Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 36 - Témoignages du 22 mars 2018
OTTAWA, le jeudi 22 mars 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 11 h 30, afin d’étudier, pour en faire rapport, les questions et préoccupations relatives à la cybersécurité et à la cyberfraude.
Le sénateur Douglas Black (président) occupe le fauteuil.
[Traduction]
Le président : Bonjour, chers collègues et membres du public qui suivent aujourd’hui les délibérations du Comité sénatorial permanent des banques et du commerce. Je m’appelle Doug Black. Je suis un sénateur de l’Alberta et président du comité.
Monsieur Carlin, je vais commencer par demander à mes collègues sénateurs de se présenter afin de vous familiariser avec les membres du comité qui prennent part, ici à Ottawa, à la séance d’aujourd’hui.
Le sénateur Wetston : Howard Wetston, de l’Ontario.
La sénatrice Marshall : Elizabeth Marshall, de Terre-Neuve-et-Labrador.
La sénatrice Unger : Betty Unger, de l’Alberta.
Le sénateur Marwah : Sabi Marwah, de l’Ontario.
La sénatrice Wallin : Pamela Wallin, de la Saskatchewan.
[Français]
La sénatrice Ringuette : Pierrette Ringuette, du Nouveau-Brunswick.
[Traduction]
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, de l’Ontario.
[Français]
Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.
[Traduction]
Le président : Nous en sommes ce matin à notre huitième séance consacrée à l’étude des questions et préoccupations relatives à la cybersécurité et à la cyberfraude, y compris les cybermenaces posées aux secteurs canadiens du commerce et de la finance, l’état de la technologie en matière de cybersécurité ainsi que les mesures et les règlements adoptés en matière de cybersécurité, tant au Canada que dans d’autres pays.
J’ai le plaisir d’accueillir, de San Francisco, M. John P. Carlin, président, Risques mondiaux et gestion de crise, au cabinet Morrison & Foerster s.r.l., un des grands cabinets d’avocats du monde. Monsieur, soyez le bienvenu. Je vous remercie d’avoir répondu à notre invitation. Auriez-vous l’amabilité de commencer par nous présenter votre exposé, après quoi les membres du comité auraient des questions à vous poser.
John P. Carlin, président, Risques mondiaux et gestion de crise, Morrison & Foerster s.r.l. : Merci, monsieur le sénateur. C’est avec plaisir que je me joins à vous ce matin depuis San Francisco. Je ne pense pas qu’il y ait de sujets qui revêtent plus d’importance pour la sécurité du Canada, celle des États-Unis et du monde entier. Je constate avec satisfaction l’intérêt que votre comité porte à la question.
Je voudrais, si vous le voulez bien, commencer par un rapide survol des menaces qui se présentent et de certains des changements que nous avons, aux États-Unis, apportés aux mesures prises en réponse à cette menace. Après cela, c’est très volontiers que je répondrai à vos questions.
Lorsque j’étais chef de la Division de la sécurité nationale, la première nouvelle division contentieuse à être créée au sein du département américain de la Justice en plus de 50 ans. Cette section a été créée à la suite de la tragédie du 11 septembre. Il s’agissait de faire en sorte que les services de renseignement communiquent aux autorités de police et de justice les renseignements qu’ils recueillaient sur les nouveaux risques qui sont apparus, afin que nous, les avocats, puissions trouver de nouveaux moyens de lutter contre les menaces révélées par les services de renseignement, et modifier nos critères de réussite pour qu’il ne soit désormais plus seulement question de punir les actes de terrorisme, mais d’anticiper les menaces et de prévenir les attaques.
Je vous donne un peu de contexte, car une des nouvelles menaces que nous avions cernées à l’époque était celle des attaques qui s’appuient sur des moyens informatiques. Permettez-moi de vous citer un exemple. Tant aux États-Unis qu’au Canada nous observions comment l’État islamique en Irak et au Levant commençait à exploiter habilement les médias sociaux, tout comme Al-Qaïda avait retourné contre nous une technologie occidentale — en l’occurrence l’aviation — en s’en servant comme une arme. Nous voyions, donc, l’État islamique en Irak et au Levant élaborer une stratégie d’externalisation ouverte pour assurer le financement de ses activités terroristes. L’EIIL se proposait de transformer des êtres humains en armes de destruction, les contactant à partir de lieux sûrs où ils étaient hébergés à l’étranger et en les encourageant à perpétrer des attentats dans leur pays de résidence.
Cela entraîna une très forte augmentation du nombre de dossiers de terrorisme international pris en charge par le département de la Justice.
Une de ces affaires illustre les nouvelles tendances en matière de cybermenace. Imaginez le cas d’une entreprise canadienne dont la marque est favorablement connue dans le monde entier qui s’aperçoit qu’une intrusion informatique d’une envergure relativement réduite a permis de s’approprier une modeste quantité de renseignements personnels. Il s’agit là de quelque chose qui arrive presque tous les jours à la vaste majorité d’entreprises.
Or, en l’occurrence, après le vol des renseignements, l’entreprise, qui a le sentiment d’avoir pris toutes les mesures nécessaires pour sauvegarder son réseau, reçoit, dans un courriel contenant des erreurs d’orthographe le message suivant : « Vous nous avez fortement mécontentés en nous fermant l’accès à votre système, et nous voulons que vous nous permettiez à nouveau d’y accéder. Si vous refusez, nous vous mettrons dans un grave embarras en publiant le fait que nous sommes parvenus à nous introduire dans votre système et à vous voler un certain nombre de renseignements. Nous exigeons en outre que vous nous remettiez 500 $ de bitcoin. »
La grande majorité des entreprises ne se sentiraient pas vraiment menacées par ce genre d’incident. En l’occurrence, l’entreprise avait en effet, réussi à bloquer l’accès à son système.
Mais la différence que fait l’emploi de moyens informatiques — et je sais que votre comité se penche actuellement sur la question — se situe au niveau de l’attribution. Si l’entreprise en question n’avait pas travaillé de concert avec la police et la justice, qui avaient, elles-mêmes, reçu des services de renseignement un certain nombre d’informations, y compris des renseignements transmis par nos partenaires au sein du Groupe des cinq, nous n’aurions jamais réussi à identifier le malfaiteur. Il s’agissait en fait d’un type dénommé Ferizi qui, originaire du Kosovo, était allé vivre en Malaisie d’où, avec l’aide d’un complice, il a lancé son attaque. Ce criminel souhaitait effectivement soutirer 500 $ à l’entreprise en question, mais, par l’intermédiaire de Twitter, il s’était de plus lié d’amitié avec un des terroristes les plus notoires au monde, un certain Junaid Hussain, qui avait quitté les environs de Londres, une fois remis en liberté, après avoir purgé une peine d’emprisonnement pour piratage informatique, s’était radicalisé et était allé s’installer à Raqqa, en Syrie, au cœur même de l’État islamique au Levant.
Il n’a, en fait, jamais rencontré Ferizi, l’extrémiste kosovar qui était allé vivre en Malaisie. Les deux s’étaient liés d’amitié entièrement sur Internet, par le truchement de Twitter. Junaid Hussain a convaincu Ferizi de lui remettre les renseignements personnels qu’il avait volés à la grande marque américaine.
Junaid Hussain n’était pas particulièrement intéressé par les 500 $, mais ce qu’il voulait, conformément à l’idéologie de l’État islamique au Levant, c’était utiliser la stratégie d’externalisation ouverte pour financer une activité terroriste et, en l’occurrence, utiliser les renseignements en question pour répandre la mort. Il étudia la liste des noms qui lui avait été fournie afin de repérer les personnes qui pourraient appartenir soit à la police, soit à d’autres organismes officiels, son but étant d’établir une liste de personnes auxquelles il pourrait s’attaquer. Par l’intermédiaire de Twitter, il a pu distribuer ces noms aux États-Unis, accompagné d’instructions ordonnant l’assassinat de ces personnes nommément désignées, ses instructions comprenant des indications précises sur leur domicile. On appelle ce type d’action une « menace mixte ».
Ce cas représente une version de ce type de menace où une activité criminelle visant uniquement le secteur privé se transforme en une autre menace criminelle lorsque la dissémination de renseignements volés peut servir à commettre des meurtres, des actes terroristes ou d’autres crimes.
En l’occurrence, les deux parties intéressées — le gouvernement et le secteur privé ont mené conjointement une action efficace qui a permis de juguler la menace. Ferizi a pu être arrêté en Malaisie en vertu d’un mandat américain, et il a été extradé vers les États-Unis où il a été condamné, en Virginie, à 20 ans de prison.
Junaid Hussain, qui se trouvait à Raqqa, en Syrie, dans un lieu sans gouvernement et hors d’atteinte de la loi, a été tué lors d’une frappe militaire dont la responsabilité a été revendiquée par le commandement central des forces américaines.
Cet exemple illustre bien l’extraordinaire complexité de ces menaces mixtes. Il faut, d’abord, pouvoir se communiquer les renseignements nécessaires entre divers pays. Cinq ou six pays différents étaient impliqués dans l’exemple que je viens de citer. Dans le cyberespace, tout se passe très vite, et il faut donc pouvoir agir avec la vitesse et l’ampleur de moyens qu’appelle la menace en question. Pour répondre à une menace mixte, il faut une approche qui soit mixte elle aussi, et qui fasse appel à l’éventail complet des moyens dont dispose un État. On a, en l’occurrence, recouru à l’outil militaire, mais ce sont les efforts diplomatiques du département d’État qui ont permis d’obtenir l’extradition. Pour identifier le coupable, il a fallu un effort conjoint de la justice pénale et des services de renseignements ainsi que la coopération de nos partenaires au sein du Groupe des cinq.
Ces échanges de renseignements entre gouvernements sont compliqués, mais il convient de noter la différence par rapport à ce qui se faisait avant la tragédie du 11 septembre et les États-Unis s’attachent continuellement à renforcer l’efficacité des moyens mis en œuvre, car, ce qui est encore plus compliqué que la coopération intergouvernementale, c’est comment obtenir la coopération des entreprises du secteur privé, puisque, comme nous venons de le voir, les menaces qui pèsent désormais sur les entreprises privées créent un nouveau problème de sécurité nationale. Il nous faut donc maintenant trouver le moyen de persuader les entreprises de communiquer certains renseignements au gouvernement, et cela à une échelle et à une vitesse permettant d’intervenir utilement.
Cela dit, il faut que le gouvernement arrive lui-même à améliorer la communication de renseignements obtenus de sources et par des moyens qui doivent demeurer confidentiels. Pendant des années, la pratique habituelle était de classifier ces documents et de ne jamais les communiquer, si ce n’est qu’à des partenaires privilégiés tels que le Canada. Comment accroître la vitesse et l’ampleur des échanges de renseignements afin de tenir le secteur privé au courant des menaces qui se profilent?
C’est ainsi que, par exemple, nous avons allié l’action de la justice pénale à celle du département du Trésor qui a l’autorité nécessaire pour imposer des sanctions, ce qui nous a permis de rendre publics certains renseignements. Un premier exemple de cela remonte à 2014, lorsque nous avons inculpé d’espionnage économique cinq membres de l’Unité 61398 de l’Armée de libération populaire. Il y a également eu l’affaire d’un certain Su Bin qui s’était rendu au Canada, et nous avions donc dû solliciter la coopération des services policiers de votre pays. L’individu en question a été transféré aux États-Unis où il a été inculpé d’espionnage économique. On a aussi rendu publics les renseignements recueillis par le FBI au sujet d’une attaque menée par la Corée du Nord sur la société américaine Sony Pictures, et inculpé des personnes liées au Corps des Gardiens de la révolution islamique qui avaient commis des attaques contre des entreprises du secteur financier. Nous n’avions jamais auparavant intenté de poursuites pénales contre des personnes attentant à la sécurité nationale, mais nous faisons maintenant cela plus régulièrement.
Rappelons la récente inculpation, dans le cadre de l’enquête menée par M. Mueller, le procureur spécial, de 13 ressortissants russes en raison de leur rôle dans des activités portant atteinte à la confiance de la population américaine dans le système électoral des États-Unis.
La justice pénale ne peut pas, à elle seule, résoudre le problème, mais c’est un bon moyen de diffuser auprès du public les faits dont nous avons connaissance, et de communiquer certains renseignements au secteur privé et à nos partenaires dans diverses régions du monde, cela facilitant la prise des mesures qui s’imposent, qu’il s’agisse d’actions défensives, ou d’une action conjointe avec nos partenaires afin de mettre en œuvre un régime de sanctions, par exemple.
Encore une fois, c’est très volontiers que je répondrai à vos questions.
La sénatrice Stewart Olsen : Je vous remercie de votre participation à nos délibérations d’aujourd’hui. Vous nous entretenez là d’un sujet assez effrayant.
Il semble y avoir deux aspects à la question, les mesures réactives et les mesures proactives. Je suis consciente du besoin de réagir sans perdre de temps, mais sur le plan proactif, que devrions-nous faire?
M. Carlin : Il y a, d’après moi, deux catégories de mesures proactives. L’une d’entre elles entretient d’ailleurs des rapports très étroits avec les mesures réactives. Il s’agit des mesures dissuasives. À l’heure actuelle, sur le plan technique, l’attaquant dispose de moyens beaucoup plus nombreux que le défenseur. Autrement dit, aucun système informatique relié à l’Internet n’est actuellement à l’abri d’un adversaire déterminé qui souhaite s’y introduire. Cela est vrai des États nations tels que la Corée du Nord, l’Iran, la Russie ou la Chine, mais cela devient de plus en plus vrai des organisations criminelles possédant les moyens nécessaires.
Un des fondements d’une stratégie proactive est la définition, par avance, de lignes rouges dont le franchissement déclenchera, espère-t-on, une réaction qui ne s’arrêtera pas à la frontière de l’État. Il s’agit, en effet, de poser certains principes tels que celui interdisant à un État de s’en prendre, par des moyens militaires ou par l’action de services de renseignement, à une entreprise du secteur privé d’un autre État, afin d’avantager un concurrent de l’entreprise en question. Le président Obama et le président Xi s’étaient entendus sur ce point après l’inculpation de certains membres de l’Armée de libération populaire, inculpation qu’avaient par la suite avalisée les pays du G20. Voilà l’exemple d’une ligne rouge à ne pas franchir. Un autre exemple serait l’ingérence dans des élections libres et démocratiques, ce qui entraînerait une réaction de la part du pays attaqué.
D’après moi, la définition d’une ligne rouge devrait s’accompagner de la mise en place d’un dispositif d’homme mort. Cela veut dire que si nous avons des raisons de penser que vous vous êtes immiscé dans une élection libre et juste, ou que vous avez franchi une ligne rouge dans un autre domaine, nous ne vous dirons pas comment nous allons réagir au juste, mais vous devrez savoir que nous allons réagir, y compris par des sanctions multilatérales comme nous l’avons fait dans d’autres domaines tels que le terrorisme ou les armes chimiques. Voilà, donc, une première catégorie de mesures.
Une deuxième catégorie de mesures concerne l’amélioration des pratiques défensives. Il s’agit en partie d’éduquer les secteurs intéressés, et de leur faire comprendre qu’aucun système relié à l’Internet n’est à l’abri d’une attaque de la part d’un adversaire déterminé. Il faut, à la fois, par une réglementation adaptée et un effort de pédagogie, inculquer l’idée de la gestion des risques et du besoin d’assurer la résilience de nos réseaux informatiques. Cela suppose, de la part tant du gouvernement que du secteur privé, un certain effort de planification, mais aussi la mise en place de mesures qui permettront, en cas de pénétration d’un système, de limiter les dégâts et de continuer à assurer les services essentiels.
Le sénateur Wetston : Je vous remercie d’avoir accepté de prendre part à nos délibérations d’aujourd’hui. Je tiens à vous féliciter du travail exceptionnel que vous avez accompli dans le cadre des fonctions que vous occupiez au sein de l’administration américaine. C’est une tâche manifestement urgente dont l’importance va d’ailleurs croissante alors que vous êtes appelé à employer vos compétences au sein du secteur privé. Je vous en félicite.
Il y a deux domaines que je souhaiterais aborder avec vous. Le premier concerne la nécessaire collaboration que vous évoquiez tout à l’heure. Peut-être savez-vous que dans son dernier budget, le gouvernement canadien a posé les bases d’une stratégie nationale en matière de cybersécurité. Cela ne date que de la semaine dernière. Je ne souhaite pas aborder avec vous la question de manière détaillée, mais vous êtes sans doute d’accord sur l’idée d’une stratégie nationale en matière de cybersécurité.
Une des questions que je voudrais évoquer avec vous est, par contre, la remarquable absence, dans ce budget, d’un élément extrêmement important. J’entends par cela le rôle du ministère de la Justice. Qu’est-ce qui me porte à évoquer ce sujet? Il est clair que notre ministère de la Justice aurait un rôle important à jouer en liaison avec les divers organismes ayant comparu devant notre comité. Or, je ne me souviens pas que nous ayons entendu des représentants du ministère de la Justice. Compte tenu de l’expérience que vous avez acquise dans ce domaine aux États-Unis, j’aimerais obtenir sur ce point votre avis. Je sais que vous avez beaucoup travaillé avec des fonctionnaires canadiens.
Vous avez exercé des fonctions au sein de la Division de la sécurité nationale, service qui, vous l’avez dit, a été créé en réponse aux attentats du 11 septembre. Étant donné la situation actuelle, y a-t-il effectivement, selon vous, une activité et un rôle qui reviendraient en cela au ministère de la Justice?
Vous avez, par le passé, évoqué les efforts d’atténuation des risques liés aux diverses catégories d’acteurs : les criminels, les États-nations et les terroristes. Cette dernière catégorie pose d’ailleurs des problèmes particuliers. Je vous demande donc de nous donner votre avis sur la répartition des rôles entre les divers organes de l’État.
M. Carlin : C’est en effet, monsieur le sénateur, une question qui mérite d’être posée.
Si nous avons modifié notre dispositif, c’était à l’origine à cause du terrorisme, phénomène qui fait fi des frontières nationales et qui, de plus, ignore la division traditionnelle des tâches entre, d’une part, la collecte du renseignement et l’usage qui en est fait, et d’autre part l’action des organes de justice pénale. Je sais qu’aux États-Unis, les changements qui ont été apportés au fonctionnement des divers services de l’État, et la possibilité, désormais, d’avoir accès aux informations recueillies par les services de renseignement ont joué un rôle essentiel dans la défense contre les nouveaux risques qui se présentent, et cela nous a permis d’éviter des morts. Or, à certains égards et pour des raisons dont vous nous avez fait part, en l’occurrence la multiplicité des auteurs de menaces, dont des criminels, des malfaiteurs, des espions et des États-nations, cela revêt une importance encore plus grande sur le plan des cybermenaces. L’affaire Ferizi n’est qu’un exemple de ce phénomène croissant de la menace mixte.
Je vais maintenant prendre l’exemple de la Russie. De multiples affaires démontrent l’ampleur du problème de la cybercriminalité. Selon le Center for Strategic and International Studies, le vol a, à l’échelle mondiale, rapporté l’année dernière environ 650 milliards de dollars. Or, il ne s’agit pas d’un phénomène entièrement amorphe. En effet, la menace provient en partie d’un pays bien précis, en l’occurrence la Russie.
Une autre étude est en cours à ce sujet, mais d’après certains calculs, presque 50 p. 100 de ce type de criminalité émane d’organisations criminelles russes. Or, la Russie ne donne pas suite aux demandes qui lui sont adressées par des organisations policières qui souhaiteraient obtenir sa coopération afin de poursuivre les responsables de ces organisations criminelles.
On a récemment eu connaissance d’une organisation criminelle qui avait pris pour nom le mot Infraud, et qui s’était donné pour devise « In fraud we trust ». Il s’agissait de criminels qui s’étaient regroupés, mettant en commun leurs moyens et leurs connaissances afin de pirater les systèmes informatiques de certaines entreprises, et revendre les renseignements qu’ils parvenaient à voler. Comme Amazon, ils avaient un système de classement indiquant, par exemple, « Cinq étoiles. J’ai déjà acheté des informations à ce malfaiteur, c’est un fournisseur digne de confiance ».
J’en ai aussi vu une qui m’a beaucoup amusé : « Deux étoiles. On ne peut pas faire confiance à ce brigand. Je ne peux pas le recommander comme fournisseur. »
Voilà, donc, pour l’aspect criminel du phénomène. Mais on constate en outre l’existence de liens entre le volet criminel et les services de renseignements russes. Après le piratage des systèmes de Yahoo, certains individus ont été publiquement inculpés, mais lorsque les États-Unis ont demandé aux autorités russes de coopérer dans le cadre de poursuites intentées contre un des dix principaux voleurs de données de carte de crédit au monde, au lieu de collaborer, le renseignement russe s’est attaché les services de l’individu en cause et ont entrepris de se servir des données qu’il arrivait à subtiliser.
Ainsi, s’agissant de menaces mixtes, la justice pénale ne peut pas agir efficacement si on ne lui reconnaît pas le droit, et qu’on ne lui donne pas les moyens de se servir de certaines informations recueillies par les services de renseignement. L’inverse est également vrai. Il est extrêmement difficile d’intervenir de manière efficace, tant sur le plan national qu’au niveau de l’action menée avec des partenaires étatiques, si l’on ne peut pas faire état publiquement des activités dont on prend connaissance.
Or, la justice pénale facilite le débat public et favorise la coopération. Il s’agit en effet de travailler ensemble afin de faire pression sur nos adversaires pour qu’ils changent de comportement. Et j’ajoute, en réponse à la question posée par le sénateur qui est intervenu un peu plus tôt, qu’il s’agit de faire prendre conscience aux entreprises du secteur privé, de la situation que nous constatons sur le terrain afin de les encourager à investir dans des moyens de défense proactifs.
Le sénateur Wetston : Merci.
La sénatrice Wallin : Je vous remercie. Je prends un vif intérêt à ce que vous venez de nous dire.
Nous avons recueilli, hier, le témoignage de représentants de nos services officiels qui ont évoqué le niveau de préparation, les systèmes actuellement mis en œuvre, et les mesures de coordination instaurées entre les divers ministères.
J’aurais deux questions à vous poser sur des sujets connexes. En premier lieu, d’après vous, combien de pays ont actuellement instauré un dispositif d’homme mort qui permettrait, effectivement, de prendre des contre-mesures sans ébruiter la chose?
Deuxièmement, j’ai lu ce matin un article sur les retombées de l’affaire Facebook. Vous avez parlé plus tôt de l’arsenalisation des personnes. C’est une question du plus grand intérêt. D’un côté, il y a Julian Assange, qui, dans la pièce, occupe le rôle du méchant, et puis il y a Mark Zuckerberg, le jeune prodige. Mais en fait, consciemment ou inconsciemment, les deux ont arsenalisé à la fois des données et des personnes.
Pourriez-vous nous donner votre avis à ce sujet. Je vous remercie.
M. Carlin : Je dois dire, sur le premier point, que nous ne disposons pas actuellement, dans le cyberespace, de moyens de dissuasion adaptés à la menace et susceptibles d’être employés à l’échelle transnationale. Or, nous allons devoir y parvenir. Des progrès encourageants ont cependant été faits dans ce sens.
Imaginez une approche à trois piliers. À une certaine époque, tout cela restait secret. Or, s’agissant de cybermenaces, nos résultats en matière d’identification des coupables sont bien meilleurs que le public ne pourrait le penser et, si les gens n’avaient pas à l’époque une grande confiance en nos capacités, c’est parce que notre action est pendant longtemps demeurée secrète.
Donc, dans un premier temps, il nous faut parvenir à identifier le coupable. Et puis, il nous faut, plus généralement, publier le nom des responsables et, dans un troisième temps, les sanctionner.
Comme vous avez pu le voir récemment, on a réussi à imputer aux Nord-Coréens le rançongiciel Wannacry — qui a causé, aveuglément, d’énormes dégâts. Puis, il y a eu NotPetya, un ver informatique rançonneur que l’on doit à des groupes russes, et qui, à partir de l’Ukraine, a fait, à travers le monde et sans la moindre discrimination, presque 1 milliard de dollars de dégâts en bloquant tout un éventail de systèmes, aussi bien dans des hôpitaux que dans des entreprises commerciales.
Or, vous avez constaté que, désormais, nous n’hésitons pas à attribuer, disons, Wannacry à la Corée du Nord, ou NotPetya aux Russes. Nous avons un peu tardé à le faire, mais il est, d’après nous, préférable de dénoncer publiquement les responsables.
Ce qui manque, cependant, au niveau de la dissuasion, c’est une action collective efficace proportionnée à l’attaque. Ce qui m’inquiète, c’est que si nous dénonçons publiquement les responsables, sans engager en même temps une action collective efficace, nous faisons passer le mauvais message et, en fait, nous encourageons les actes irresponsables et provocateurs de cybercriminels.
Quant au second point que vous avez soulevé, l’arsenalisation des informations, c’est un phénomène relativement nouveau que nous commençons à affronter. Prenons l’exemple de l’attaque nord-coréenne contre la compagnie Sony. Je suis en mesure de vous dire que pendant des années, nous avons mené des exercices de simulation afin de voir un peu comment un État dévoyé possédant un arsenal nucléaire s’y prendrait pour lancer une cyberattaque contre les États-Unis. Eh bien, nous n’avions jamais imaginé qu’une telle attaque serait déclenchée à l’occasion d’un film sur les aventures d’un petit groupe de fumeurs de pot, que cela allait prendre une telle importance sur le plan de la sécurité nationale et constituer, en quelque sorte, une véritable première.
Or, cette attaque a fait de gros dégâts. Elle a essentiellement neutralisé des systèmes informatiques. Et puis, elle a permis le vol d’une vaste quantité de propriété intellectuelle. Nous avions, avant cela, longuement réfléchi à ces deux types de menaces.
Ce n’est cependant pas pour cela qu’on se souviendra longtemps de ces attaques. Ce qu’il faut retenir, en effet, de l’attaque menée par les Nord-Coréens sur Sony, c’est qu’on a assisté à l’arsenalisation des renseignements volés. Des courriels graveleux internes à la compagnie ont été repris par des médias non traditionnels, puis par la presse généraliste, tout cela faisant partie du plan ourdi par les Nord-Coréens et visant à bâillonner Sony.
Tout cela soulève de grandes difficultés, car il faut en premier lieu percer la nouveauté des tactiques employées. Lors des élections, les Russes ont mis en œuvre des moyens analogues. C’est un problème très compliqué, mais je pense que vous avez raison, il faut d’abord comprendre comment ils s’y prennent. Après cela, il faut que les acteurs du secteur privé qui maîtrisent ces diverses technologies mobilisent leurs moyens afin de voir s’il ne serait pas possible d’empêcher que leurs plateformes servent à arsenaliser l’information.
La sénatrice Wallin : Je vais vous demander, très rapidement, une petite précision. Nous avons vu que M. Zuckerberg s’est excusé, ajoutant qu’il allait naturellement se pencher sur le problème. Mais, la situation est grave. Quelle mesure devrait-il prendre dans l’immédiat?
M. Carlin : Il faut élargir le problème à toutes les entreprises de médias sociaux, car les nouvelles technologies mises en œuvre offrent aux groupes terroristes et à certains pays de nouveaux moyens d’exploiter la situation.
À l’époque où je participais à l’action répressive, le gros problème se situait au niveau des premiers médias sociaux, dont certains individus se servaient pour diffuser de la pornographie infantile. Or, les entreprises ont appris à employer de nouvelles technologies pour repérer ce type de contenu, et des organismes non gouvernementaux à but non lucratif ont entrepris l’archivage des données permettant de repérer les responsables. Les entreprises pouvaient ainsi faire appel aux connaissances d’organismes tels que le National Center for Missing and Exploited Children. La mise en commun des efforts a permis de brider la dissémination de ce genre de contenu.
C’est par ces mêmes moyens que les entreprises de médias sociaux ont considérablement amélioré leurs capacités de freiner l’exploitation de leurs plateformes par des terroristes. La situation à cet égard s’est sensiblement améliorée ces trois ou quatre dernières années.
Vous soulevez là le problème des fausses nouvelles diffusées par certains pays pour peser sur les élections. C’est une menace d’un type nouveau, mais je pense que les ressources, les connaissances et les mesures qui ont servi à freiner l’exploitation des enfants pourront utilement servir dans ce nouveau contexte.
Ce qui aggrave en l’occurrence les difficultés — car je ne prétends pas que cela sera facile — c’est l’antinomie entre les moyens qui vont devoir être employés et l’exercice des droits découlant, aux États-Unis, du premier amendement de la Constitution. Le Canada garantit, lui aussi, la liberté d’expression et il s’agit donc d’instaurer un système qui tout en contrecarrant les menaces qui se présentent respecte cette liberté fondamentale d’une société démocratique.
Il faut ainsi trouver le moyen de percer le voile de l’anonymat et de faire la lumière sur les auteurs d’actes contre lesquels nous devons nous défendre. Je reconnais que cela n’est pas facile.
La sénatrice Unger : Je tiens à vous remercier, monsieur Carlin, de l’exposé que vous nous avez présenté.
Vous avez insisté sur la nécessaire coopération, un élément tout à fait essentiel des efforts visant à contrer ces menaces. Que pourriez-vous nous dire de ce que fait actuellement le Canada sur le plan de la coopération? Où nous situons-nous au niveau des préparatifs, et quelles seraient, selon vous, les faiblesses de notre dispositif?
M. Carlin : Vous savez, mes connaissances concernent essentiellement le droit américain et l’action du gouvernement des États-Unis, et je ne saurais me prononcer sur les actions menées en ce domaine par le gouvernement canadien.
Le sénateur a mentionné précédemment une chose à envisager, ce vers quoi je sais que nous nous dirigeons, et que cela a été utile, c’est-à-dire le mécanisme par lequel prendre ce qui a été recueilli par le côté sécurité nationale et le côté renseignement et transformer cela en produit, que ce soit par le truchement du système de justice pénale ou d’autres moyens qui pourraient informer non seulement l’infrastructure critique, mais aussi le public en général quant à la nature de la menace et aux mesures défensives qu’il pourrait prendre pour s’en protéger.
C’est un domaine dans lequel, à mon avis, il y a encore beaucoup de travail à faire. Un deuxième enjeu serait de continuer à améliorer les mécanismes de coopération transfrontalière rapide de sorte que les forces d’application de la loi dans un pays puissent prendre des mesures au nom de l’autre pays, tout en en respectant les lois et institutions. À l’heure actuelle, les cyberadversaires profitent de l’écart et commettent dans un pays une activité qui se répercutera dans de nombreux autres pays.
Plus vite nous avançons vers un partage de renseignements à la vitesse du cyberespace, plus grande sera la capacité d’appliquer ces renseignements indépendamment de là où une personne vit.
La sénatrice Unger : Vous avez créé une équipe d’analyse des menaces chargée d’étudier les menaces éventuelles à la sécurité nationale que représente l’Internet des objets. Pouvez-vous expliquer cela?
M. Carlin : Je suis heureux que vous me le demandiez. Sur le plan conceptuel, une des raisons pour lesquelles nous sommes ici à étudier cette question, c’est que sur une période de 25 à 30 ans, nous avons transféré presque tout ce qui est précieux pour nous dans l’Ouest de l’analogue — livres et documents — au numérique, puis nous avons relié tout ça par un protocole Internet — TCP/IP — qui n’avait jamais été conçu en fonction de la sécurité. Nous avons fait cela sans calculer correctement le risque d’une telle démarche si des terroristes, des escrocs, des espions et des États-nations exploitaient ces renseignements maintenant stockés sous forme numérique et reliés par Internet.
Et voilà où nous en sommes maintenant, à courir pour rattraper la situation sur le plan des lois, des règlements et des pratiques tant dans le secteur public que dans le secteur privé. L’Internet des objets représenterait une augmentation exponentielle du nombre de dispositifs en ligne, partageant des renseignements et reliés par ce même protocole non sécurisé, l’Internet. Cela va du réfrigérateur à l’éclairage, aux voitures sur la route.
À bien y penser, nous ne devrions pas commettre la même erreur que quand il ne s’agissait que de données à déplacer. Ici, ce sont des objets réels, et aux États-Unis, nous avons déjà eu une preuve de possibilité de piratage dans le cas duquel l’accès est passé par le système de divertissement d’une voiture, entraînant le rappel de 1,4 million de modèles Jeep qui avaient déjà été vendus au public américain.
Nous avons vu aussi une preuve de possibilité de piratage de stimulateurs cardiaques, des dispositifs médicaux qui se trouvaient de fait dans le corps de personnes — dans leur cœur — qu’un enfant de 12 ans serait capable de pirater et de détruire. Quand ces dispositifs ont commencé à être installés, ils avaient été très bien testés et ils fonctionnaient parfaitement, mais ce que les essais n’ont pas fait, c’est de déterminer s’ils fonctionneraient correctement si une personne tentait délibérément de les empêcher de fonctionner comme prévu.
Le moment est crucial pour nos gouvernements respectifs de ne pas commettre la même erreur en ne déterminant pas les risques potentiels et ne tentant pas de faire en sorte que la conception tienne compte de la sécurité avant que le dispositif ne soit mis en service et atteigne le public, qu’il soit aussi sécurisé que possible contre ce type de menace.
Pour faire cela, par exemple, au lieu d’avoir des dispositifs non cryptés par défaut, il faudrait les avoir cryptés par défaut et protégés par mot de passe, et quand il s’agit d’une chose comme une automobile, s’assurer que le système de divertissement et les systèmes essentiels de freinage et de direction soient, de par leur conception, entièrement séparés de sorte qu’un malfaiteur qui arrive à accéder à l’un ne puisse sauter dans l’autre.
Nous avons constitué le groupe d’étude sur cette question parce qu’il est extrêmement important de faire correctement les choses avant que nous devenions vulnérables et que des gens perdent la vie. À ce stade, je suis sûr que nous serons pleinement motivés à régler le problème, mais réglons-le avant que quelqu’un ne soit blessé ou n’en meure.
La sénatrice Marshall : Merci beaucoup. Comme l’a dit le sénateur Wetston, notre budget fédéral a été présenté le mois dernier, et il s’y trouve une toute petite section, obscure, qui propose le partage des renseignements fiscaux confidentiels sur les contribuables canadiens avec d’autres pays. D’après les renseignements que j’ai reçus, ce serait probablement 20 à 30 pays, dont notamment les États-Unis, la Chine et la Russie.
Êtes-vous au courant de ce que les États-Unis font en ce qui concerne le partage des renseignements fiscaux avec d’autres pays? Quels sont d’après vous les risques associés à un tel partage des renseignements fiscaux confidentiels?
M. Carlin : Je ne suis vraiment pas un expert sur le partage des renseignements fiscaux confidentiels. Je sais comment y accéder — à des fins d’application de la loi des États-Unis, il y a une autorité et un régime spécial appelé le 26 U.S.C. 6103 qui régit l’usage de ces renseignements dans les enquêtes de crimes potentiels —, mais je ne connais pas les règles et procédures applicables au partage de ces renseignements à la demande d’un partenaire.
J’ai vu passer certaines demandes qui nous ont été adressées dans le cadre d’un traité d’entraide multilatérale, mais je suis désolé madame, je ne connais pas une telle disposition.
En général, c’est le genre de renseignements pour lesquels je sais que nous avons investi des ressources pour tenter d’en améliorer la sécurité et la protection contre le vol par le truchement de cybermoyens. C’était un des domaines sur lequel on s’est penché lors de la catastrophe du Bureau de la gestion du personnel des États-Unis quand nous avons perdu tant de renseignements au sujet d’employés du gouvernement.
À l’échelle du gouvernement entier, nous avons procédé à ce qu’on appelle un sprint cybernétique pour améliorer les mesures fondamentales de blocage et d’attaque, si vous voulez, pour la cybersécurité, et nous avons commencé à repérer les renseignements les plus cruciaux qui doivent être protégés; les renseignements fiscaux se trouvent dans cette catégorie de renseignements délicats qui nécessitent une protection supplémentaire.
Je sais aussi, d’autre part, que le partage des renseignements pour trouver des criminels, des terroristes, des États-nations et des fraudeurs de l’impôt est important, et donc il est aussi important de disposer de moyens sécurisés par lesquels les autorités peuvent échanger des renseignements.
La sénatrice Marshall : Vous avez parlé du mélange de renseignements, de sorte que les personnes qui aimeraient obtenir des renseignements confidentiels pourraient les obtenir de cette source, puis les comparer à d’autres renseignements et les combiner pour les utiliser à des fins illicites. Est-ce une possibilité d’après vous?
M. Carlin : Bien sûr. Si l’on va sur le Web invisible aujourd’hui, cette portion d’Internet n’est pas indexée, et il faut savoir exactement où on va, où des criminels tiennent essentiellement des bazars d’échange de renseignements illicites. Ces renseignements personnels délicats sont en vente et obtiennent un prix d’autant plus élevé s’ils sont délicats. Comme vous pourrez le constater, avec les renseignements sur la santé, les renseignements généraux de crédit et fiscaux seraient de grande valeur.
Une fois que ces renseignements atteignent le marché criminel secondaire, on ne sait pas qui va les obtenir. Nous avons vu des États-nations utiliser cette méthode pour obtenir des renseignements qui nous inquiètent. Nous n’avons pas vu cela à grande échelle, mais les groupes de terroristes font la même chose. Et les criminels ordinaires se vendent les uns aux autres des renseignements à différentes fins criminelles.
Le sénateur Marwah : Merci, monsieur Carlin, de nous parler aujourd’hui.
Dans de nombreux articles pour lesquels vous avez été interviewé, vous avez mentionné que dans le monde cybernétique, nos règlements sur les données stagnent au XIXe siècle. Si nous devions nous attaquer à un certain nombre de règlements, dont celui qui régit le stockage des données hors du pays, et vous parlez maintenant de l’Internet des objets, quels autres règlements devraient être modernisés?
Vos connaissances s’appliquent probablement aux États-Unis, quoique je soupçonne que si vous l’avez aux États-Unis, nous l’avons au Canada. Je pense bien que ce serait la même chose aux États-Unis. Par conséquent, quels seraient ceux auxquels vous vous attaqueriez?
M. Carlin : C’est une excellente question. Il y a deux ou trois domaines différents. Premièrement, aux États-Unis, à l’heure actuelle — et nous verrons ce qui va se produire parce que c’est relié à la loi budgétaire pour laquelle un vote se tient en ce moment —, il y a ce qu’on appelle le CLOUD Act, la loi sur le nuage, qui serait un moyen par lequel… Voici le problème : disons qu’il y a une question d’application des lois canadiennes pour un crime de compétence locale et qu’un meurtre est commis au Canada. Les services policiers locaux et d’État sont constamment confrontés au fait que des renseignements cruciaux pour ce crime purement local de citoyen sur citoyen sont souvent en possession d’une société étrangère outre-mer. Par conséquent, c’est une grande frustration pour les agences locales et d’État d’application de la loi qu’il ne soit pas pratique pour nous de recourir de façon routinière à une demande au titre du Traité d’entraide juridique, ou TEJ, pour ces crimes locaux routiniers. Une telle demande peut prendre d’un an à 18 mois avant d’être traitée. Ils veulent pouvoir utiliser les lois du Canada pour signifier des actes au Canada et obtenir une réponse concernant un crime local.
Selon la loi sur le nuage, il y aurait un mécanisme selon lequel, si les deux régimes ont des protections de la vie privée et des libertés civiles équivalentes, un peut utiliser ces actes juridiques et ordonnances équivalents pour obtenir des renseignements concernant des crimes locaux. Ainsi, deux systèmes judiciaires pourraient faire cela.
Par ailleurs, je crois que ce serait un excellent modèle, parce qu’il encourage les pays à lever la barre en termes de protection des droits civils et des libertés civiles en ce qui concerne l’accès à cette capacité de signifier des actes; d’un autre côté, cela modernise un système qui s’appuie de plus en plus sur des données numériques pour l’exécution de fonctions routinières d’application de la loi.
Si nous ne produisons pas des solutions comme celle-ci, la tendance actuelle vers la localisation obligatoire des données deviendra inquiétante, parce qu’elle n’est pas bonne pour les droits civils et les libertés civiles. Elle n’est pas bonne non plus pour notre croissance économique et notre productivité. Elle n’est pas bonne encore pour la sécurité nationale, domaine où des entités aux vues similaires devraient pouvoir partager des renseignements entre elles.
C’est donc un domaine : moderniser notre capacité de signifier des actes d’application de la loi qui correspondent à nos valeurs respectives pour obtenir des renseignements transfrontières.
Un autre domaine serait la cohérence des notifications d’atteinte à la protection des données. Je vois encore plus cela maintenant que je suis dans le secteur privé, conseillant des clients. Il y a une gamme étourdissante de règlements différents. Aux États-Unis seulement, nous avons environ 48 lois d’État sur la notification de l’atteinte à la protection des données, dont plusieurs sont légèrement différentes. Dans le cas de nombreuses entreprises, celles-ci font affaire simultanément dans de nombreux pays et de plusieurs régions du monde. Une atteinte à la protection des données touche généralement ces nombreux pays.
Par conséquent, pour collaborer et tenter d’avoir des notifications d’atteinte à la protection des données qui soient cohérentes ou explorer des possibilités de sphère de sécurité quand le gros de la brèche se produit dans un pays et on répond aux lois de ce pays, l’autre pays accepte cela comme mécanisme de notification de l’atteinte à la protection des données.
En fin de compte, nous cherchons à motiver les entreprises à produire volontairement les renseignements.
Le troisième domaine dont nous avons parlé un peu déjà aujourd’hui serait celui des renseignements que les gouvernements recueillent et des mécanismes selon lesquels ces renseignements pourraient être communiqués au secteur privé pour qu’il puisse agir. C’est un nouveau problème avec cette technologie. Nous n’avons jamais eu le secteur privé autant en première ligne de ce qui relevait auparavant de responsabilités fondamentales du gouvernement et des risques comme les menaces à la sécurité nationale. Il nous faut repenser nos règlements en conséquence.
Le sénateur Marwah : Et qu’en est-il des lois sur la protection de la vie privée? Estimez-vous que nos lois sur la protection de la vie privée ont suivi l’évolution de la technologie?
M. Carlin : Je crois que les lois sur la protection de la vie privée doivent être itératives. La technologie avance si rapidement que, dans certains domaines, il y a eu beaucoup d’attention sur les renseignements personnels identifiables et sur la façon de procéder à une notification si ceux-ci ont été volés.
Mais la menace à la vie privée peut ne pas être par l’atteinte à la sécurité de ces renseignements. Elle pourrait se situer dans la capacité de réunir des renseignements et d’appliquer de nouveaux outils comme l’apprentissage machine, ou encore au fur et à mesure de l’avancement de l’intelligence artificielle pour créer de grandes possibilités, de sorte qu’il y a d’une part une motivation à cet investissement, mais aussi, d’autre part, des menaces à la vie privée.
Nos régimes respectifs en sont tout juste au début de la réflexion sur les conséquences de l’application de l’intelligence artificielle aux ensembles massifs de données et sur ce que les règles devraient être dans ce domaine. La technologie change si rapidement. C’est du nouveau. C’est donc un domaine qui mérite d’être étudié continuellement et, avec un peu d’espoir, il y aura une approche commune à l’avenir.
[Français]
Le sénateur Dagenais : À la suite des événements qui ont eu lieu récemment sur la plateforme Facebook, j’aimerais savoir si les gens peuvent poser des actions concrètes, individuellement, pour mieux protéger leur identité.
L’an dernier, lors d’une entrevue à la télévision américaine, vous avez dit que le numéro d’assurance sociale est la base de l’identité aux États-Unis tout comme au Canada, mais que cette méthode est maintenant dépassée. Qu’est-ce qui pourrait remplacer le numéro d’assurance sociale pour s’identifier et y a-t-il déjà des actions qui ont été menées ou qui sont en voie de l’être, entre autres par les gouvernements, dont le gouvernement américain? J’aimerais entendre votre point de vue à ce sujet.
[Traduction]
M. Carlin : Je suis heureux que vous ayez soulevé la question.
Au tout début, l’ancienne carte de sécurité sociale portait la mention « À ne pas utiliser à des fins d’identification ». Au fil du temps, encouragés partiellement par des règlements bien intentionnés, surtout dans le secteur financier, nous avons commencé à exiger que les entreprises l’utilisent exactement à cette fin. Si c’était une bonne idée à l’époque, elle ne l’est plus maintenant.
Le plus haut fonctionnaire actuel dans l’administration Trump pour la cybersécurité, Rob Joyce, a déclaré publiquement que, comme tant d’autres, ses renseignements personnels d’identité ont été volés au moins six fois. Ce n’est pas particulièrement utile pour un consommateur d’être avisé que ses renseignements, comme son numéro de sécurité sociale, ont été volés, parce qu’en tant que consommateur, que peut-il faire de ce renseignement?
Je crois bien que Rob Joyce ait fait allusion à un groupe d’étude aux États-Unis qui commencera à étudier la possibilité de passer du numéro de sécurité sociale à d’autres formes d’identification à facteurs multiples. C’est un domaine où la technologie a causé le problème, en partie, parce qu’un si grand nombre de données qui nous identifient sont stockées en ligne et ont été volées, accumulées, et maintenant vendues à des fins criminelles.
Mais la technologie peut aussi être la solution dans la mesure où, si on revient à l’aspect de l’apprentissage machine, il se pourrait que nous ayons des identificateurs uniques qui nous identifieraient de façon globale en examinant de nombreux aspects différents de ce que nous faisons et des endroits avec lesquels nous communiquons en ligne. Il y a de nombreuses formes d’identification à facteurs multiples.
Il semble que nous devrions commencer à avancer dans ce sens, et rapidement. Si l’on tient compte de certaines des plus grandes brèches qui se sont déjà produites, sans compter toutes les atteintes à la protection des données sans brèche — les choses que les gens révèlent sur eux-mêmes en ligne —, si nous n’agissons pas rapidement pour corriger ce problème, il causera des pertes de plus en plus importantes en raison de fraudes et d’autres moyens.
[Français]
Le sénateur Dagenais : Lorsque l’auteur d’une cyberattaque est identifié, pouvez-vous nous dire de quelle façon vous fonctionnez en ce qui concerne les mises en accusation? Y a-t-il eu des procès aux États-Unis? Si oui, j’aimerais savoir quel genre de preuves doivent être présentées pour aboutir à des condamnations.
[Traduction]
M. Carlin : Dans chaque cas, nous avons suivi notre protocole normal avant d’intenter une action au criminel, même quand nous pensions qu’il était peu probable que nous puissions mettre la main sur l’accusé; autrement dit, nous avions suffisamment de preuves qui seraient recevables devant une cour pénale, et nous estimions probable qu’un jury composé de pairs du défendeur trouverait celui-ci coupable hors de tout doute raisonnable. Nous avons intenté des actions en justice, avons confronté des gens à des preuves devant le tribunal et nous avons réussi de cette façon.
Souvent, de fait, une fois confrontés à des preuves contre eux qui sont recevables, plusieurs accusés ont plaidé coupables quand ils avaient accès au système pénal des États-Unis, y compris celui que nous n’aurions pas pu confronter sans la coopération du Canada — je sais que le Canada avait été soumis à d’immenses pressions de la Chine à ce moment-là, et nous sommes reconnaissants de la coopération et du recours aux procédures normales du système de justice pénale canadien dans le cas de Su Bin dont j’ai parlé plus tôt.
Pour faire cela, il faut avoir des processus judiciaires accessibles par entrée en communication en temps réel, souvent des renseignements obtenus au moyen de processus judiciaires appropriés, lorsqu’il est possible d’examiner les bits et les octets pour pouvoir les présenter. Souvent, lorsqu’il s’agit de la sphère de sécurité nationale, l’information peut aussi être recueillie par le truchement du renseignement, ce qui est très difficile à présenter devant un tribunal; par conséquent, nous tentons de recueillir les renseignements par le truchement des processus de justice pénale ordinaires. C’est une des choses.
Nous avons fait un deuxième changement. Les bits et les octets et les preuves électroniques, c’est très beau, mais en fin de compte, ce sont des êtres humains qui manipulent le clavier. Nous ne devrions pas ignorer les techniques d’enquête normales que nous utilisons, y compris encourager les gens à se retourner contre d’autres et obtenir la coopération de témoins par la négociation de plaidoyers, utiliser des agents d’infiltration pour pénétrer dans certains groupes de crime organisé, puis appliquer des techniques comme le recours aux services d’analyse comportementale, des profileurs, qui, pendant des années, m’ont aidé quand je travaillais à la poursuite d’affaires de meurtre en série et d’agression sexuelle. Nous avions recours aux services experts du FBI qui savaient comment examiner les preuves médico-légales et les utiliser pour déterminer si une chose concordait avec un profil comportemental particulier.
Plus récemment, le FBI a des personnes qui ont suivi une formation polyvalente de cyberexperts, puis ont été formées à l’emploi des éléments de preuve obtenus dans le cyberespace pour bâtir un profil de l’adversaire éventuel. C’était la technique que nous avons utilisée quand nous tentions de déterminer qui avait procédé à l’attaque Sony.
La sénatrice Ringuette : Merci beaucoup d’être avec nous aujourd’hui. Je vais vous poser quelques simples questions concernant l’exemple que vous nous avez donné au début de vos remarques au sujet de la conscientisation des entreprises et de la façon dont celles-ci coopèrent avec les autorités policières.
Par exemple, je suis émerveillée de voir qu’une grande entreprise des États-Unis, ayant reçu un courriel de chantage réclamant une rançon de 500 bitcoins, a eu la sagesse d’alerter vos autorités policières. Les entreprises sont un peu entre le marteau et l’enclume; elles sont sommées de payer 500 bitcoins pour que leurs renseignements ne soient pas diffusés à l’échelle du monde, et elles doivent tenir compte de l’impact sur le client et de la valeur de l’entreprise si elles doivent signaler la brèche.
Statistiquement parlant, à quelle fréquence une telle situation se présente-t-elle? À quelle fréquence une entreprise alerterait-elle vos autorités policières? Devrait-il y avoir des règlements concernant la notification de la police par l’entreprise, la notification des autorités policières pour tout petit chantage auquel elles sont confrontées?
M. Carlin : Statistiquement c’est difficile à dire, et c’est une partie du problème dans l’établissement de la portée et de l’ampleur complètes de l’activité criminelle dans cet espace, parce que nous ne sommes au courant que de ce dont on est avisés. Nous avons essayé de faire des sondages. Je crois que nous en avons fait un récemment. D’aucuns parlent d’un tiers des entreprises qui ont reçu une demande de rançon par rançongiciel. D’autres parlent d’un nombre beaucoup plus élevé d’après des sondages anonymes.
Je sais que, quand j’étais au gouvernement — et je le vois aussi maintenant dans le secteur privé —, c’était apparemment un nombre très élevé d’entreprises, petites, moyennes et grandes, qui étaient frappées de ce type de demandes de rançon toutes les semaines. L’augmentation de ces attaques d’extorsion par rançongiciels continuera tant qu’il y a un nombre décent d’entreprises qui payent ces rançons à des extorqueurs d’outre-mer. À l’heure actuelle, du point de vue des escrocs, le marché est juteux.
En général, ils demandent de petits montants que l’entreprise trouve plus faciles à payer qu’à signaler. Et, en toute justice, du point de vue de l’entreprise ou du secteur privé, la question est de savoir souvent quel est l’intérêt de s’adresser aux autorités policières pour une demande de rançon de 300 $ ou de 500 $, et même d’un ou deux milliers de dollars? Elles ne vont rien faire. Ça vient d’outre-mer et cela ne fait qu’augmenter le potentiel de dérangement que de tenter de réagir ou de s’exposer à l’embarras, en plus de faire le paiement, sans fournir quelque chose d’utile en échange.
C’est un problème difficile, comme les enlèvements, où il pourrait y avoir des circonstances… c’est facile de dire dans l’abstrait, et c’est la politique générale du FBI que de décourager les gens de payer une rançon, en partie parce qu’il n’y a aucune garantie de récupérer les données de toute manière, parce que cela augmente la probabilité pour quelqu’un d’autre d’être frappé ou, si les escrocs constatent qu’il s’agit d’une entreprise disposée à payer, que celle-ci sera frappée à nouveau.
Parallèlement, à l’heure actuelle, si l’on ne met pas l’accent sur la résilience, ce pourrait littéralement être une situation de vie ou de mort dans certaines circonstances. Des hôpitaux et des services policiers locaux ont été frappés de telles demandes. Pour une entreprise, celle-ci doit peser le pour et le contre de blessures ou pertes de vie éventuelles, ou une situation qui est si essentielle à sa capacité de faire affaire qu’elle ferait faillite; par conséquent, c’est peser la responsabilité fiduciaire contre le paiement.
Je crois que c’est un domaine à explorer. J’utiliserai l’expression « la carotte et le bâton », mais quels incitatifs encourageraient une entreprise à se manifester et à prévenir la police? À l’heure actuelle, le message est ambigu, au moins aux États-Unis — et je crois que c’est la même chose au Canada —, où certaines autorités de réglementation pourraient utiliser contre l’entreprise le fait qu’elle se soit manifestée et déclarer que ses mécanismes de défense sont insuffisants. D’autres sont encouragées à se présenter comme victime. Le message est plutôt ambigu.
Je crois qu’il y aurait lieu de revoir le principe de la carotte et du bâton et, en tant que politique, si nous voulons que les entreprises se déclarent systématiquement, il faudrait leur donner quelque chose en échange pour s’être signalées, même si cela signifie une certaine immunité en matière de responsabilité. Il faut trouver le bon équilibre de sorte que les choses se fassent d’une façon qui n’encourage pas les gens à avoir des procédures laxistes. Il faut qu’il y ait des procédures qui encouragent la résilience et la préparation de sorte que si elles sont frappées d’une demande de rançon par rançongiciel, elles n’aient pas besoin de payer et elles pourraient poursuivre leurs activités normalement.
Le sénateur Tkachuk : Je n’ai qu’une ou deux questions. En ce qui concerne la cybersécurité, il y a l’aspect criminel des gens qui tentent de voler des choses, mais il y a aussi, comme l’a dit le sénateur Marwah, la question du respect de la vie privée. Vous avez parlé de l’Internet des objets et des frigidaires qui sont tous reliés sur Internet.
Je m’interroge sur l’invasion de nos logis par le cybercrime, des gens qui sont capables de voir dans notre maison. Nous utilisons le réseau sans fil pour accéder à Netflix. Je suis toujours émerveillé que cela fonctionne vraiment. Nous accédons à YouTube par le réseau sans fil. De toute évidence, les télévisions deviennent plus sophistiquées qu’auparavant avec le câble. Quand je regarde un western sur Netflix à la télé, la fois suivante toute une gamme d’autres westerns m’est proposée. Ils savent donc ce que je fais. Si je regarde un programme à la télé sur câble, personne ne sait ce que je regarde sauf si on m’appelle et me demande si je regarde les nouvelles à Radio-Canada. Je crois qu’il faut qu’on m’appelle par téléphone; je ne suis pas sûr.
Dans combien de temps le réseau sans fil pourra-t-il accéder à nos logis? Nous avons des ordinateurs dans les voitures. On parle de voitures sans conducteur. Je crois que tous ces objets contrôlés par Internet constituent une plus grande menace encore à notre mode de vie. Pouvez-vous commenter certains de ces non-sens que je tente d’exposer ici, qui sont sérieux à mon avis.
M. Carlin : Vous avez raison de dire que la vie privée et la cybersécurité sont des idées inextricablement liées. Cela se produit déjà. Des dispositifs génèrent de plus en plus de données télémétriques — des renseignements sur la façon dont les dispositifs fonctionnent. Il y a un énorme avantage. Nous nous sommes concentrés beaucoup à l’audience sur la cybersécurité, et à juste titre, sur les inconvénients, mais ces renseignements pourraient sauver des vies quand il s’agit de prévenir des accidents à l’avenir ou fournir aux médecins des renseignements critiques qui permettront de sauver des vies dans la prestation de soins de santé.
L’élément clé ici, c’est, une fois de plus, la sécurité au stade de la conception. Comment pouvons-nous motiver et encourager le déploiement des dispositifs d’une façon qui fasse en sorte que des malfaiteurs ne puissent pas les utiliser à des fins non voulues? Il y a du travail à faire sur ce plan. Certaines industries réglementées ont un peu d’avance, mais dans l’ensemble, cela ne se produit pas et les dispositifs sont déployés à grande échelle sans aucune pensée accordée à la sécurité.
Deuxièmement, nous sommes un peu dans une course. Des pays qui ne partagent pas nos valeurs tentent de gagner la course à l’intelligence artificielle. Quiconque gagne cette course aura un énorme avantage pour la commission de crimes ou d’activités contre la sécurité nationale facilitée par le cyberespace. Cela continuera à alimenter les façons dont ces intrusions et les défenses fonctionnent. Ensuite, plus tard, les percées en mathématiques quantiques pourraient anéantir la plupart de ce que nous faisons présentement du côté du cryptage. C’est donc aussi une course au premier qui atteint le quantique.
Pour gagner cette course, à mon avis, il faut motiver le secteur privé à pouvoir recueillir et analyser ces données efficacement. Cependant, les règlements, comme vous dites, devraient porter sur l’usage. Dans notre réflexion à cet égard, nous devrions encourager la capacité d’appliquer et d’apprendre comment analyser les données à des fins productives, tout en limitant l’usage. C’est un domaine nouvellement à l’étude au gré de l’évolution de la technologie.
Dans le secteur privé, je découvre maintenant qu’un grand nombre d’entreprises commencent à recueillir des données. C’est tout simplement la façon dont le dispositif fonctionne. Elles n’ont jamais agi dans cette sphère ou dans ce secteur auparavant. Elles ne se sont jamais vues comme des entreprises de technologie ou des entreprises de collecte de renseignements, et elles commencent tout juste à se demander dans les salles de réunion : « Qu’est-ce que cela signifie-t-il et que faisons-nous de ces données que nous recueillons? »
Le moment est donc propice pour des organes comme le vôtre d’aider à établir pour elles les règles tandis qu’elles réfléchissent à ce qu’elles feront à l’avenir.
Le président : Merci beaucoup, monsieur Carlin. Vous nous avez apporté une aide extraordinaire. Votre expérience, tant à la fonction publique que dans le secteur privé, a été une combinaison très utile, et nous vous sommes très reconnaissants. Merci beaucoup de nous avoir tant aidés.
Sur ce, nous levons la séance, avec nos remerciements à M. Carlin à San Francisco. Merci beaucoup.
(La séance est levée.)