois jours seulement, le duo a découvert que cette campagne de diffusion d'un logiciel malveillant a infecté des milliers de sites de partout au monde, dont 5 % sont canadiens. Ce maliciel est distribué par des sites web construits à l'aide de WordPress entre autres, des outils très populaires qui permettent de créer facilement des sites web.
Les chercheurs ont pris l'initiative, dès le 16 janvier, d'informer le Centre canadien de réponse aux incidents cybernétiques (CCRIC).
Pertes de plusieurs milliards
Cette campagne de diffusion du maliciel est très bien orchestrée et fait partie d'une problématique mondiale de plus en plus importante. En effet, on estime que 32 % des ordinateurs dans le monde sont infectés par un maliciel quelconque. Les pertes engendrées par les logiciels malicieux sont estimées à plusieurs dizaines de milliards par année. En 2015 seulement, les utilisateurs infectés par un cryptovirus ont payé tout près de 325 M$ en rançon et ce montant aurait triplé en 2016. Environ 70 % des entreprises canadiennes ont été victimes de cyberattaques, au coût moyen de 15 000 $ par incident.
La force de la campagne malicieuse étudiée à l'UdeS est qu'elle se diffuse à partir de sites d'organismes légitimes, dont des pages gouvernementales, d'universités, mais aussi de PME par exemple, et qu'elle peut s'ajuster au fil du temps, c'est-à-dire adapter le type de logiciels diffusés.
Rançons importantes
Quels sont ses impacts pour les entreprises? Ils sont nombreux en fonction du cryptovirus diffusé par le lien malicieux.
À titre d'exemple, les auteurs pourraient utiliser la campagne pour propager un rançongiciel, qui permet à un criminel de bloquer les accès aux données d'un utilisateur, en l'échange d'une rançon.
Rappelons que la Commission scolaire des Appalaches a été paralysée par une telle cyberattaque en septembre dernier. La commission scolaire, qui n'a pas encore finalisé le dossier, estimait qu'elle devrait payer une facture de quelques centaines de milliers de dollars pour effectuer un retour à la normale, sans compter le temps et les efforts déployés pour reprendre le contrôle de son système informatique.
«Cet événement est survenu en septembre, donc avant que commence la campagne que nous avons découverte vu qu'elle a commencé en décembre. Mais la campagne actuelle pourrait avoir exactement le même type de conséquences», explique M. Plante.
Et que fait donc ce virus une fois qu'il a été téléchargé sur l'ordinateur de Moniseur et Madame-Tout-le-monde? «L'ordinateur devient membre d'un réseau de «zombies virtuels», des machines contrôlées à l'insu de leurs utilisateurs par les cybercriminels. Le maliciel peut utiliser l'ordinateur «zombie» pour générer des clics, ce qui engendre des revenus de publicité pour les pirates», explique-t-il.
Des mots de passe pourraient aussi être volés sur les ordinateurs, avec les conséquences qu'on peut imaginer.
Les étudiants et le professeur remettront un rapport au CCRIC sous peu, ce qui permettra à l'organisme de contacter les administrateurs des sites, du moins les sites canadiens. C'est très rare que de telles recherches soient faites pour aviser les administrateurs des sites concernés.