L’OACI, victime de la plus grave cyberattaque de son histoire

Selon des documents internes obtenus par CBC/Radio-Canada, l’Agence de l’aviation civile internationale, basée à Montréal, a tenté de dissimuler une brèche de sécurité majeure causée par une cyberattaque en 2016 qui était probablement d’origine chinoise et a, du coup, compromis un bon nombre de ses 192 pays membres.

Dans la foulée de cette cyberattaque, des responsables clés de l’OACI ont tenté de camoufler les erreurs qui avaient contribué à rendre l’organisme très vulnérable.

Les documents obtenus par CBC révèlent que les enquêteurs ont trouvé un réseau plein de failles qui auraient dû être signalées des années auparavant.

Le pirate était très probablement l’oeuvre de membres d’Emissary Panda, un groupe d’espionnage sophistiqué et furtif ayant des liens avec le gouvernement chinois.

Ce que l’on sait de l’attaque d’après les documents internes

Adam Weidmann, analyste du cyberespionnage pour l’organisme indépendant Aviation Information Sharing and Analysis Center, a signalé à l’OACI une première cyberattaque le 22 novembre 2016.

Il a communiqué avec l’agent de sécurité de l’information de l’OACI pour l’informer qu’un pirate informatique contrôlait deux des serveurs de l’OACI et les utilisait pour diffuser des logiciels malveillants sur les sites web de gouvernements étrangers.

Au début, l’attaque contre l’OACI avait été traitée comme étant limitée à « un incident grave » sur deux des serveurs les plus sensibles de l’organisation. Mais le 7 décembre, un analyste venu de New York a découvert qu’elle était plus répandue.

Le serveur de messagerie web de l’OACI, l’administrateur de domaine et les comptes d’administrateur système de l’OACI étaient tous soupçonnés d’avoir été compromis. Cela donnait au cyberespion accès aux mots de passe passés et actuels de plus de 2000 utilisateurs de l’OACI et à leur courriel.

Cela signifiait également que le pirate pouvait accéder aux dossiers personnels des employés passés et actuels, aux dossiers des transactions financières et aux renseignements personnels de toutes les personnes qui avaient visité le bâtiment de l’OACI ou qui s’étaient inscrits sur un site de l’Organisation.

Des responsables montrés du doigt

Les documents donnent aussi à penser que les responsables de l’équipe des technologies de l’information et des communications (TIC) à Montréal ont rejeté l’expertise des analystes de l’ONU basés à New York. Ils leur avaient remis des données inutilisables et en retard. Et, dans certains cas, ils ne prenaient pas la peine de répondre aux courriels pendant des jours.

Les documents internes montrent que ce qui aurait dû être une course au sein de l’OACI pour la contenir s’est avéré englué dans les retards, l’obstruction et la négligence.

Les documents suggèrent spécifiquement que quatre membres du département de l’OACI ont tenté de cacher des preuves de leur propre incompétence, ce que leur superviseur absent a laissé faire.

Malgré la gravité de l’attaque et la confusion de la réaction de l’équipe des TIC, des sources confidentielles ont déclaré à CBC que le secrétaire général de l’OACI, Fang Liu, avait mise de côté des recommandations internes pour enquêter sur la conduite de ces quatre membres de l’équipe des TIC et de leur superviseur, James Wan, directeur adjoint pour la gestion de l’information et de l’administration générale. Tous les cinq travaillent encore à l’OACI.

RCI avec CBC News et la contribution de Radio-Canada

En complément

L’OACI a tenté de dissimuler une cyberattaque à Montréal – Radio-Canada 

Montréal : 39e Assemblée générale de l’OACI sur fond d’environnement et de sécurité – RCI 

L’OACI interdit les cargaisons de piles lithium sur les avions – Radio-Canada