Selon un responsable de l’organisation à but non lucratif, un prétendu cybercriminel chinois était dans le système informatique d’Amnistie Internationale Canada depuis 17 mois avant d’être détecté.
La branche canadienne de l’organisation de défense des droits de l’homme a déclaré lundi dans un communiqué de presse que la violation des contrôles de sécurité avait été détectée en octobre. A sa connaissance, il s’agit de la première violation des contrôles de sécurité subie par la division canadienne.
Cependant, dans une interview avec nos collègues d’IT World Canada, la secrétaire générale de l’organisation Ketty Nivyabandi, a déclaré que l’intrusion avait commencé en juillet 2021.
Il est « difficile de dire » comment l’agresseur a franchi les défenses de l’agence, a-t-elle déclaré. « Nous ne sommes pas sur le point de déterminer avec certitude quel était le point d’entrée ». Mais une enquête criminalistique menée par Secureworks a déterminé qu’un groupe de cybercriminels parrainé ou mandaté par l’État chinois était probablement à l’origine de l’attaque.
L’un des éléments de preuve, a déclaré Nivyabandi, était les recherches effectuées par l’attaquant sur les systèmes informatiques de l’agence pour obtenir des informations sur la Chine et Hong Kong. Un autre était les outils et les techniques de l’attaquant.
L’attaquant pourrait encore être invisible dans les systèmes de l’agence, mais par hasard. « nous avons mis à jour nos systèmes au cours de l’été », a-t-elle déclaré, « et nous avons pu détecter une activité suspecte en octobre. Plutôt que de continuer avec les conseils que nous obtenions localement, nous avons engagé une équipe internationale d’experts en cybersécurité de Secureworks pour une analyse et une correction plus approfondies ».
Secureworks a déterminé la cause première de l’intrusion, mais Nivyabandi n’a pas voulu divulguer les détails de son rapport.
Les systèmes informatiques de l’agence ont été mis hors ligne, soigneusement inspectés et remis en ligne. Alors que l’organisation est revenue à la normale, certains systèmes sont toujours indisponibles. « Nous sommes toujours en mode de récupération », a-t-elle déclaré. L’organisation a déclaré dans un communiqué de presse qu’elle avait pris « des mesures rapides et robustes pour renforcer sa sécurité numérique et restaurer les systèmes en ligne en toute sécurité ».
Mme Nivyabandi a souligné qu’aucune donnée sur les donateurs ou les membres n’a été exfiltrée. Ces informations étaient conservées dans un système distinct. Cependant, la nature des autres données, le cas échéant, qui auraient été copiées au cours de ces 17 mois durant lesquels l’attaquant a eu accès ne sont pas claires. « Je ne sais pas ce qu’ils ont », affirme-t-elle. « Ce que nous pouvons voir, c’est qu’il existe des systèmes que vous devez mettre en place pour exfiltrer les données, et nous pouvons dire qu’ils n’ont pas été utilisés. »
Adaptation et traduction française par Renaud Larue-Langlois.
