À Ottawa, plusieurs cyberincidents et peu de réponses
Par Alexis Rapin
Chronique des nouvelles conflictualités | Chaire Raoul-Dandurand en études stratégiques et diplomatiques
Au moins quatre cyberincidents ont frappé de grands organes gouvernementaux canadiens depuis avril 2021. Cyberattaques étrangères ou problèmes mineurs ? Ottawa est restée jusqu’ici avare en réponses, rappelant ainsi que le Canada maintient une politique d’attribution plutôt conservatrice.
Le 10 mai dernier, le Canada se joignait à une multitude d’autres États occidentaux pour attribuer formellement à la Russie le piratage du fournisseur d’internet par satellite ViaSat, survenu le 24 février dernier en marge de l’invasion de l’Ukraine. Affaires mondiales Canada, auteur du communiqué officiel, restait toutefois muet sur un autre incident survenu quant à lui fin janvier : une brèche informatique ayant frappé ses propres systèmes. Alors que plusieurs sources anonymes au sein de la fonction publique fédérale suspectent la Russie d’être également derrière l’incident, Ottawa s’est refusé jusqu’ici à toute divulgation substantielle sur la question.
Or, le cas d’Affaires mondiales n’est pas seul en son genre. En mars dernier, c’est le Conseil national de recherche du Canada (CNRC) qui se disait victime d’un cyberincident, dont la nature n’était pas non plus spécifiée. Quelques mois plus tôt, en décembre 2021, le Bureau du secrétaire du gouverneur général (BSGG, souvent appelé Rideau Hall) signalait également avoir subi une brèche informatique, sur laquelle peu de détails ont filtré depuis. Ce n’était pas là le premier incident suspect de 2021 à Ottawa : en avril, la National Security and Intelligence Review Agency (NSIRA) avait déjà annoncé avoir été victime d’un cyberincident.
Au total donc, douze mois, quatre incidents, et jusqu’ici remarquablement peu de détails sur leur nature et leur origine. Simples incidents techniques ou cyberintrusions ? Étatiques ou criminels ? Ottawa cultive pour l’heure le mystère. Cette circonspection rappelle que le Canada demeure à ce jour relativement conservateur quant à sa politique d’attribution des cyberattaques. [1]
Pas de nouvelles, bonnes nouvelles ?
En l’absence d’informations précises rendues publiques sur ces incidents, faut-il en conclure que ceux-ci n’ont eu que peu de conséquences ? Si une telle possibilité existe, force est toutefois de constater que les quatre institutions gouvernementales concernées recelaient chacune leur lot d’informations sensibles, touchant à la sécurité nationale.
Le CNRC gère par exemple plusieurs grands programmes de recherche de pointe, dans des domaines stratégiques comme l’aérospatiale et l’informatique quantique. Affaires mondiales, cela va sans dire, est au carrefour de toutes les discussions sur la politique étrangère du Canada. Rideau Hall, contrairement aux apparences, n’est pas juste le siège d’une fonction honorifique : comme le rappelait la professeure de l’Université Carleton, Stephanie Carvin, la gouverneure générale est, sur le plan constitutionnel, la commandante en chef des Forces canadiennes, et reçoit donc vraisemblablement de l’information hautement confidentielle. La NSIRA, quant à elle, est ni plus ni moins que l’organe chargé de surveiller les agences de renseignement et de sécurité nationale canadienne, telles que le SCRS, la GRC ou le ministère de la Défense.
Il importe aussi de rappeler que, dans un cas au moins, un fâcheux précédent existe : en 2014, le Conseil national de recherche du Canada avait déjà subi une importante cyberattaque, qui laissait également supposer qu’un imposant volume de données à haute valeur technologique et stratégique avait été dérobé. Le gouvernement Harper attribua peu après la cyberattaque au gouvernement chinois. De telles dénonciations publiques, cependant, restent plutôt rares à Ottawa. Pourquoi ?
Crime, châtiment et attribution
De nombreux débats académiques et politiques entourent la question de l’attribution, et notamment les bonnes et mauvaises manières d’y procéder. D’une question éminemment technique il y a quelques années encore, celle-ci est depuis peu vue aussi et surtout comme un enjeu profondément politique : identifier l’auteur d’une cyberattaque est bien sûr capital, mais qu’espère-t-on obtenir en publicisant ensuite cette information ?
Comme le soulignait Florian Egloff, chercheur au Center for Security Studies de Zurich dans un article paru en 2020, cette question revêt de nombreuses ramifications. Est-il par exemple efficace de « faire honte » à l’État coupable en le dénonçant publiquement ? Peut-on ainsi instaurer progressivement des normes de comportement sur la scène internationale, voire même exercer une forme de dissuasion par l’attribution ? Ces questionnements, évidemment, restent chaudement débattus.
Reste que l’existence de différents points de vue en la matière a désormais suscité des politiques nationales d’attribution pour le moins variées. Les États-Unis, acteur majeur du domaine cyber, se démarquent aujourd’hui par une pratique générant des attributions de plus en plus fréquentes et rapides. La Russie, à l’inverse, ne communique presque jamais sur les cyberattaques étatiques dont elle fait l’objet. La France, pour sa part, laisse implicitement entendre qu’elle n’opère pas d’attribution, quand bien même l’évolution de ses pratiques l’en approche de plus en plus. Où se situe le Canada dans ce paysage ?
Allergique aux épreuves solos
Dans sa « politique internationale en matière de cyberespace », le Canada prévoit explicitement la possibilité, et affirme sa volonté, de procéder à des attributions. De fait, Ottawa se prête assez régulièrement à l’exercice : rançongiciel WannaCry (2017), cyberespionnage de la recherche sur la COVID-19 (2020), ou encore incident SolarWinds (2021). Si les textes officiels restent relativement vagues, deux faits saillants semblent ressortir des attributions opérées jusqu’ici par Ottawa.
D’une part, le Canada se montre très frileux à l’idée de faire cavalier seul en matière d’attribution : l’essentiel des cyberattaques dénoncées par Ottawa l’ont été de manière conjointe avec d’autres pays, le plus souvent des membres du Five Eyes. Besoin d’appui technique ou quête de soutien politique ? Difficile à dire, mais le Canada semble tenir aux consensus multinationaux en la matière. L’incident de l’Agence mondiale antidopage(siégeant à Montréal) et du Centre canadien pour l’éthique dans le sport, tous deux piratés par la Russie en 2016, devra par exemple attendre fin 2018 et une annonce coordonnée entre plusieurs alliés, pour voir Ottawa émettre une attribution. Le piratage du CNRC en 2014 est un des rares cas dans lequel Ottawa a procédé seul à une attribution. Avoir au moins un pays allié avec qui entreprendre une telle démarche semble être la règle depuis lors.
D’autre part, signe de la sensibilité politique de ces enjeux, on observe aussi que le Canada paraît souvent plus à l’aise d’attribuer des cyberattaques ayant touché d’autres pays que lui-même : rançongiciel NotPetya(2018), piratage de l’OIAC (2018), Géorgie (2020), et dernièrement l’Ukraine. Certes, il s’agit essentiellement de suivre le mouvement initié par des alliés majeurs ou les pays visés. Il faut toutefois noter qu’il y a là un choix politique : si les attributions en question sont bien corroborées par le renseignement canadien, ce sont autant de ressources investies pour des incidents ne touchant pas le Canada – pendant que des incidents canadiens, eux, ne sont pas attribués.
Les limites du mutisme
Il se dessine ainsi une politique d’attribution canadienne paradoxale, à la fois timide et généreuse. Généreuse lorsqu’il est question de parler des autres, de concert avec les alliés proches : désormais, les attributions conjointes des membres du Five Eyes ou des pays de l’OTAN sont quasi systématiquement appuyées par Ottawa, peu importe la proximité du Canada avec le pays ciblé (Géorgie, par exemple). Timide lorsqu’il s’agit de parler de soi et pour soi-même : on le voit, un incident ayant touché l’État canadien peut rester longtemps non attribué faute d’avoir d’autres pays disposés à seconder le verdict.
Ce constat suggère que les quatre incidents, ayant touché le CNRC, Affaires mondiales, Rideau Hall et la NSIRA, pourraient bien rester enveloppés de mystère pour un moment encore. Cette politique d’attribution, pour un Canada traditionnellement attaché au multilatéralisme, peut sembler stratégiquement pertinente. Reste qu’elle soulève parallèlement d’autres enjeux de cohérence : si des espions étrangers en chair et en os avaient forcé des serrures à Ottawa, on peut douter que les autorités fédérales cultiveraient un tel mutisme. L’information, bien immatériel s’il en est, devrait-elle être protégée différemment lorsqu’elle est menacée virtuellement plutôt que physiquement ?
[1] Dans le vocable de la cybersécurité, le terme d’attribution désigne le fait d’imputer officiellement une cyberattaque à un acteur spécifique. Sur la scène internationale, il s’agit le plus souvent d’un gouvernement désignant publiquement un autre État comme responsable.
24 mai 2022En savoir plus