L'évolution d'Upatre : un aperçu

Numéro : TR15-001
Date : Le 27 mars 2015

Objet

Le présent rapport vise à donner au personnel de la sécurité des TI un aperçu d'Upatre, un cheval de Troie téléchargeur, et de souligner son développement, son évolution et ses répercussions, car il représente l'un des vecteurs de distribution de maliciels le plus souvent utilisé actuellement. Les auteurs présupposent que le lecteur connaît les maliciels et les méthodes de distribution de ceux-ci, y compris les botnets et les serveurs de commande et contrôle (C&C), la sécurité du périmètre et les systèmes d'intrusion des réseaux. Ce document est destiné aux administrateurs de système, aux équipes d'intervention en cas d'incident informatique (EIII), aux Centres des opérations de sécurité informatique et aux autres groupes technologiques connexes.

Introduction

Des agents malveillants exploitent Upatre pour installer d'autres maliciels sur le poste de leurs victimes. Upatre peut modifier ses méthodes afin d'éviter d'être détecté; il prolonge ainsi sa présence sur le poste, ce qui en fait l'un des téléchargeurs de maliciels les plus courants. Sa persistance s'explique par la taille modeste des fichiers, l'utilisation de HTTPS suivie de celle de HTTP et d'une couche de chiffrement propre à ce maliciel.

Le présent rapport résulte du travail des analystes techniques du CCRIC; leurs efforts en rétroingénierie des échantillons d'Upatre leur ont permis de détecter les tendances et les changements de méthodes. Il expose chacune de ces techniques et propose au lecteur tant des stratégies de détection et d'atténuation que des pratiques exemplaires, et décrit les liens entre Upatre et le cheval de Troie Pushdo ainsi que son rôle dans le botnet Cutwail.

Téléchargeur Pony

On pourra mieux appréhender les détails d’Upatre si on les compare à Pony, un téléchargeur naguère très populaire mais détrôné par Upatre. Découvert en octobre 2011, le cheval de Troie téléchargeur Pony était le principal vecteur de distribution de Gameover Zeus (GoZ), un cheval de Troie de vol d'information. Il s'infiltrait dans les systèmes des victimes à l'aide de pourriels contenant des pièces jointes malveillantes ou qui redirigeaient l'utilisateur vers des sites Web compromis. Après avoir infecté un ordinateur, Pony établissait une connexion HTTP avec un site Web compromis pour installer un deuxième maliciel; le plus souvent, GoZ.

Comment détecter un fichier exécutable
Un fichier exécutable, dont l'extension est habituellement .EXE, a une caractéristique distinctive : ses deux premiers caractères, car ils sont toujours « MZ ».

Description de l'image

La figure ci-haut montre que les deux premiers octets d'un fichier exécutable Windows, représenté sous forme hexadécimale, sont « MZ ».

Les experts en sécurité pouvaient en atténuer les risques en bloquant son téléchargement par HTTP. Les criminels ont pour un temps réussi à contourner ce blocage en masquant l'exécutable comme une image (extension .gif ou .jpeg), mais comme tous les fichiers exécutables ont des caractéristiques uniques et identifiables, on a tout de même pu protéger les réseaux. Les deux premiers caractères de tous les fichiers exécutables sont « MZ »; les antivirus peuvent donc les détecter quelle que soit leur extension. Or, Pony n'a comme seule stratégie que changer l'extension des fichiers. Plus sophistiqué que Pony, Upatre chiffre le contenu intégral des fichiers, y compris les deux premiers caractères souvent utilisés par les dispositifs de protection du périmètre pour détecter puis bloquer les fichiers exécutables.

Les chercheurs du CCRIC ont observé au premier trimestre de 2014 une baisse marquée de nouveaux sites utilisés par Pony; en parallèle, le nombre de sites où on a détecté Upatre a explosé (voir la figure 1). Upatre a surpassé Pony en nombre de nouveaux sites dès le 2e trimestre de 2014, et, en avril, Pony n'entrait pour ainsi dire plus en contact avec de nouveaux sites.

Figure 1 : Nouveaux sites Upatre et Pony, 2012-2014

Newly Identified Upatre Sites versus Pony 2012-14
Description de l'image

La figure ci-haut montre le nombre de sites nouvellement identifiés utilisés par Upatre versus ceux utilisés par Pony entre janvier 2012 et avril 2014.

La figure ci-haut montre le nombre de sites nouvellement identifiés utilisés par Upatre versus ceux utilisés par Pony entre janvier 2012 et avril 2014. L'information est représentée à l'aide de trois jeux de données comparés un à l'autre.

Jeu de données 1 : Le premier jeu de données consiste en l'ensemble des sites nouvellement identifiés contactés par Upatre en utilisant https. Ce jeu de données débute eu juillet 2013, augmente uniformément et atteint son maximum en novembre 2013, pour finalement décroître jusqu'en mars 2014, avec une légère augmentation en avril 2014.

Jeu de données 2 : Le second jeu de données consiste en l'ensemble des sites nouvellement identifiés contactés par Upatre en utilisant http. Ce jeu de données débute en août 2013, et augmente uniformément jusqu'à l'atteinte de son maximum en avril 2014.

Jeu de données 3 : Le troisième jeu de données consiste en l'ensemble des sites nouvellement identifiés contactés par Pony. Ce jeu de données débute en janvier 2012, avec peu de sites entre mars 2012 et octobre 2012. Le nombre de sites augmente entre augmente alors uniformément pour atteindre son maximum en mai 2013, et finalement décroître jusqu'en mars 2014. Une légère augmentation a été notée en novembre 2013.

Upatre
Les chercheurs en sécurité on originellement identifié le cheval de Troie téléchargeur Upatre au 3e trimestre de 2013. Upatre est diffusé par pourriels à l'aide de méthodes ressemblant à celles de Pony : pièces jointes parlant de fausses factures, d'avis de livraison factices ou de sommes d'argent illusoires, téléchargements furtifs et redirection d'adresses. Après avoir infecté un poste, Upatre peut y installer bon nombre d'autres maliciels, comme Gameover Zeus, Cryptolocker, Cryptowall, Pushdo et, plus récemment, Dyreza (Dyre). On distribue souvent Upatre par le botnet Cutwail, un système d'envoi massif de pourriels pouvant transmettre des centaines de milliers de pourriels à la fois. Des criminels rentabilisent aussi Cutwail, car ils le louent contre rétribution à des personnes et des groupes voulant l'utiliser pour diffuser leurs propres maliciels dont Upatre.

Cutwail et Upatre

Cutwail est dans les parages depuis début 2007 et à son sommet en 2009; il fut considéré comme étant l’un des plus gros botnet de pourriels, responsable de l’envoi d’environ 45 pourcent de tous les pourriels. Même si une grande partie du botnet Cutwail fut désassemblée en 2009, il est à ce jour l’un des plus importants botnets de pourriels, infectant souvent les utilisateurs avec Upatre et Dyre.

Source: Symantec Official Blog
Trend Micro Security Intelligence Blog

Une fois sur un système, Upatre est coriace : il peut s'installer furtivement et fonctionner de façon autonome sans autorisation de l'utilisateur. Upatre infecte les postes à l'aide de fichiers très petits; c'est une de ses caractéristiques distinctives. Les pièces jointes de Pony étaient assez lourdes (jusqu'à 2 Mo), contre 10 à 20 Ko pour Upatre. Il exploite donc la capacité des réseaux plus efficacement, et il est d'autant plus difficile de le détecter. Après avoir téléchargé un maliciel chiffré, Upatre le déchiffre et l'installe puis se supprime lui-même. 

Figure 2 : Échantillons d'Upatre détectés par le CCRIC (août 2013 - avril 2014)

Newly Identified Upatre Sites versus Pony 2012-14
Description de l'image

La figure ci-haut montre le nombre d'échantillons de Upatre faisant partie de la collection du CCRIC utilisant HTTPS versus HTTP entre août 2013 et avril 2014. L'information est représentée à l'aide de deux jeux de données comparés un à l'autre. Le premier jeu de données, qui consiste en le nombre d'échantillons utilisant HTTPS, atteint son maximum en décembre 2013 et diminue significativement en janvier 2014. Le nombre d'échantillons augmente à nouveau en mars 2013. Le second jeu de données est pratiquement nul jusqu'à janvier 2014, et augmente de façon stable jusqu'à avril 2014.

Les agents malveillants qui exploitent Upatre ont hébergé leurs fichiers malveillants sur des sites Web compromis. Une fois installé, Upatre communique avec l'un de ces sites Web compromis pour télécharger un fichier malveillant. Le CCRIC a observé entre août et octobre 2013 une hausse marquée de nouveaux sites de téléchargement utilisés par Upatre plutôt que Pony (voir Figure 2). En parallèle, il a aussi relevé selon les empreintes MD5 une forte hausse du nombre d'échantillons uniques. 

Cheval de Troie Pushdo
Outre distribuer Upatre pour d'autres criminels, les exploitants du botnet Cutwail s'en servent aussi pour ajouter d'autres zombies à ce botnet. Une fois qu'il a infecté un poste, Upatre sert alors à installer Pushdo, un cheval de Troie qui transmet des pourriels à partir du poste infecté et cherche à installer Cutwail sur d'autres postes.

Pushdo est l'une des familles de maliciels toujours actifs les plus anciennes : les premières versions ont été créées en 2007. Malgré quatre tentatives de démantèlement en cinq ans, BitDefender a révélé en juillet 2014 que pendant une période d'observation de 24 heures, on a relevé dans le monde 11 000 ordinateurs infectés. Les résultats de l'utilisation récente de puisards sur les domaines de commande et contrôle laissent penser que Pushdo est en croissance et s'allie à d'autres botnets plus importants. Pushdo utilise des algorithmes de génération de domaines (DGA) pour communiquer avec ses serveurs C&C, ce qui rend presque impossible le blocage de ces communications.

Chiffrement sur la couche application propre à Upatre
Un fichier chiffré par l'algorithme de couche application a pu être détecté par ses premiers octets : en hexadécimal, ils sont « ZZP ».

Description de l'image

La figure ci-haut montre une requête GET utilisant la chaîne utilisateur-agent « Updates downloader ». Elle montre aussi une réponse 200 OK, suivie par les données représentées sous forme hexadécimale. Les trois premiers octets sont « ZZP », ce qui montre que les données ont été chiffrées à l'aide de l'algorithme de chiffrement de niveau application propre à Upatre.

Deux variantes d'Upatre : HTTPS, puis HTTP
Les premières variantes de Upatre s'infiltraient dans des sites Web utilisant le chiffrement SSL (Secure Sockets Layer), afin de rendre plus difficile la détection des URL malicieux. En effet la plupart des serveurs mandataires ne déchiffrent pas les communications SSL. Upatre manifestait alors un comportement distinctif : l'utilisation de la chaîne utilisateur-agent « Updates Downloader ». Ainsi ignorés par les serveurs mandataires, les fichiers malveillants pouvaient échapper aux outils de sécurité périmés n'ayant pas été mis à jour avec les correctifs de sécurité les plus récents.

Les développeurs d'Upatre ont aussi créé un nouvel algorithme de chiffrement utilisant la couche application plutôt que la couche transport, comme le fait SSL. Au tout début, on pouvait le détecter par les quelques premiers octets des fichiers téléchargés, qui étaient toujours « ZZP ». Upatre déchiffre ces fichiers à l'aide d'une clé intégrée, et obtient ainsi un fichier exécutable compressé; il décompresse ensuite le fichier déchiffré pour recréer le fichier exécutable.  

Pendant le premier trimestre de 2014, les criminels exploitant Upatre ont choisi d'utiliser HTTP plutôt que HTTPS. Ce changement d'orientation peut s'expliquer par le nombre bien plus grand de sites utilisant HTTP; cela réduit l'achalandage réseau et augmente les profits des créateurs de maliciels. Dès le 2e trimestre de 2014, Upatre communiquait avec plus de sites HTTP que de sites HTTPS (voir figure 3).

Les chercheurs ont remarqué qu'un fichier malveillant peut rester tapi sur un site HTTPS considérablement plus longtemps que sur un site HTTP. Cela s'explique probablement parce qu'il est bien plus difficile de détecter les fichiers malveillants sur un site HTTPS.

Figure 3 : CCRIC - Sites Upatre, HTTP et HTTPS (août 2013 - avril 2014)

Newly Identified Upatre Sites versus Pony 2012-14
Description de l'image

La figure ci-haut montre le nombre de sites nouvellement identifiés utilisés par Upatre en utilisant HTTPS versus HTTP entre août 2013 et avril 2014. L'information est représentée à l'aide de deux jeux de données comparés un à l'autre. Le premier jeu de données consiste en l'ensemble des sites nouvellement identifiés contactés par Upatre en utilisant https. Ce jeu de données débute eu août 2013, augmente uniformément et atteint son maximum en novembre 2013, pour finalement décroître jusqu'en mars 2014, avec une légère augmentation en avril 2014. Le second jeu de données consiste en l'ensemble des sites nouvellement identifiés contactés par Upatre en utilisant http. Ce jeu de données débute en août 2013, et augmente uniformément jusqu'à l'atteinte de son maximum en avril 2014.

Premiers changements dans la variante HTTP : chaînes utilisateur-agent
Les experts en sécurité ont pu détecter et bloquer certains téléchargeurs Upatre à l'aide de caractéristiques uniques, mais on l'a adapté pour qu'il échappe à ces tentatives de détection. Ses créateurs ont remplacé les octets « ZZP » du début des fichiers chiffrés et la chaîne utilisateur-agent « Updates Downloader » par des octets et des chaînes arbitraires. Voici certaines de ces chaînes :

Chaîne utilisateur-agents

Updates downloader

Firefox/5.0

Mozilla/5.0

2508Inst

FixUpdate

onlymacros

2608cw-2

iMacros

Opera

2808inst

litle update

Opera10

aaaaaaa bbbbbbbbbb

macrotest

OperaMini

CheckUpdate

Mazilla

Tintin

Conchita Wurst

Mozilla

Treck

Firefox

Mozilla/4.0

 

Autres changements dans la variante HTTP : extensions de fichiers et octets « magiques »
Les professionnels de la sécurité pouvaient repérer les premières variantes des maliciels distribués par Upatre malgré leur chiffrement, car les premiers octets (souvent appelés « octets magiques »), étaient toujours les mêmes : « ZZP ». Les chercheurs ont toutefois fini par obtenir des échantillons de maliciels sans ces octets magiques. Ces fichiers étaient chiffrés mais indétectables par les antivirus. En outre, Upatre, qui donnait originellement aux fichiers chiffrés l'extension .enc, leur a ensuite donné diverses extensions dont tar.gz, .PDF, et d'autres qu'on n'utilise pas habituellement. Les professionnels ont éprouvé bien plus de difficultés à détecter ces variantes plus évoluées, car les octets magiques et l'extension .enc étaient les seuls signes distinctifs connus d'Upatre.

Éléments actuels d'Upatre et de son environnement (écosystème)

À toutes fins utiles, Upatre est devenu l'épicentre d'un univers de pourriels et de maliciels pouvant prendre en charge tout un écosystème de maliciels. Distribué par le botnet Cutwail, Upatre peut aussi télécharger et installer d'autres maliciels, notamment Gameover Zeus, Cryptowall, Dyre et Pushdo. Ce dernier renforce l'écosystème, car il peut installer Cutwail sur d'autres ordinateurs.

Figure 4 : Écosystème de Upatre

Newly Identified Upatre Sites versus Pony 2012-14
Description de l'image

La figure ci-haut montre l'écosystème de Upatre :

  1. Le cheval de Troie Upatre est livré soit par le botnet Cutwail à l'aide de pourriels, soit à l'aide d'une trousse d'exploitation forçant un téléchargement furtif.
  2. Le cheval de Troie Upatre installe d'autre maliciel, incluant le cheval de Troie PushDO, le botnet GOZeus, Cryptowall, ou le cheval de Troie Dyre.
  3. Le botnet GOZeus livre parfois à son tour Cryptolocker.
  4. PushDO installe Cutwail.

Selon les statistiques du CCRIC, les catégories de maliciels téléchargés par Upatre ont considérablement évolué depuis ses débuts, comme l'indique la figure 5.

L'écosystème de Upatre a été dominé par GoZ jusqu'à une opération de mise hors service en juin, qui l'a presque complètement éliminé. À la fin de 2014, Upatre installait surtout Pushdo, Dyre et Cryptowall. Les tendances indiquent que le cheval de Troie de vol d'informations Dyre, qui ressemble à Gameover Zeus, est particulièrement préoccupant au début de 2015.

Upatre, quant à lui, évolue toujours et adapte ses tactiques pour échapper à la détection. Le chiffrement de la couche application est modifié après quelques mois, ce qui rend son blocage très difficile. Il reste donc largement utilisé par les cybercriminels pour télécharger et installer d'autres maliciels.

Figure 5 : Maliciels installés par le téléchargeur Upatre (avril - novembre 2014)

Newly Identified Upatre Sites versus Pony 2012-14
Description de l'image

La figure ci-haut montre les différents types de maliciel qui ont été installés par le cheval de Troie Upatre du 27 avril 2014 au 30 novembre 2014.

Cryptowall a été observé pour la première fois en Juillet 2014. Les sites nouvellement découverts comme étant utilisés par Upatre pour installer Cryptowall étaient typiquement découverts quelques-uns à la fois, avec des petites secousses aux deux semaines jusqu'à la mi-octobre 2014.

Cryptowall 2.0 a été aperçu quelques fois entre la fin juillet et la mi-août 2014, mais n'a pas été aperçu de nouveau avant novembre 2014. Il n'a pas été aperçu aussi souvent que Cryptowall : pas plus de un ou deux sites utilisés pour l'installer étaient découverts chaque semaine.

Dyre a été observé pour la première fois en juillet 2014, a pris un essor rapide jusqu'à la mi-août 2014, et est disparu brièvement avant de reprendre en force quelques jours plus tard dans le même mois. Peu de nouveaux sites utilisés pour installer Dyre furent découverts en septembre 2014, mais octobre a a définitivement été un gros mois pour Dyre avec plus de 25 nouveaux sites ayant été découverts dans la semaine du 26. Dyre était toujours installé par Upatre en novembre, mais moins de nouveaux sites ont été découverts.

Gameover Zeus a été le premier maliciel installé par Upatre. Malgré que le graphe montre seulement le nombre de sites utilisés pour l'installer depuis avril 2014, il était installé par Upatre depuis août 2013. Le nombre de sites nouvellement découverts a atteint son sommet en Juin 2014. À partir de août 2014, pratiquement aucun nouveau site n'a été découvert.

Kegotip a été observé sporadiquement entre juillet et octobre 2014. Pas plus de deux sites utilisés pour l'installer n'ont été découverts à chaque semaine.

PushDO 3.2 a été observé pour la première fois en juin 2014 et a atteint des sommets vers le milieu de chaque mois jusqu'en octobre, où le nombre de sites nouvellement découverts a atteint un sommet sans précédent. Peu de sites utilisés pour installer PushDO 3.2 ont été découverts au début de novembre 2014 mais à la mi-novembre le nombre de site utilisés pour l'installer a surpassé ce qui avait été observé en octobre.

PushDO Mv20 a été observé deux fois seulement: une fois au début de septembre 2014 et une fois autour de la mi-octobre 2014.

Tuscas a été observé seulement une fois autour de la mi-juillet 2014.

Conclusion
Maliciel furtif, Upatre reste l'un des plus importants téléchargeurs d'autres maliciels, par sa capacité éprouvée de modifier ses tactiques. Les fournisseurs de produits de sécurité améliorent leurs méthodes de détection contre Upatre, mais, en parallèle, les créateurs de celui-ci le mettent continuellement à jour et y ajoutent des fonctions qui complexifient sa détection et sa suppression.

Par ses recherches, le CCRIC a relevé bon nombre de sites Web infectés par Upatre, comme l'indique la figure 5. À titre d'EIII nationale, le CCRIC a aidé à assainir le monde informatique, car il a informé les propriétaires de ces serveurs et leur a offert son aide.

Ses recherches ont également permis de mieux comprendre comment les cybercriminels ont réagi à la mise hors service de Gameover Zeus au début de juin 2014, nommée « Opération Tovar » par les médias. Gameover Zeus installait Cryptolocker, un rançongiciel par chiffrement qui sans doute était une importante source de revenus pour ses créateurs. Il n'est donc pas surprenant de constater qu'Upatre a commencé à installer Cryptowall, un autre rançongiciel par chiffrement, pour compenser le manque à gagner entraîné par la réduction marquée du nombre de postes infectés par Cryptolocker. Apparu le 13 juin, après l'opération Tovar, Dyre est vite devenu l'un des chevaux de Troie de fraude bancaire les plus souvent détectés par le CCRIC. Dans les deux cas (chevaux de Troie de fraude bancaire et rançongiciel par chiffrement), le maliciel éliminé a été remplacé par un autre de même type : respectivement Gameover Zeus par Dyre et Cryptolocker par Cryptowall. L'écosystème entier reste actif à l'aide de Pushdo; il « recrute » d'autres postes qui envoient silencieusement des pourriels ayant en pièce jointe malveillante Upatre.

Malgré l'essor de Dyre et de Cryptowall, l'opération Tovar a été une réussite : des cybercriminels ont été poursuivis en justice et on a récupéré une base de données contenant les clés de déchiffrement des postes de nombreuses victimes, comme l'a annoncé la BBC le 6 août 2014. Elle a réussi surtout grâce à la coordination des efforts de nombreuses agences gouvernementales et entreprises privées, et la participation de chercheurs universitaires.

Comme les maliciels évoluent, les organisations doivent impérativement renforcer les mécanismes de défense au périmètre de leur réseau et continuer à éduquer leur personnel sur les pratiques de sécurité des TI au sujet des pièces jointes et des hyperliens pouvant être malveillants.

Stratégies d'atténuation et mesures recommandées
Le CCRIC recommande aux organisations d’examiner les mesures ci-dessous et de les mettre en œuvre dans le contexte de leur environnement réseau :

Lectures complémentaires (en anglais)

Annexe

Cheval de Troie Pushdo
Pushdo est un cheval de Troie polyvalent; il installe Cutwail, qui ensuite distribue Upatre. Il constitue l'une des plus anciennes dynasties de maliciels, et on estime qu'il est en croissance. Il utilise des algorithmes de génération de domaines (DGA) s'il détecte des problèmes de communication avec les serveurs de C&C. De plus, Pushdo envoie des demandes HTTP à quelque 300 sites Web légitimes mais moins connus afin de noyer dans ce trafic les requêtes destinées au serveur de commande et contrôle.

Cryptowall
Téléchargé par Upatre, Cryptowall se révèle un rançongiciel particulièrement efficace; il chiffre les fichiers de l'utilisateur puis exige avant de les déchiffrer une rançon en Bitcoin. Cryptowall s'infiltre parfois par publicités malveillantes, mais on utilise aussi diverses formes de pourriels.  Un internaute peut par exemple recevoir un courriel où il apprend qu'une somme d'argent lui étant destinée ne peut être transférée à cause d'un petit détail. Une archive Zip en pièce jointe explique tout. Or, cette archive ne contient aucun détail mais plutôt un fichier .scr (économiseur d'écran) malveillant.

Dyreza (Dyre)
Auparavant, le cheval de Troie de fraude bancaire Dyre volait les données (comptes de banque et cartes de crédit) des utilisateurs de grandes institutions bancaires par des campagnes de harponnage et des attaques par « l'homme au milieu », mais on l'a récemment observé dans des campagnes de menaces sophistiquées et persistantes (MSP) contre des sites Web de grandes entreprises et de commerce par Bitcoin. Quand ils réussissent à s'infiltrer dans les systèmes d'une entreprise, les agents malveillants patientent souvent des mois, recueillent des données et attendent le moment opportun pour attaquer. Dyre a été découvert quand des chercheurs ont étudié une campagne persistante par boîte de dépôt. L’investigation a révèle que les attaquants avaient adopté une nouvelle méthode de transmission à l'aide d'un tout nouveau maliciel. En octobre 2014, une campagne visant à diffuser Dyre a commencé : on a alors distribué des pourriels ayant comme sujet « Unpaid Invoic » et comportant la pièce jointe Invoice621785.pdf. À son ouverture, le faux fichier PDF installe une version persistante de Dyre qui surveille silencieusement la saisie de données de nature financière. En outre, Dyre exploite les services STUN (Session Traversal Utilities for NAT); ces méthodes normalisées et protocole réseau permettent à un hôte de connaître sont adresse IP publique même s'il se trouve derrière un dispositif de traduction des adresses réseau (NAT). En décembre 2014, on a aussi vu Dyre dans une campagne de pourriels sur des virements télégraphiques; elle utilisait Upatre pour installer Dyre.

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :