9 minute read
Comme un dix-roues
Au carrefour Au carrefour 25 27 29 Samuel Laverdière Têtes d’affiche Droit
Au carrefour GÉRER LES GENS, LA TECHNOLOGIE, LES AFFAIRES ET LA SÉCURITÉ
(Photo : Benjamin Scheidl/Pixabay)
Comme un dix-roues sans freins
Un Grand Rendez-vous de l’Association du camionnage du Québec aborde la cybersécurité et ses enjeux pour l’industrie. Par Nicolas Trépanier
Precicom Technologies se spécialise dans l’infogérance, la sécurité informationnelle et l’intelligence numérique. Dans le cadre des Grands Rendez-vous de l’Association du camionnage du Québec, Stéphane Toupin, cofondateur de l’entreprise, a abordé la cybersécurité et ses enjeux pour l’industrie du camionnage dans une conférence intitulée Cyberattaque : un dix-roues pas de freins.
L’industrie du camionnage est particulièrement visée par les cyberattaques. M. Toupin a rappelé l’attaque informatique subie par Transport B&B en 2020. Incapable de récupérer le contrôle de ses données dans un délai raisonnable, le transporteur s’est résolu à payer une rançon.
Il existe deux types de cyberattaques : ciblées et aléatoires. Les attaques ciblées visent une entité en particulier alors que les attaques aléatoires peuvent se produire si, par exemple, vous cliquez sur un lien envoyé à des milliers de personnes. Dans le cas de Transport B&B, c’est une faille dans le pare-feu de l’entreprise qui a permis au malfaiteur – ou aux malfaiteurs – de s’infiltrer dans le système.
«Avec les attaques, le problème, c’est que ça prend des secondes, des minutes ou des heures à se produire, et à l’inverse, ça va prendre des jours, des semaines ou même des mois à détecter», de dire M. Toupin, ajoutant qu’il souhaite éviter aux entreprises de se retrouver à Denis Lévesque parce qu’elles sont victimes d’une cyberattaque.
Il a expliqué qu’auparavant, les virus informatiques ne servaient qu’à faire du vandalisme. Aujourd’hui, les virus ont évolué et on parle de plus en plus d’attaques ciblées. «Les cyberattaques, c’est maintenant un modèle d’affaires et on est capable de faire de l’argent en piratant des entreprises et en demandant des rançons, ou en volant de l’information et en la vendant», poursuit-il, précisant que l’industrie du camionnage possède des informations «intéressantes». Il a ajouté que, de manière générale, le niveau de confiance des gens envers la sécurité est inversement proportionnel à leur niveau de connaissance.
Selon M. Toupin, le pire cauchemar en cybersécurité, c’est l’humain. Ainsi, au-delà des technologies qui peuvent être adoptées pour renforcer la sécurité des systèmes informatiques, les entreprises devraient impérativement se méfier de leurs propres employés.
L’ingénierie sociale est définie comme une forme d’escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l’aspect humain et social de la structure à laquelle est lié le système informatique visé.
Par exemple : quelqu’un téléphone à la réception d’une entreprise en se faisant passer pour un technicien de Bell Canada. Cette personne parvient à obtenir un mot de passe sous prétexte qu’elle doit effectuer des tests de réseau. Il ne s’agit pas de piratage informatique, mais bien d’exploitation après avoir établi un lien de confiance avec l’employé. «C’est ça, de l’ingénierie sociale», de poursuivre M. Toupin. «Sur 156 millions de courriels d’hameçonnage envoyés, 16 millions vont déjouer les filtres, huit millions vont être ouverts et on va cliquer sur 800 000 liens parmi ces courriels-là. En bout de ligne, 80 000 personnes vont mordre à l’hameçon et partager de l’information confidentielle. La joke, c’est que c’est par jour», explique le spécialiste en cybersécurité.
Precicom fait d’ailleurs des campagnes d’hameçonnage volontaire pour tester la réceptivité des gens, et les résultats sont pour le moins déroutants. Lors d’une récente campagne, l’entreprise a envoyé un courriel à 154 destinataires d’une même compagnie leur demandant de changer leur mot de passe pour Office 365. Parmi ceux-ci, 66 ont cliqué sur le lien et 62 ont entré leur nom d’usager et leur mot de passe. «Si on avait été des pirates, on aurait réellement volé 62 comptes de courriels», a déploré M. Toupin, avant d’enchaîner avec d’autres exemples.
Les courriels d’hameçonnage peuvent prendre de multiples formes, y compris celle d’une facture en souffrance ou même d’un curriculum vitae en format Word. «On a tous besoin d’employés et on veut embaucher des gens, alors on va l’ouvrir», prévient-il.
Toujours selon M. Toupin, plus on est haut dans une entreprise, moins les mesures de sécurité sont appliquées. À commencer par un patron qui, pour gagner du temps, demanderait à ne plus avoir à utiliser de mot de passe pour accéder à tel ou tel système. Ou des gens d’informatique un peu trop téméraires qui pourraient avoir tendance à se soustraire aux mesures de sécurité.
Candy drop
Cette technique consiste à laisser traîner dans un stationnement – ou tout autre espace public – des clés USB trafiquées permettant aux malfaiteurs d’accéder au contenu d’un ordinateur. «En tant que bon humain, si vous trouvez une clé
USB par terre et que c’est écrit ‘‘voyage’’ dessus, par exemple, votre réflexe va être de la brancher dans votre ordinateur pour voir ce qu’il y a sur cette clé USB», explique Stéphane Toupin, ajoutant que le même résultat peut être obtenu avec des chargeurs de téléphone intelligent piratés. Ces derniers sont virtuellement identiques à ceux offerts par les fabricants, et particulièrement susceptibles d’être branchés dans un ordinateur lorsqu’ils sont trouvés par terre. «Votre antivirus ne verra rien passer parce que ce n’est pas un virus. C’est réellement, réellement épeurant.»
Dans le même ordre d’idées, des tablettes piratées sont parfois envoyées à des entreprises en guise de cadeau offert par un commanditaire ou un client. Les appareils sont en apparence neufs, livrés dans leur boîte d’origine, mais le système d’exploitation a été modifié. Ce qui n’est pas sans rappeler l’épisode du cheval de Troie dans la mythologie grecque. Lorsque la personne qui reçoit la tablette se branche sur le réseau Wi-Fi de la compagnie, le vol de données peut commencer.
La prudence reste de mise
L’un des problèmes avec les virus, c’est qu’ils changent constamment et qu’ils sont difficiles à identifier. Pour une protection optimale, les entreprises doivent se tourner vers des antivirus «comportementaux» de nouvelle génération qui détectent des comportements suspects, contrairement aux antivirus conventionnels qui détectent des logiciels suspects en fonction d’une liste incomplète.
Les mots de passe apparaissant au dictionnaire peuvent être détectés instantanément par un ordinateur utilisé à cet effet. Quant aux mots inventés, ils peuvent être découverts en quelques secondes à peine grâce à un procédé appelé itération. «L’ordinateur va essayer des lettres comme A, AA, AB, AC de façon séquentielle», d’expliquer M. Toupin, qui suggère d’utiliser des «phrases de passe» au lieu des mots de passe. «Ce qui fait la complexité d’un mot de passe, ce ne sont pas les majuscules, les minuscules et les points d’exclamation. C’est un peu une fausse vérité. Plus un mot de passe est long et moins il utilise des mots du dictionnaire, meilleur il va être.»
Les entreprises devraient s’assurer de donner les bons accès aux bonnes personnes. Souvent, selon M. Toupin, les employés ont accès à beaucoup trop d’informations par rapport aux tâches qu’ils doivent accomplir. Ceci s’applique à tous les employés, y compris ceux à la vice-présidence.
Enfin, lorsque vous êtes sur la route, méfiez-vous des réseaux Wi-Fi hostiles. Si vous transférez de l’information sur des réseaux sans fil publics, utilisez des communications chiffrées et sécurisées (un réseau virtuel privé ou VPN en anglais). «Le cloud n’est pas sécuritaire en soi, il faut l’utiliser de la bonne façon et le rendre sécuritaire», conclut-il. TR
LÉVISLÉVIS 250, Route du Président Kennedy, Lévis QC 250, Route du Président Kennedy, Lévis QC 418-833-5333418-833-5333
QUÉBECQUÉBEC
250, rue Étienne-Dubreuil, Québec QC 250, rue Étienne-Dubreuil, Québec QC
Les et lors de l’entretien d’un camion doivent être déposés dans des .
Aucun mécanicien ne serait assez distrait pour remplir le radiateur d’un camion d’huile à moteur. Pourtant, l’inverse se produit encore trop souvent, alors que du est déposé dans le même réservoir que l’huile destinée au recyclage.
« Il faut vraiment que le glycol soit mis dans un bac à part », indique Jean Duchesneau, directeur général de la Société de gestion des huiles usagées (SOGHU).
Il ajoute que le glycol est en fait le contaminant que l’on retrouve le plus souvent dans les huiles usagées, réduisant d’autant leur potentiel de re-raffinage et de réutilisation. Pour les ateliers de mécanique des flottes de camionnage, des concessionnaires de camions ou des garages spécialisés en mécanique de véhicules lourds, il suffit de demander au récupérateur qui procède déjà au ramassage de l’huile usagée de vous fournir un bac ou un baril de récupération supplémentaire pour le glycol.
C’est entièrement , ça occupe moins de 5 pieds carrés d’espace dans le garage et ça permet de recycler aussi le liquide de refroidissement/antigel sans compromettre celui des huiles usagées.
Le Québec fait déjà plutôt bien en la matière puisque, bon an mal an, ce sont entre 60 et 63 millions de litres d’huile qui y sont récupérés. « Ça représente des taux de récupération d’environ 80% à 85%, ce qui est très bon », estime M. Duchesneau.
La clé, c’est de ne pas mélanger les différents produits à récupérer. Les divers types d’huiles (à moteur, à transmission, pour essieux, etc.) peuvent tous aller dans le même réservoir, mais un bac ou un baril à part doit être dédié au glycol et un autre aux filtres à huile.
Et dans les cas des filtres à huile, ce n’est pas seulement leur acier qui peut être recyclé, mais aussi l’huile qui y demeure, même après que le mécanicien les ait soigneusement drainés par gravité. On estime qu’environ 30% du poids d’un filtre à huile « vide » est en fait celui de l’huile qui s’y trouve emprisonnée et que seules les presses des entreprises de revalorisation peuvent extraire.
Et même s’ils sont faits de métal, les contenants de produits aérosols servant au nettoyage de freins ou au dégrippage d’écrous récalcitrants ne doivent pas être déposés dans le bac des filtres à huile, mais bien dans un bac qui leur est dédié. Afin d’éviter des explosions, les contenants d’aérosols doivent en effet être dépressurisés avant de pouvoir être recyclés adéquatement.
Ce qu’il y a de bien, c’est qu’une bonne partie des opérations de re-raffinage des huiles usagée se fait au Québec, créant de la richesse et de l’emploi ici-même. Un excellent exemple d’ .
Les usines de re-raffinage traitent les huiles usagées et les ramènent à l’état d’huile de base, à laquelle sont ensuite ajoutés les additifs nécessaires pour qu’elle reprenne toutes les propriétés protectrices nécessaires au bon fonctionnement mécanique de la composante où elle sera réutilisée. Un autre bac doit enfin être dédié aux contenants et seaux de plastique ayant contenu les divers fluides (huile, glycol, FED, etc.) utilisés dans l’atelier.
Rappelons que ces différents qui desservent votre région et qui en font la cueillette tout aussi gratuitement, à la fréquence que les ateliers de mécanique déterminent. Et si vous ne générez que de petits volumes à la fois, il existe plus de 1100 points de collecte au Québec où vous pouvez en disposer en toute légalité, sans frais.
« Il faut être vigilants et s’assurer d’avoir tous les barils qui correspondent aux produits recyclés », conclut M. Duchesneau.
Pour localiser un récupérateur ou un point de dépôt : .
