Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Mai 2014

Stratégie de cybersécurité du Canada Depuis la publication de la Stratégie de cybersécurité du Canada en 2010, Sécurité publique Canada s est employé à mettre en œuvre les trois piliers de cette stratégie : 1. Protéger les systèmes gouvernementaux Renforcement des capacités d intervention en cas d incident cybernétique : harmonisation des rôles du Centre de la sécurité des télécommunications Canada (CSTC) et du Centre canadien de réponse aux incidents cybernétiques (CCRIC) 2. Nouer des partenariats pour protéger les cybersystèmes essentiels à l extérieur du gouvernement fédéral Renforcement de l échange d information : établissement de mécanismes de collaboration, mise en place des ententes-cadres, des protocoles et des processus visant l échange d information opportune et utile Collaboration avec des partenaires internationaux : consolidation de nos politiques et de nos partenariats avec nos principaux alliés Amélioration des services offerts : élaboration et amélioration des produits, des services et des outils offerts aux partenaires des secteurs public et privé Formation et sensibilisation : ateliers nationaux axés sur la sécurité des systèmes de contrôle 3. Aider les Canadiens à se protéger en ligne Sensibilisation du public : lancement de la campagne de communication «Pensez cybersécurité» à l échelle nationale en octobre 2011, à l occasion du Mois de la sensibilisation à la cybersécurité

Principaux acteurs du gouvernement fédéral 2

Rôles et responsabilités à Sécurité publique Canada Direction générale des communications Direction générale de la cybersécurité nationale Direction générale de la cybersécurité nationale - Gestion des incidents, échange d information, coordination des politiques de cybersécurité, partenariats et mobilisation, et conseils techniques Direction générale des infrastructures essentielles et de la coordination stratégique Direction générale des infrastructures essentielles et de la coordination stratégique - Résilience et protection des infrastructures essentielles Direction générale des communications - Sensibilisation du public 3

Mandat du CCRIC «Afin de soutenir la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le CCRIC contribue à assurer la sécurité et la résilience des cybersystèmes essentiels qui sous tendent la sécurité nationale, la sécurité publique et la prospérité économique du pays. À titre d équipe d intervention en cas d urgence informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l atténuation, l intervention et le rétablissement en matière d événements cybernétiques. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l échange d information et l intervention en cas d incident.» Prévention et atténuation _Préparation Intervention Rétablissement 4

Tactiques, techniques et procédures Les tactiques, les techniques et les procédures observées ont eu une incidence sur les organisations des secteurs des infrastructures essentielles : Attaques par déni de service distribué à bande passante élevée Logiciels malveillants destructeurs Attaques basées sur le principe de la mare-abreuvoir Compromission de sites Web non sécurisés accessibles à l externe Compromission des justificatifs d identité des utilisateurs (par exemple, au moyen de courriels hameçons) Tentatives d injection SQL Les attaques lancées suivant les tactiques, les techniques et les procédures ci-dessus ont fait leurs preuves 5

Attaques de déni de service Déni de service par réflexion et amplification Vagues d attaques de déni de service visant des institutions financières Vulnérabilités dans les systèmes de gestion de contenu mises à profit pour lancer des attaques de déni de service. Attaques par réflexion et amplification DNS. 6

Mesures d atténuation : Attaques par déni de service 1. Préparation : Il faut établir une série exhaustive de procédures et de lignes directrices claires avant que les attaques ne surviennent 2. Détermination : La capacité à reconnaître une attaque, à en comprendre la nature et à déterminer les cibles facilite le confinement et la reprise des services 3. Confinement : Un plan de confinement comportant divers scénarios et établi au préalable réduit considérablement le temps de réaction à une attaque et l étendue des dommages 4. Reprise des services : La pression exercée sur l organisation pour qu elle assure la reprise de ses services à la suite d une attaque varie en fonction de sa stratégie de confinement et de sa fragilité à l égard des dommages collatéraux 5. Leçons retenues : Il faut faire le point le plus rapidement possible à la suite d un incident et examiner chacune de décisions et des mesures prises tout au long de la gestion de la crise Rapport technique du CCRIC : Principes de prévention contre les attaques par déni de service 7

Produits d atténuation Le CCRIC vous recommande d examiner les produits d atténuation suivants : - Vulnérabilité du jour zéro dans Internet Explorer 10 (attaques de type «watering hole») - Tactiques et outils des nouveaux acteurs de la cybermenace - Campagne d hameçonnage utilisant CVE-2012-0158 (vulnérabilité dans Microsoft Office) et ciblant les infrastructures essentielles - Indicateurs de cheval de Troie d accès à distance (RAT) Java - Vulnérabilités d Apache Struts utilisées dans des attaques - Principes de prévention contre les attaques par déni de service - Systèmes de gestion des contenus sécurité et risques connexes (document conjoint du Canada et des États-Unis) - Serveurs DNS ouverts Pratiques exemplaires 8

Sécuriser un environnement de systèmes de contrôle industriels Acquérir des connaissances approfondies sur les systèmes de contrôle et sur les réseaux d entreprise : appliquer le principe de défense en profondeur S assurer de la séparation physique des réseaux d entreprise et des réseaux de systèmes de contrôle Éliminer les mots de passe par défaut : adopter une politique stricte en matière de mots de passe et de contrôles d accès Mettre en œuvre des programmes de gestion des changements et des correctifs Pour de plus amples renseignements, consultez le rapport technique suivant du CCRIC : Sécurité informatique et systèmes de contrôle industriel (SCI) Pratiques exemplaires recommandées 9

Stratégies d atténuation CCRIC recommande aux administrateurs de réseaux d appliquer les quatre stratégies d atténuation suivantes, qui peuvent aider à prévenir jusqu à 85 % des cyberattaques ciblées. Cote 1 2 Stratégie d atténuation Créer une liste des applications autorisées (liste blanche) pour empêcher l exécution de logiciels malveillants ou non autorisés. Installer les correctifs des applications comme Java, visualiseur PDF, Flash, navigateurs Web et Microsoft Office. 3 Installer les correctifs du système d exploitation. 4 Restreindre les privilèges administratifs des systèmes d exploitation et des applications en fonction des tâches de l utilisateur. Principes de prévention contre les menaces sophistiquées et persistantes 10

Services : Capacités techniques avancées Analyse automatisée des maliciels - Fils de maliciels - Référentiel de maliciels Analyse d artefacts Systèmes de contrôle industriels - Équipement servant à effectuer des essais et des analyses à l appui des secteurs des infrastructures essentielles Système national de notification de cybermenace (SNNCM) Indicateurs de compromission 11

Services : Portail de la communauté 12

Gamme de produits techniques Produits publiés régulièrement qui fournissent aux partenaires des renseignements à caractère urgent en ce qui concerne des cybermenaces particulières, à savoir des indicateurs de détection, des mesures d atténuation et des pratiques exemplaires Bulletins cybernétiques Notes d information Rapports techniques Alertes Avis 13

Série de rapports à l intention des cadres Rapports opérationnels fournissant des renseignements sur les incidents cybernétiques constatés par le CCRIC qui pourront contribuer à la prise de décisions des organisations sur le plan du fonctionnement et de la sécurité Bimensuel Trimestriel Annuel 14

Sommaire des produits Janvier à mars 2014 6 8 16 3 Bulletins cybernétiques Alertes Avis Plein Feux sur et les résumés cybernétiques operationnels bimensuels, ainsi que le Rapport opérationnel cybernétique 2013 du CCRIC 15

Sommaire : Types d incidents Janvier à mars 2014 n = 390 16

Sommaire : Incidents par secteur Janvier à mars 2014 *TIC = Technologies de l'information et de la communication 17

Incidents par source Janvier à mars 2014 Signalé par un tiers, 47% Découvert par CCRIC, 28% Signalé par l'organisation visée, 24% n = 390 18

Sommaire des principales vulnérabilités exploitées Références CVE : Produits du CCRIC CVE 2012-0158 AV12-016 CF12-020 CF13-013 CVE 2013-3163 AV13-025 CF13-010 Risques Utilisation lors d attaques parrainées par des États Courriels de harponnage Utilisation dans les trousses d exploit aux fins de diffusion de rançongiciels Courriels de harponnage Téléchargement furtif Mesures d atténuation Correctif fourni par Microsoft en avril 2012 (AV12-016) Correctif fourni par Microsoft en juillet 2013 (AV13-025) CVE 2013-2471 CVE 2013-2463 CVE 2013-2465 CVE 2013-3893 CVE 2013-3897 AL13-503 Intégration dans plusieurs trousses d exploit aux fins de diffusion de la trousse administrateur pirate ZeroAccess et de rançongiciels AL13-003 AL13-003 Mise à jour AV13-036 Depuis février 2013, Oracle n offre plus de soutien relativement à Java 6 On recommande aux utilisateurs d effectuer une mise à niveau vers une nouvelle version ou d envisager de désactiver Java Vulnérabilités de jour zéro Correctif fourni par Microsoft en octobre 2013 (AV13-036) 19

Tendances en matière de maliciels Janvier à mars 2014 256 128 64 32 16 8 4 Australia Australie Canada Canada United Royaume-Uni Kingdom Nouvelle-Zéland New Zealand United States États-Uni 2 1 ZeroAccess Zeus Ransomware Sality FakeAV Cinq plus importants maliciels touchant des adresses IP 20

2013-2014 : Une année de progrès Renforcement des fondements juridiques, des stratégies et des processus du CCRIC - Lancement du Cadre de gestion des incidents cybernétiques pour le Canada avec les gouvernements et l industrie. Collaboration étendue avec des partenaires internes et externes - Augmentation du nombre de partenariats avec les secteurs des infrastructures essentielles. - Collaboration avec la GRC dans plusieurs opérations de perturbation de réseaux de zombies conjointes entre le Canada et les États-Unis. - Établissement d un partenariat avec la nouvelle Équipe d intervention en cas d incidents informatiques du gouvernement du Canada. Capacité analytique améliorée - Le laboratoire d étude des maliciels du CCRIC a permis de mieux comprendre l environnement de la cybermenace au Canada et d améliorer les conseils en matière d atténuation. - Amélioration de la capacité à gérer les incidents de cybersécurité touchant les systèmes de contrôle industriel (SCI) - Les opérateurs de 14,9 millions d adresses IP canadiennes ont été informés de leur compromission à l aide du Système national de notification de cybermenace. - De nouveaux fils au sujet des maliciels ont été ajoutés au processus d analyse automatisée des maliciels employé en laboratoire. - En moyenne, 150 000 échantillons de maliciels sont analysés dynamiquement chaque jour. 21

Communiquez avec nous cyber-incident@ps-sp.gc.ca www.securitepublique.gc.ca/ccric 22