L'intrus d'Amnistie Internationale Canada était dans le système depuis 17 mois avant d'être détecté

Un cybercriminel présumé basé en Chine se trouvait dans le système informatique de Amnistie internationale Canada pendant 17 mois avant d’être détecté, selon le responsable du groupe à but non lucratif.

La branche canadienne de l’organisation des droits de l’homme a déclaré dans un communiqué de presse lundi que la violation des contrôles de sécurité a été détectée en octobre. A sa connaissance, il s’agit de la première violation des contrôles de sécurité subie par la division.

Mais dans une interview avec Monde informatique Canadala secrétaire générale Ketty Nivyabandi a déclaré que l’intrusion avait commencé en juillet 2021.

Il est “difficile de dire” comment l’agresseur a franchi les défenses de l’agence, a-t-elle déclaré. “Nous ne sommes pas sur le point de déterminer avec certitude quel était le point d’entrée.” Mais une enquête médico-légale menée par Secureworks a déterminé qu’un groupe de menaces parrainé ou mandaté par l’État chinois était probablement à l’origine de l’attaque.

L’un des éléments de preuve, a déclaré Nivyabandi, était les recherches effectuées par l’attaquant sur les systèmes informatiques de l’agence pour obtenir des informations sur la Chine et Hong Kong. Un autre était les outils et les techniques de l’attaquant.

On peut dire que l’attaquant pourrait encore être silencieux dans les systèmes de l’agence, mais par hasard. “Nous avons mis à jour nos systèmes au cours de l’été”, a-t-elle déclaré, “et nous avons pu détecter une activité suspecte en octobre. Plutôt que de continuer avec les conseils que nous recevions localement, nous avons engagé une équipe internationale d’experts en cyber » de Secureworks pour une analyse plus approfondie et une correction.

Secureworks a déterminé la cause première, mais Nivyabandi n’a pas voulu divulguer les détails de son rapport.

Les systèmes informatiques de l’agence ont été mis hors ligne, soigneusement inspectés et ramenés. Alors que l’organisation est de retour au travail, certains systèmes sont toujours indisponibles. “Nous sommes toujours en mode de récupération”, a-t-elle déclaré. L’organisation a déclaré dans le communiqué de presse qu’elle avait pris “des mesures rapides et robustes pour renforcer sa sécurité numérique et restaurer les systèmes en ligne en toute sécurité”.

Nivyabandi a souligné qu’aucune donnée sur les donateurs ou les membres n’a été exfiltrée. Ces informations étaient conservées dans un système distinct. Cependant, quelles autres données, le cas échéant, ont été copiées au cours de ces 17 mois auxquels l’attaquant a eu accès ne sont pas claires. « Je ne sais pas ce qu’ils ont », dit-elle. “Ce que nous pouvons voir, c’est qu’il existe des systèmes que vous devez mettre en place pour exfiltrer les données, et nous pouvons dire qu’ils n’ont pas été utilisés.”

Mike McLellan, directeur du renseignement pour le groupe de recherche de Secureworks, n’entrerait pas dans les détails des conclusions de l’entreprise. Interrogé sur ce qu’Amnistie Canada aurait pu faire pour empêcher la violation des contrôles de sécurité, il a déclaré que l’agresseur présumé était un groupe de menaces persistantes avancées, de sorte qu’il « essaiera et réessayera encore » pour battre les défenses.

« La Chine a une approche de longue date consistant à utiliser ses cybercapacités pour recueillir des renseignements, de la propriété intellectuelle et effectuer une surveillance des personnes d’intérêt. Ils portent un intérêt particulier aux groupes ethniques réputés hostiles à l’État. Pour cette raison, des ONG comme Amnesty et d’autres agences intergouvernementales sont depuis longtemps la cible du cyberespionnage chinois. Sur la base de certains des outils que nous avons vus, sur la base de la nature d’Amnesty en tant qu’organisation, sur la base de la nature de l’État, nous pensons qu’elle était ciblée… Nous [therefore] a évalué qu’un groupe parrainé ou mandaté par l’État chinois était probablement responsable de la violation.

Il est possible que la branche canadienne ait été ciblée comme moyen d’obtenir des informations sur Amnesty International elle-même, a-t-il déclaré. Bien qu’il y ait actuellement des tensions entre le Canada et la Chine, McLellan doute que ce soit derrière cette attaque.

Amnistie internationale Canada est la branche canadienne du défenseur indépendant des droits de la personne reconnu. Il n’accepte aucun financement gouvernemental pour son travail de recherche et de campagne.

Nivyabandi a déclaré que la branche essaie de s’assurer que les droits internationaux reconnus par le Canada sont respectés ici, y compris les droits des Autochtones et des réfugiés. Il travaille également avec des groupes d’activistes ici avec des objectifs internationaux sur les droits de l’homme, y compris des personnes de Hong Kong et de Chine.

“Parce que nous travaillons sur les droits de l’homme à l’échelle mondiale, nous publions constamment des rapports sur les violations des droits de l’homme à travers le monde, nous sommes donc un peu l’ennemi de chaque État et dirigeant qui viole les droits de l’homme, et constamment conscients que nous pouvons être la cible de à peu près n’importe qui », a-t-elle déclaré. Pourtant, le compromis a été une surprise.

Son agence publie maintenant l’attaque et explique comment elle a réagi, car d’autres organisations victimes pourraient simplement “redémarrer leurs systèmes et continuer sans vraiment connaître la cause première”.

Les agences non gouvernementales (ONG) comme Amnesty International sont depuis longtemps la cible de gouvernements mécontents de leur travail. Des pirates informatiques soutenus par l’État s’introduisent directement ou indirectement dans les serveurs ou les smartphones des employés d’ONG à la recherche de renseignements.

Les ONG, dont beaucoup sont petites et disposent d’un financement limité, peuvent être vulnérables. En janvier, après le piratage d’un prestataire de services de la Croix-Rouge internationaleStéphane Duguin, PDG de l’Institut CyberPeace, écrit une déclaration qui a en partie déclaré que les recherches de son agence ont montré que seule une ONG sur 10 forme régulièrement son personnel à la cybersécurité, seule une sur quatre surveille ses réseaux et seule une sur cinq dispose d’un plan de cybersécurité.

En 2017, le Citizen Lab de l’Université de Toronto, en collaboration avec ses partenaires R3D, SocialTic et Article19, a publié une série de huit rapports sur l’utilisation généralisée du logiciel espion pour smartphone Pegasus utilisé contre de nombreux secteurs de la société civile mexicaine, notamment journalistes d’investigation et avocats pour les familles des victimes du cartel, groupes anti-corruption, législateurs éminents, enquêteurs internationaux examinant les disparitions forcées, et même épouse d’un journaliste tué dans un cartel.

Secureworks a une certaine expérience dans l’examen des attaques contre les ONG. En 2019, il a publié un rapport sur un groupe de cyberespionnage qu’il a surnommé Bronze President, qui, selon lui, est probablement un acteur menaçant basé en Chine ciblant les ONG, ainsi que les organisations politiques et d’application de la loi dans les pays d’Asie du Sud et de l’Est.

Les ONG et les organisations similaires devraient prêter attention à l’attaque d’Amnistie Canada, a-t-il ajouté, et réfléchir à la sécurité de leurs propres réseaux informatiques et données.

Lorsqu’on lui a demandé si les ONG consacraient suffisamment de ressources à la cybersécurité, McLellan a noté qu’en tant que groupe, elles avaient des ressources et des contraintes financières. “Il s’agit de tirer le meilleur parti possible des investissements que vous avez.”

Leave a Reply