:
Oh, allez, Luc, donnez-moi celle‑là.
Que ce soit une bonne ou une mauvaise blague, nous commençons la journée sur une note d'humour, et c'est ce qui est important.
[Français]
Bienvenue à tous.
[Traduction]
Comme vous le savez, nous avons deux témoins ce matin.
[Français]
Nous accueillons M. Stéphane Perrault, directeur général des élections.
Bienvenue, monsieur le directeur.
Nous accueillons aussi Mme Karine Morin, directrice principale, Intégrité, politique régulatoire et affaires parlementaires.
[Traduction]
J'ai remarqué la présence de Mme Idlout parmi nous. Je vous souhaite la bienvenue. Je suis ravi de vous voir. Nous siégeons ensemble au comité des affaires autochtones et du Nord, mais je suis bien content de vous voir dans ce contexte.
Madame O'Connell, soyez également la bienvenue au Comité permanent de la procédure et des affaires de la Chambre.
Chers collègues, nous suivrons le format habituel: six minutes au premier tour, puis cinq minutes, avec quelques créneaux de deux minutes et demie.
Monsieur le directeur général des élections, entre vous et Mme Morin, il y aura 10 minutes pour une déclaration liminaire. Vous n'êtes pas obligé d'utiliser ces dix minutes, mais elles sont à votre disposition si vous en avez besoin.
Je m'excuse. J'ai oublié de mentionner quelque chose. Avant de commencer, chers collègues et témoins qui ne se présentent peut-être pas souvent au Comité, j'ai un rappel à faire au sujet des casques d'écoute. Afin d'éviter les problèmes de rétroaction et d'autres problèmes qui peuvent nuire à la santé de nos interprètes — qui travaillent très fort en notre nom —, assurez-vous, lorsque vous ne les utilisez pas, de placer vos écouteurs sur l'autocollant qui est devant vous. Lorsque vous prenez la parole, essayer de tenir votre téléphone loin du micro. Bien sûr, si vous l'avez dans l'oreille, c'est très bien.
Cela étant dit, monsieur Perrault, vous avez la parole.
:
Je vous remercie, monsieur le président, de me donner l'occasion de m'adresser ce matin au Comité sur le projet pilote d'Élections Canada qui vise à inclure la langue inuite sur les bulletins de vote dans la circonscription du Nunavut.
Je suis accompagné de Mme Karine Morin, qui est responsable du projet à Élections Canada.
Puisque ce projet suppose des variations à un certain nombre de dispositions de la Loi électorale du Canada, il va devoir être approuvé, conformément à l'article 18.1 de la Loi, qui permet au directeur général des élections de concevoir et de mettre à l'essai un nouveau processus de vote avec l'agrément préalable des comités de la Chambre des communes et du Sénat qui sont habituellement responsables des questions électorales. Je demande donc l'approbation au Comité aujourd'hui.
Il existe au Nunavut des réalités uniques qui justifient ce projet pilote. Premièrement, l'inuktut est reconnu comme une des langues officielles parlées sur l'ensemble du territoire, lequel constitue également une seule circonscription. La majorité de la population, ce qui représente 84 % ou un peu plus, est inuite et a comme langue maternelle l'inuktut.
S'il est approuvé par le Comité, le projet aidera à déterminer les améliorations à apporter pour rendre le processus électoral plus inclusif et accessible aux locuteurs de l'inuktut, tout en cernant les questions opérationnelles et législatives qui devraient être abordées afin de mettre en œuvre de façon permanente, nous le souhaitons, cette offre de services.
De plus, le projet pilote compléterait les efforts d'Élections Canada visant à offrir plus de produits de communication en inuktut dans la circonscription du Nunavut. Les membres du Comité se souviendront peut-être que, lors des dernières élections générales de 2021, de nouveaux produits de communication avaient été offerts en inuktitut dans les lieux de vote, dont un fac-similé de bulletin de vote et une version de la taille d'une affiche du bulletin de vote.
Lorsque j'ai comparu devant le Comité en mars 2022, alors que celui-ci étudiait l'ajout des langues autochtones sur les bulletins de vote, je lui ai présenté, pour son examen, différentes options sur le sujet et lui ai expliqué certains des défis posés par chacune des options.
Dans son rapport, le Comité a recommandé qu'Élections Canada entreprenne un projet pilote visant à inclure l'inuktut sur les bulletins de vote dans la circonscription du Nunavut. Pour donner suite à votre rapport, mon bureau a commencé à élaborer une proposition pour ce projet en tenant compte des discussions menées avec plusieurs représentants et organisations inuits et de l'expérience de la tenue d'élections au Nunavut. Je tiens à souligner aujourd'hui que toutes les personnes consultées ont salué l'initiative.
[Traduction]
J'aimerais rappeler aux membres du Comité qu'il s'agit d'un projet pilote propre à la circonscription électorale du Nunavut. C'est une initiative nouvelle et exploratoire qui s'inscrit dans le cadre des efforts déployés par Élections Canada pour l'adoption d'une approche graduelle qui sera mieux à même de tenir compte de la réalité linguistique des électeurs du Nunavut.
En bref, le projet pilote permettra aux candidats et aux partis politiques qui se présentent dans la circonscription du Nunavut de soumettre leur nom en inuktut — soit en inuktitut à l'aide de caractères syllabiques ou en inuinnaqtun à l'aide de l'alphabet latin — ainsi qu'en anglais et en français, et de faire en sorte que ces noms figurent sur le bulletin de vote ordinaire. L'initiative permettra également aux électeurs du Nunavut d'inscrire le nom d'un candidat en inuktut sur un bulletin de vote spécial lorsqu'ils votent par la poste ou au bureau local d'Élections Canada au moyen d'un bulletin de vote en blanc.
Les candidats et les partis politiques seront invités à fournir leur nom en inuktut. Élections Canada s'abstriendra de traduire les noms des candidats ou des partis, ou d'en faire la translittération. De plus, nous n'exigerons pas de pièces d'identité pour vérifier les noms des candidats en inuktitut. Cette approche est la même qu'utilise Élections Nunavut présentement.
Alors que nous planifions la mise en œuvre de ce projet pilote, nous sommes conscients d'un certain nombre de défis et de limites. L'un de ces défis consiste à assurer le contrôle de la qualité du bulletin de vote régulier en inuktut dans le très court laps de temps qui sépare la clôture des mises en candidature et l'expédition des bulletins de vote, la difficulté étant de faire en sorte que ces derniers arrivent à temps pour le vote par anticipation dans les différentes communautés du Nunavut. Nous avons retenu les services de personnes qui lisent l'inuktut pour nous prêter main-forte à cet égard.
Un autre défi est lié au fait que ce projet pilote n'implique aucune modification aux systèmes informatiques. Cela signifie que, même si les noms seront inscrits en inuktut sur les bulletins de vote, il ne sera pas possible d'ajouter l'inuktut à tous les produits d'information sur l'élection, comme les résultats qui seront présentés sur notre site Web le soir de l'élection.
Pour assurer l'intégrité du processus de dépouillement des bulletins de vote spéciaux ou des bulletins de vote en blanc, le projet pilote prévoit d'embaucher du personnel qui lit l'inuktut au bureau local d'Élections Canada à Iqaluit et au bureau de dépouillement d'Ottawa. Les travailleurs électoraux qui lisent l'inuktut aideront à consigner les intentions des électeurs qui auront rempli les bulletins de vote spéciaux en inuktut. Il est important de savoir que l'inuktitut n'est pas une langue fixe. Différents symboles peuvent être utilisés pour exprimer un son similaire, ce qui peut avoir pour effet de modifier le nom. Nous avons besoin de personnes qui lisent la langue pour être en mesure de nous assurer que tel ou tel candidat ne sera pas indûment rejeté si son nom est écrit différemment. Les partis politiques seront également invités à envoyer des observateurs qui peuvent lire l'inuktut afin d'assurer l'intégrité du processus de dépouillement pendant le projet pilote.
En ce qui concerne les prochaines étapes, je vous signale que j'ai également écrit au comité sénatorial et que j'espère y être reçu quelque temps cet automne. Si les deux comités approuvent le projet pilote, nous inviterons les partis politiques à soumettre leurs propositions de noms en inuktut dans le cadre de la première étape de mise en œuvre du projet.
Une fois le projet pilote terminé, j'écrirai aux deux comités pour leur faire part des enjeux opérationnels et législatifs qui devront être pris en considération si le Parlement souhaite faire de cette offre de services une offre permanente, ce qui est assurément l'objectif de l'exercice.
[Français]
Avant de conclure, je veux souligner aux membres du Comité que j'ai fourni un tableau des variations à la Loi électorale du Canada. Elles sont peu nombreuses, mais nécessaires pour mener à bien le projet pilote. Si c'est approuvé, j'espère qu'elles seront incluses dans le rapport du Comité.
Je vous remercie de m'avoir invité à comparaître devant vous et de l'intérêt que le Comité porte à ce projet. Je serai heureux de répondre à vos questions.
:
Merci beaucoup, monsieur le président.
C'est toujours un immense plaisir de vous recevoir, monsieur Perrault. Il est important de bien connaître la situation. Pour ma part, j'en apprends constamment sur ces sujets.
Pour être honnête, je dois dire que j'avais quelques questions, mais que mes collègues les ont toutes déjà posées. Cependant, j'ai bien pris note de la demande voulant que la décision soit prise rapidement, étant donné la conjoncture. Notre souci, du moins le mien, c'est que vous ayez tout ce qu'il faut pour réaliser cette initiative compte tenu de ce qui peut survenir à tout moment.
Y a-t-il des défis qui n'auraient pas été soulevés et qui pourraient nous donner l'occasion de vous aider si cette situation devait se concrétiser bientôt, à la suite d'un vote favorable de notre part?
:
Je vais répondre de deux façons.
J'ai le pouvoir, en vertu de la loi, de faire certaines adaptations. Pour une solution provisoire, nous autorisons habituellement toujours la possibilité de faire des copies du bulletin de vote localement, sans souche ni talon, peu importe l'objet de notre discussion ici aujourd'hui à propos des langues. C'est tout simplement parce qu'il y a un risque — les conditions météorologiques ou d'autres circonstances — que nous ne parvenions pas à acheminer les bulletins de vote à temps dans certaines collectivités uniquement accessibles par avion. Il y a toujours une solution provisoire. Dans ce cas‑ci, avec l'adaptation de la loi, le scrutin peut essentiellement se faire avec des bulletins de vote copiés qui sont numérotés à la main. Cela n'a jamais été nécessaire, mais c'est toujours très serré.
Pour obtenir une solution plus complète, l'autre option est d'éliminer l'exigence concernant le talon. À ma connaissance, c'est quelque chose qu'on ne retrouve qu'à l'échelle fédérale. Les provinces et les territoires n'ont pas cet élément sur leur bulletin. C'est quelque chose qui vient avec un ensemble plus vaste d'éléments à considérer.
:
Merci beaucoup, monsieur le président.
Monsieur Perrault, madame Morin, merci d'être ici aujourd'hui. C'est un plaisir de vous voir.
Je suis très heureux d'entendre parler du travail que nous avons fait au comité de la procédure. Je pense à Lori Idlout ainsi qu'à ses efforts dans ce domaine et à son extraordinaire contribution. Madame Idlout, il est vraiment formidable de vous revoir ici.
Je suis heureux d'être de retour au Comité. Je suis content de voir ce projet pilote progresser. Je pense que nous pouvons tous nous entendre pour dire que c'est un pas concret dans la bonne direction. Merci de votre engagement et de votre travail dans ce dossier. J'ai quelques questions, mais je voulais témoigner de ma solidarité pour vos efforts acharnés afin de rendre cela possible.
J'ai lu votre déclaration liminaire. Je pense qu'il y a peut-être des différences entre ce que vous avez dit et ce que vous avez écrit avant. Je fais remarquer qu'à un certain point à la fin de vos observations, vous avez dit que vous envisagez de revenir devant le Comité, ou devant le Parlement, pour parler de « questions opérationnelles et législatives » qu'il faudra peut-être régler pour faire de ce projet pilote « une offre permanente ». Je pense que c'est ainsi que vous l'avez exprimé, ce qui est formidable.
Quelles seront ces questions selon vous? Vous semblez déjà savoir qu'il y aura des défis à relever, ou des changements législatifs qui pourraient être nécessaires pour faire cela de manière plus permanente. Pouvez-vous donner des exemples de ce à quoi vous vous attendez?
:
Merci beaucoup, monsieur le président.
Encore une fois, j'ai trouvé très intéressante la façon dont on va mesurer la pertinence du projet pilote et les résultats qui en découleront.
Moi, j'aime bien les projets pilotes, dans la mesure où ce sont des tests qui nous permettent aussi d'avoir de longues discussions par la suite. C'est peut-être pour ça que je n'ai pas beaucoup de questions pour vous, mais j'en ai tout de même une.
Au Québec, on utilise les visages des candidats sur les bulletins de vote.
Est-ce aussi le cas actuellement sur le territoire du Nunavut ou la situation est-elle un peu la même que dans le reste du Canada?
Avez-vous pensé à cette situation?
:
Je trouve que c'est une belle question, et je vous remercie de la poser.
Oui, j'y ai pensé. Je dois dire que cela soulève des défis.
Dans son cadre actuel, la Loi électorale du Canada ne permet pas l'ajout de visages sur les bulletins de vote. Je pense toutefois que l'on devrait explorer cette option à plus long terme.
Dans un tel cas, j'essaierais aussi la formule du projet pilote, mais ce projet n'entraînerait pas nécessairement de modifications à la Loi. Nous proposerions l'ajout de visages sur les affiches dans les lieux de scrutin pour voir comment cela fonctionne.
Il faudrait aussi tenir compte de certains aspects opérationnels, notamment la production d'images des candidats et des candidates dans un délai assez strict. Il faut aussi penser à la qualité de ces images. Il pourrait y avoir des réserves de la part de certains candidats.
Ce serait donc quelque chose que nous voudrions expérimenter. Ce ne sera pas pour la prochaine élection, mais je passerais certainement d'abord par un projet pilote, encore une fois, en utilisant les visages sur les affiches plutôt que sur le bulletin de vote. On pourrait voir s'il y a lieu d'en tirer des leçons et d'aller plus loin.
:
Merci beaucoup.
Qujannamiik.
Je vais donner suite à mes questions sur les électeurs qui ne sont pas chez eux dans leur collectivité le jour du scrutin, car bien souvent, ils partent pendant des semaines ou des mois, surtout si c'est pour recevoir des soins médicaux.
De plus, le Nunavut, qui est un énorme territoire, possède trois pôles urbains — ou quatre, peut-être. À l'ouest, nous avons Yellowknife et Edmonton. Pour la partie centrale, nous avons Winnipeg, puis à l'est, nous avons Ottawa. Comme l'a fait remarquer Mme Fortier, notre population d'Inuits augmente également.
Je me demande si Élections Canada a envisagé de peut-être tenir un scrutin d'une journée dans ces centres urbains pour veiller à ce que, par exemple, le vote des personnes qui reçoivent des soins médicaux soit compté.
:
C'est vraiment difficile pour nous de le faire. Je pense que le projet pilote nous permet de faire un pas important, de voir quels sont les obstacles et de déterminer si nous pouvons aller plus loin.
À l'heure actuelle, les personnes qui votent par bulletin spécial au Nunavut pourront... Si, par exemple, elles se trouvent dans un hôpital au Nunavut, qu'elles ne sont pas à leur domicile, elles recevront un bulletin de vote spécial sur lequel figurera l'inuktut. Si elles sont détenues au Nunavut, c'est ce qu'on leur offrira. Toutefois, si elles sont détenues ailleurs qu'au Nunavut, par exemple, nous n'aurons pas de trousse différente pour chaque prison du pays. Ces électeurs n'auront pas accès au bulletin de vote spécial. Il y a des limites à ce que nous faisons. Je pense que nous devons en être conscients.
Tous les électeurs du Nunavut peuvent faire une demande par courrier, en particulier ceux qui ne se trouvent pas dans leur circonscription. S'ils n'y sont pas pendant une longue période, nous aimerions leur communiquer autant de renseignements que possible afin qu'ils puissent planifier leur vote et obtenir un bulletin spécial en inuktut pour pouvoir voter, mais il faudrait faire une demande en ligne. Nous ne distribuerons pas ces trousses directement partout au pays, ni même dans les trois centres urbains que vous avez mentionnés.
Je pense qu'il me reste un peu de temps.
Pour poursuivre la discussion sur la possibilité d'organiser des scrutins spéciaux à l'extérieur du Nunavut... Je viens de perdre le fil de ma pensée. Bon sang, j'avais une si bonne idée.
La tenue de scrutins spéciaux est une excellente manière de s'assurer que certains des obstacles rencontrés dans les différentes collectivités d'une même circonscription, étant donné qu'il faut prendre l'avion à partir de différentes collectivités et compte tenu des contraintes liées aux conditions météorologiques... Soit dit en passant, je trouve que l'idée de tenir le scrutin le même jour que celui du Nunavut est bonne. Je pense que c'est une excellente façon d'augmenter le taux de participation. Je crois que les électeurs préfèrent voter le même jour plutôt qu'à une semaine d'intervalle. J'espère qu'avec l'approbation du projet pilote, nous réfléchirons à la manière dont les élections... Je ne connais pas la terminologie utilisée pour expliquer que les gens seraient moins enclins à aller voter si les élections avaient lieu à une semaine d'intervalle.
Je suis heureuse d'apprendre que vous prendrez des dispositions spéciales pour que les personnes hospitalisées, du moins au Nunavut, reçoivent la visite de membres du personnel électoral afin de s'assurer qu'elles peuvent également voter. J'espère que cela vaut également pour les personnes âgées qui ne peuvent peut-être pas se déplacer.
:
Monsieur le président, si vous le permettez, je saisirai l'occasion pour parler des difficultés.
Je comprends que l'idée d'avoir un seul jour de scrutin, qui permettrait aux gens de voter le même jour, suscite de l'enthousiasme. Cependant, il y a la question de la disponibilité des lieux et, plus important encore, des travailleurs électoraux. On ne peut pas leur demander d'appliquer en même temps deux séries de règles avec des exigences d'identification différentes.
Recruter du personnel pour une élection fédérale est un défi de taille. Nous avons mentionné qu'il était difficile de trouver un nombre suffisant de personnes qui parlent la langue. Si nous devions être en concurrence avec un organisme de gestion provincial ou territorial pour le recrutement, il y aurait de graves répercussions sur la disponibilité des services.
Je voudrais mettre le Comité en garde. S'il en vient à étudier le projet de loi , je pourrai en parler, mais je ne recommande pas le chevauchement des élections provinciales et territoriales avec les élections fédérales.
:
Merci, monsieur le président. Pas de problème. J'ai la couenne dure et je m'en suis remis assez rapidement.
Monsieur Perrault, je vous remercie de votre présence.
J'aimerais revenir justement sur l'idée de tenir des scrutins différents le même jour, comme le propose le projet de loi . Cela poserait d'énormes problèmes logistiques sur le plan des lieux de scrutin et des ressources humaines, soit du personnel électoral à recruter dans le cadre d'une élection fédérale et d'une élection territoriale. Vous y avez fait allusion.
J'aimerais également connaître votre avis. Lorsque nous avons parlé du projet pilote et des mesures de soutien, vous avez mentionné dans vos commentaires et tout au long de la matinée qu'Élections Nunavut aiderait en ce qui concerne les exigences linguistiques et les vérifications. Êtes-vous sûr, ou moins sûr, que le jour du scrutin — si les dépouillements ont lieu le même soir —, vous aurez les ressources humaines qu'il faut au Nunavut, et aussi à Ottawa, comme vous l'avez mentionné, pour pouvoir préparer les bulletins de vote?
Serez-vous en mesure d'interpréter les bulletins qui doivent être déchiffrés, selon les règles électorales spéciales et lorsqu'il s'agit des bulletins de vote spéciaux, par exemple?
:
Ma dernière question porte sur le rapport sur le projet pilote que vous allez présenter à notre comité, et sur notre appui à cet égard.
Lorsqu'on examine les résultats par bureau de scrutin ou selon la façon dont les gens ont voté, on voit les résultats par bureau de scrutin, puis les groupes 1 ou 2 visés par les règles électorales spéciales. À la dernière élection au Nunavut, en 2021, il y a eu 614 votes par bulletin spécial — dont seulement 12 ont été rejetés —, ce qui représentait environ 8,4 % des votes. Êtes-vous en mesure de ventiler davantage les données des bulletins de vote spéciaux pour connaître le pourcentage d'électeurs qui ont choisi de remplir leur bulletin de vote spécial en inuktitut?
Ensuite, s'il y avait des défis — vous avez mentionné que l'orthographe et les symboles pourraient être un peu différents —, seriez-vous en mesure, dans ces circonstances, de ventiler davantage les données? Nous pourrions ainsi comprendre la portée des défis, ou l'absence de défis, le cas échéant.
:
Merci, monsieur Duncan.
Chers collègues, voilà qui met fin à notre discussion avec M. Perrault et Mme Morin.
Je tiens à vous remercier tous les deux de votre présence.
Brièvement, pour la gouverne des membres du Comité et du public qui nous regarde peut-être, en ce qui concerne les prochaines étapes, j'ai demandé à nos analystes de rédiger un rapport à ce sujet. Le Comité l'examinera. À ce moment‑là, nous déterminerons si nous voulons renvoyer ce rapport — tel quel ou modifié — à la Chambre. Ce sera notre contribution à cette partie de la procédure. Ensuite, comme on l'a mentionné, nos collègues du comité sénatorial des affaires juridiques devront également donner leur propre point de vue.
Pour les prochaines étapes, nous attendrons le rapport de nos analystes, et nous aurons une discussion parmi nous. Monsieur Perrault, nous espérons pouvoir vous remettre avant longtemps nos conclusions et notre analyse.
En attendant, chers collègues, je dirai que nous avons eu une excellente réunion et une discussion très intéressante.
Merci, madame Idlout, de vous être jointe à nous et de nous avoir fait part de vos observations en tant que membre invitée.
Chers collègues, nous allons suspendre brièvement la séance.
[Français]
Au retour, nous allons continuer la réunion en discutant d'une affaire complètement différente. Nous nous revoyons dans quelques minutes.
:
Très bien, chers collègues.
[Français]
Nous commençons maintenant la deuxième partie de la réunion.
[Traduction]
Nous passons maintenant à un autre sujet, chers collègues.
Bienvenue à M. Genuis.
Madame Mathyssen, nous sommes heureux de vous revoir.
Chers collègues, nous sommes ici pour discuter de la question de privilège concernant des cyberattaques menées contre des députés. Nous avons eu plusieurs réunions en lien avec ce sujet au cours de la dernière session, et d'autres sont prévues pour poursuivre la discussion au cours de la présente session.
Nous accueillons aujourd'hui quelques témoins. Nous éprouvons des difficultés techniques avec le témoin qui comparaît en ligne, mais j'aimerais que nous débutions, et j'espère que nous serons en mesure de régler ce problème très rapidement.
Nous accueillons aujourd'hui l'ancien chef du bureau Asie-Pacifique du Service canadien du renseignement de sécurité, Michel Juneau-Katsuya. Nous recevons également les représentants du Centre for International Governance Innovation: Aaron Shull, directeur général et avocat général; ainsi que Wesley Wark, agrégé supérieur. Nous accueillons le directeur général de l'Inter-Parliamentary Alliance on China, Luke de Pulford, qui se joint à nous en ligne.
Chers collègues, nous allons débuter.
Messieurs les témoins, vous disposez de cinq minutes chacun. Monsieur Shull et monsieur Wark, je crois comprendre que vous allez partager votre temps, mais vous aurez cinq minutes en tout pour la partie des déclarations liminaires.
Sur ce, je donne la parole à M. Juneau-Katsuya.
La parole est à vous, monsieur.
:
Merci, monsieur le président.
Membres du Comité, je vous remercie de m'offrir une nouvelle occasion de vous faire part de mes observations et de mes inquiétudes quant à l'avenir de notre nation.
[Traduction]
On m'a demandé de commenter la question de privilège liée à la cyberattaque visant des députés. En bref, il faut s'attendre à une forte augmentation des cyberattaques au cours des prochaines années visant non seulement les députés fédéraux, mais aussi de nombreux élus de tous les ordres de gouvernement: fédéral, provincial et municipal.
Les cyberattaques sont, et demeureront, l'arme de choix de nombreux agents malveillants. Ces attaques peuvent être des attaques directes et substantielles contre les élus, les institutions et nos systèmes démocratiques. La communauté du renseignement relève essentiellement cinq agents malveillants: les attaques soutenues par des États, les citoyens radicalisés, le crime organisé et les pirates, les activistes politiques et les menaces internes.
En ce qui concerne les menaces soutenues par des États, au cours des deux dernières années, de sinistres révélations rendues publiques nous ont appris que le gouvernement actuel et les gouvernements précédents ont négligé ou évité — parfois intentionnellement — d'agir contre les menaces d'ingérence étrangère. Puisque ces menaces ne sont plus un secret, les agents étrangers seront forcés, pendant un certain temps, de travailler un peu plus discrètement, de sorte que des cyberattaques seront minutieusement choisies. Aujourd'hui, nous espérons que la population et les élus ont été sensibilisés au problème, mais ce n'est malheureusement pas suffisant. En matière d'investissements en cybersécurité, le Canada arrive au dernier rang des pays du G7 et du Groupe des cinq.
Comme en font foi les travaux du Comité, vous vous penchez encore sur la question, et plusieurs d'entre vous doivent avoir l'impression de se heurter à un mur. Malheureusement, les gains politiques partisans privent les Canadiens d'une protection nécessaire. Trop peu de mesures — par exemple des modifications au Code criminel — ont été prises sur le plan juridique. On a décidé de prendre la mauvaise voie, je dois le dire, malgré les conseils de nombreux experts d'emprunter des trajectoires différentes. Par conséquent, l'amertume et la méfiance à l'égard de nos institutions n'ont fait qu'augmenter chez la population.
[Français]
Je le répète: il est inévitable que les cybermenaces envers les élus augmentent substantiellement au cours des prochaines années.
Les puissances offensives comme la Chine, l'Inde, la Russie, l'Iran, Israël, le Pakistan, l'Arabie saoudite et bien d'autres auront à modifier et à adapter leurs stratégies. Elles vont aussi devoir, du moins pour un certain temps, diminuer leur présence sur le terrain et agir plus subtilement et plus sournoisement.
[Traduction]
Ainsi, les cyberattaques contre les élus prendront diverses formes: des campagnes continues négatives et de soutien à l'égard des personnes qui s'opposent aux agents malveillants ou qui les appuient; le piratage de divers systèmes pour obtenir des renseignements de nature délicate; et la neutralisation des communications et la compromission des données en ciblant des personnes précises.
La nature du travail des élus est de se déplacer pour rencontrer leurs concitoyens et de travailler parfois de chez eux — des contextes idéaux pour affaiblir notre cybersécurité. Il faut donc accroître la discipline, la sensibilisation, l'éducation continue et la vigilance, et multiplier les vérifications.
Vous avez dû remarquer que j'ai utilisé le terme « élus ». J'insiste sur l'importance de travailler avec les paliers fédéral, provincial et municipal. En ce moment même, des villes comme Toronto, Vancouver et Ottawa, et même de petites villes comme Brossard, Markham et bien d'autres, sont sous l'influence d'agents chinois aux échelons les plus élevés. Ce n'est pas une fiction, mais bien la réalité. Voulez-vous des noms? J'en ai. Il est irréaliste d'assurer la sécurité nationale sans la participation des provinces.
[Français]
Le sergent d'armes de la Chambre des communes rapportait une augmentation de plus de 800 % des menaces contre les élus depuis 2018. La Gendarmerie royale du Canada, ou GRC, note que, depuis 2023, elle a 65 fois plus de demandes de protection et qu'elle n'a pas assez d'effectifs pour protéger les députés de la Chambre des communes. Au Québec, depuis les dernières élections municipales, plus de 10 % des élus municipaux, soit plus de 800 personnes, ont démissionné parce que des menaces ont été proférées contre eux ou contre leur famille. Aux dernières élections provinciales au Québec, on a dû donner des gilets pare-balles et de la protection rapprochée aux candidats et candidates.
[Traduction]
Je vais m'arrêter ici, et je me ferai un plaisir de répondre à vos questions pour entrer dans les détails des points que j'ai présentés.
:
Merci, monsieur le président.
M. Shull et moi pouvons donner tout un spectacle, mais je ne sais pas à quel point je peux vous être utile en deux minutes et demie. Je vais faire de mon mieux, mais nous comparaissons vraiment à titre personnel.
Le cas de la cyberattaque d'APT31 — le Centre de la sécurité des télécommunications, ou CST, l'appelle un cyberincident — est complexe, et j'espère que mon point de vue à son sujet pourra aider le Comité.
La population canadienne et les députés ont été mis au courant d'une cyberattaque, ou d'un cyberincident, par une entité de la République populaire de Chine, ou RPC, connue sous le nom d'APT31 en mars 2024, lorsque le département de la Justice des États-Unis a dévoilé un acte d'accusation contre sept agents d'APT. L'accusation a révélé que les efforts de ce groupe de la RPC ont duré environ 14 ans et ont ciblé des détracteurs, des entreprises et des responsables politiques américains et étrangers. L'une de ses nombreuses cibles était l'Inter-Parliamentary Alliance on China, ou IPAC, qui a subi en janvier 2021 une attaque de nature technique visant à obtenir des détails sur les adresses IP, les types de navigateurs et les systèmes d'exploitation d'une cible au moyen de l'hameçonnage. Un certain nombre de parlementaires canadiens ont été mêlés à cette attaque de reconnaissance, qui a été jugée infructueuse.
Le CST et son centre pour la cybersécurité ont été à l'avant-garde des efforts déployés pour repérer ce cyberincident — en fait, le CST a d'abord été averti par un partenaire étranger de confiance — et pour travailler avec l'Administration de la Chambre des communes. La collaboration entre le CST et l'Administration de la Chambre des communes est réglementée, comme vous le savez sans doute, par un protocole d'entente signé en 2016. Des témoins qui ont comparu devant la Commission sur l'ingérence étrangère le 24 septembre ont indiqué qu'une nouvelle version du protocole d'entente a récemment été signée, à la suite des leçons tirées de l'affaire APT31.
Les documents fournis pendant l'Enquête publique sur l'ingérence étrangère, y compris une chronologie des événements, indiquent que l'échange d'information entre le CST, le centre pour la cybersécurité et l'équipe de la sécurité des TI de la Chambre des communes au sujet de l'attaque de reconnaissance d'APT31 n'était ni fluide ni suffisant en 2021.
Il faut comprendre le mandat et les capacités du CST. Il a une capacité d'alerte avancée en cas d'intrusion de capteurs, capacité qu'il déploie sur les réseaux et dans le nuage pour protéger les institutions fédérales et les autres ordres de gouvernement. Je dois dire que je ne suis pas d'accord avec mon collègue, M. Juneau-Katsuya, en ce qui concerne les capacités du Canada en cybersécurité. La capacité de détection que le CST a mise au point a été saluée par les partenaires du Groupe des cinq comme étant la meilleure de sa catégorie. Elle a été déployée pour la première fois pour protéger le Parlement en 2018, et elle a été élargie depuis.
Selon le dernier rapport annuel du CST, l'organisation bloque en moyenne 6,6 milliards d'intrusions par jour. Lorsque le CST prend connaissance d'une cyberopération ciblant le Parlement, il transmet des renseignements techniques sur cette attaque au personnel de sécurité des TI de l'administration parlementaire pour que d'autres mesures soient prises. Le CST ne communique pas directement avec les parlementaires pour les aviser de menaces, contrairement au processus mis en place pour le SCRS conformément à une directive ministérielle émise en mai 2023. Le CST n'est pas un organisme de sécurité nationale. Cependant, il a un mandat d'assistance en vertu de la Loi sur le CST, et il peut fournir des renseignements de soutien et des moyens techniques au SCRS.
Une directive émise par le chef du CST en septembre 2023 et fournie dans un rapport institutionnel à la Commission sur l'ingérence étrangère souligne l'importance de son mandat d'assistance, ainsi que la nécessité — et je cite cette directive — d'« assurer la diffusion en temps opportun de ses produits aux clients qui ont besoin du renseignement, » y compris l'Administration de la Chambre des communes. Ce principe important doit être respecté et continuellement mis à l'épreuve dans la pratique.
À l'avenir, et je terminerai sur ce point, je crois qu'il sera particulièrement important...
:
Merci, monsieur le président et mesdames et messieurs les membres du Comité, et merci au personnel de votre comité d'avoir facilité ma participation.
Comme on l'a dit, je suis le directeur exécutif de l'Alliance interparlementaire sur la Chine, ou l'IPAC. Vers le 23 mars 2024, j'ai appris que le gouvernement du Royaume-Uni s'apprêtait à faire une annonce concernant une cyberattaque commanditée par la République populaire de Chine visant certains politiciens britanniques. J'ai effectué du travail journalistique avant cette annonce.
Le matin du 25 de ce mois‑là, l'annonce a été faite dans une dépêche émanant du vice-premier ministre de l'époque, Oliver Dowden, qui ne faisait pas mention de l'Alliance interparlementaire sur la Chine, l'IPAC.
Plus tard ce jour‑là, le département américain de la Justice a déposé une mise en accusation qui disait ceci: « les Conspirateurs ont enregistré et utilisé 10 comptes qu'ils avaient créés dans un système connu de diffusion massive de messages et de multipostage afin d'envoyer plus de 1 000 courriels à plus de 400 comptes distincts de personnes associées à l'IPAC. » Selon le gouvernement américain, il s'agissait donc clairement d'une attaque, qui visait l'IPAC.
Pour cette raison, entre autres, le 4 avril 2024, 42 membres de l'IPAC de partout dans le monde ont écrit ceci au secrétaire Blinken: « Nous avons été très préoccupés d'apprendre que l'attaque de reconnaissance à partir de pixels de la part du groupe APT31 a ciblé principalement des membres de l'IPAC... Nous avons été en outre alarmés par le fait qu'aucun législateur de l'IPAC ne semble avoir été averti par ses propres services de sécurité ou de renseignement. » La lettre a donné lieu à une correspondance avec le département d'État américain.
Pendant ce temps, le FBI, par l'entremise du département d'État, a gentiment offert de comparer notre liste de distribution à la liste des 400 comptes de courriel associés à l'IPAC. Il a accepté de nous faire part des comptes de courriel figurant sur les deux listes.
Le 19 avril, nous avons reçu une liste des comptes touchés. Cette liste en comptait 121 exactement. Le 22 avril, j'ai envoyé une deuxième liste pour voir si davantage de comptes avaient été visés, car 121, c'est beaucoup moins que les 400 comptes qui auraient été ciblés aux dires du FBI. Plus tard, le 3 mai, on m'a informé que quatre autres comptes avaient été touchés.
Par conséquent, j'ai pu confirmer auprès du FBI que des membres de l'IPAC de 18 Parlements avaient été ciblés, à savoir 120 membres de ces parlements. Les comptes de courriel parlementaires de 116 d'entre eux ont été visés et les comptes de courriel non parlementaires de quatre d'entre eux ont été ciblés. L'un de ces quatre, soit dit en passant, est canadien, et je crois qu'il participe à la réunion d'aujourd'hui. Au total, on a compté 18 politiciens canadiens. Ce nombre comprend cinq employés dans le monde entier.
J'ai alors cherché à informer toutes les personnes ciblées de ce qui s'était passé, car je considérais qu'il n'était pas éthique de refuser de divulguer une telle information aux personnes visées. Je vais corriger très gentiment M. Wark, qui vient de prendre la parole, en précisant que les députés canadiens n'ont pas appris du département américain de laJustice qu'ils avaient été ciblés. Ils l'ont appris principalement de moi-même et de l'IPAC.
J'ai très peu de temps, alors je vais simplement souligner quelques points qui pourraient susciter des discussions.
Premièrement, nous sommes convaincus que les auteurs de l'attaque avaient mis la main sur la liste de distribution de l'IPAC, qui comprenait les adresses électroniques personnelles de politiciens, dont un Canadien.
Deuxièmement, nous avons confirmé que deux pays ciblés ont été informés d'une attaque en 2021, avant que le FBI ne communique avec les gouvernements en 2022.
Troisièmement, en 2022, le FBI a fait savoir aux gouvernements visés que cette attaque faisait partie d'une attaque progressive.
Quatrièmement, deux membres de l'IPAC, un sénateur français et une autre personne que je ne peux pas nommer parce qu'une enquête est en cours, ont été touchés avec succès vers mars 2021, deux mois après avoir été ciblés par le groupe APT31.
Cinquièmement, il y a beaucoup plus d'adresses de courriel ciblées que celles que j'ai confirmées. Tout ce que j'ai, c'est le nombre découlant de la comparaison entre ma liste et celle du FBI.
Sixièmement, la réaction des divers services de sécurité parlementaires dans le monde a été très variable.
Je vais maintenant faire part au Comité de mes arguments, dont je serai très heureux de discuter.
Premièrement, nous croyons que le fait de ne pas avoir informé les parlementaires les a empêchés de se protéger ou de protéger les renseignements sensibles auxquels ils avaient accès contre une cyberattaque progressive, comprenant des activités de répression transnationale à haut risque. Bon nombre de nos parlementaires gèrent de tels renseignements.
Deuxièmement, dire aux parlementaires que cette attaque a échoué ou qu'elle n'est pas grave est, au mieux, discutable et, au pire, trompeur. Il y a une disparité marquée entre l'information fournie à ce sujet par le FBI et celle fournie par d'autres organismes gouvernementaux, surtout en ce qui concerne la gravité de ces attaques.
En ce qui concerne mes recommandations, j'espère avoir le temps d'en parler pendant la période des questions.
Merci beaucoup, monsieur le président.
:
Merci. Je pense que c'est une question très importante.
La raison pour laquelle nous sommes convaincus qu'ils ont obtenu notre liste de distribution, c'est que la liste contenant les adresses touchées que nous a fournie le FBI comportait exactement les mêmes adresses de courriel personnelles que nous utilisions pour communiquer avec divers députés. La plupart des autres adresses de courriel sur cette liste étaient des adresses de courriel parlementaires, qui sont du domaine public. Cependant, les adresses personnelles, parfois des adresses Gmail ou Proton Mail — lesquelles, comme vous le savez, monsieur Genuis, incluaient la vôtre — étaient exactement celles que les auteurs de l'attaque avaient également utilisées.
Je ne sais pas comment ils ont obtenu cette liste, mais j'ai une théorie possible.
Malheureusement, un de nos anciens bénévoles, un dénommé Andy Li, a été arrêté en Chine en vertu de la loi sur la sécurité nationale. Il est emprisonné à Hong Kong, et il attend sa sentence pour des infractions criminelles à la loi sur la sécurité nationale, dont certaines sont liées à l'IPAC. Nous savons que la Chine a eu accès à son ordinateur, ce qui lui a peut-être permis de mettre la main sur notre liste de distribution. Ce qui est très troublant, c'est que, lorsqu'il a été appréhendé, il a été conduit à la prison de Shenzhen, en Chine, où il aurait été torturé. C'est une affaire dont a fait état le rapporteur spécial des Nations unies sur la torture, alors il ne s'agit pas de simples spéculations. Malheureusement, en fait tristement, nous croyons que c'est peut-être ainsi que la Chine a obtenu notre liste.
Je pense que tous les membres du Comité se joindront à moi pour déplorer la torture et le traitement infligés à M. Andy Li. Je sais que cela touche très personnellement les membres de l'IPAC qui ont travaillé avec lui. Je pense qu'il est important d'en parler publiquement.
Monsieur de Pulford, le gouvernement a argumenté notamment qu'il est vraiment compliqué d'informer les députés et qu'il existe de nombreux types de cyberattaques. Il a essayé de faire valoir la complexité apparente de la situation, alors que, pour moi, c'est très simple. Si une personne est ciblée et que le FBI vous dit qu'elle est ciblée, vous devriez tout simplement transmettre cette information. Un certain nombre de pays ont informé leurs députés.
Pour mettre fin à ces fausses histoires de complexité, pouvez-vous nous expliquer comment les choses se sont passées dans ces autres pays? Qu'est‑ce qui a bien fonctionné quand il s'est agi d'informer les députés, et quelles leçons pouvons-nous en tirer?
:
Merci, monsieur le président.
Je tiens à remercier tous nos témoins d'avoir brossé un tableau sombre et préoccupant des menaces à la cybersécurité auxquelles notre pays et d'autres pays font face, et ces menaces augmentent.
Ce que j'ai trouvé le plus préoccupant, c'est que nos appareils privés étaient ciblés. Nos systèmes parlementaires, nos comptes de courriel parlementaires et certaines des ressources auxquelles nous avons accès en tant que parlementaires sont protégés. Je suis un politicien et un parlementaire, et les deux rôles sont interreliés. Parfois, il y a une zone grise entre la sphère politique et la sphère parlementaire, comme vous le savez.
Je me demande comment vous êtes mis au courant d'attaques contre des appareils privés et comment nous pouvons mieux nous protéger en tant que parlementaires. Existe‑t‑il un modèle exemplaire quelque part? Y a‑t‑il un pays dont nous pourrions nous inspirer? M. Juneau-Katsuya a mentionné que nous sommes peut-être à la traîne au sein des pays du G7. Y a‑t‑il un pays dans le monde qui dispose de la meilleure formation et des meilleures habitudes en matière de cybersécurité que nous pourrions imiter?
Je pose la question à n'importe lequel de nos témoins.
J'aimerais simplement dire que le fait que le compte de courriel personnel de M. Genuis ait été compromis est horrible. C'était en raison de son travail en tant que parlementaire, alors j'ai pensé offrir quelques conseils concrets au Comité qui, je l'espère, seront utiles.
Premièrement, il faut affecter un budget parlementaire à la protection personnelle contre les cyberattaques. Je vais vous dire comment je me protège. Je vous parie que je suis probablement en meilleure posture que tout le monde dans cette salle, et je ne suis qu'un type parmi d'autres. Je n'ai pas une vie publique et je ne suis pas ciblé de la même façon que vous. J'utilise un VPN à bonds multiples chiffré pour protéger mes données. J'utilise des gestionnaires de mots de passe verrouillés biométriques et cryptographiques. Chacun de mes mots de passe compte plus de 20 caractères et se lit comme du charabia. Si vous tentiez une attaque en force contre mes mots de passe, il vous faudrait beaucoup de détermination. J'utilise les logiciels de protection contre les maliciels les plus perfectionnés qui existent sur le marché commercial. J'ai recours à une authentification multifactorielle pour mes comptes les plus sensibles. Si vous vouliez pirater mes appareils, vous devriez faire appel à un acteur étatique très déterminé. Pour avoir accès à mes données les plus délicates, il faudrait que vous sortiez les clés de ma poche.
Tout cela ne coûte que quelques centaines de dollars, et non des milliers de dollars. Allouons un budget à cette fin. Assurons-nous que les députés peuvent contribuer à leur propre protection. Si vos comptes personnels sont ciblés, ce n'est pas à cause de votre personnalité, mais plutôt en raison de votre emploi.
:
Il y a plusieurs modèles, mais ils ne sont pas tous infaillibles. Je répète que, à l'heure actuelle, il y a assurément un manque de collaboration entre les parlementaires et les agences de renseignements.
Pendant très longtemps, le Service canadien du renseignement de sécurité, ou SCRS, et le Centre de la sécurité des télécommunications, ou CST, n'avaient même pas le droit d'informer quiconque, mis à part le premier ministre ou le ministre de la Sécurité publique. Le projet de loi semble vouloir changer cela. On verra, dans les faits, de quelle façon cela va se révéler.
Une chose est certaine, il faut faire de la prévention. L'équipement ne peut pas tout faire ni tout bloquer. Il faut mettre au point une nouvelle culture des affaires. Je ne parle pas de logiciels-espions ou de James Bond, mais d'une culture des affaires. Il faut acquérir de nouveaux réflexes, puisqu'on est encore très vulnérable. Si on crée une brèche, on laisse littéralement tout le monde entrer dans la maison.
On a donné l'exemple de l'application TikTok. Pourquoi TikTok est-il problématique? Si quelqu'un signe aveuglément les conditions générales et qu'il donne accès à son téléphone, à sa liste de contacts, à son appareil photo et à son microphone, que l'on peut activer à distance, cela devient ni plus ni moins un équipement d'écoute électronique clandestin.
Admettons que je suis un adolescent qui va au cégep ou à l'école. Ce n'est pas moi qui suis nécessairement la cible de cyberattaques, mais ma liste de contacts contient peut-être des renseignements sur mon oncle, qui travaille au ministère de la Défense nationale, sur ma mère, qui travaille pour le gouvernement ou sur ma sœur, qui travaille pour une compagnie stratégique très importante. On vient donc de donner à une puissance étrangère, comme la Chine, un accès à toute cette information.
:
Les conséquences, c'est que nous perdons notre position stratégique sur la scène internationale. Nous perdons la confiance de nos alliés qui, à l'heure actuelle, nous regardent et se disent que le Canada n'est pas sérieux. Dans cette perspective, il y a tout un pan de notre population qui est mal protégée, qui est vulnérable et qui sera utilisée.
Selon les experts, le Canada compte littéralement des millions d'ordinateurs zombies. Il s'agit d'ordinateurs où des pirates ont réussi à entrer et qui sont utilisés pour rebondir d'un ordinateur à l'autre. On perd ainsi leurs traces.
Nous sommes très mal informés à l'heure actuelle. Dans mon allocution, je disais que le Canada était à la traîne par rapport aux pays du G7. Nous n'investissons pas assez dans la lutte contre les cyberattaques, et nous n'en faisons pas assez pour sensibiliser la population, particulièrement les parlementaires, qui sont la cible première.
Comme l'efficacité de l'ingérence étrangère a été réduite sur le terrain, dans les années à venir, beaucoup plus de moyens couverts seront utilisés. Les attaques informatiques en sont un exemple.
Merci aux témoins de comparaître aujourd'hui.
Je tiens à souligner à quel point nous devons prendre cela au sérieux, comme vous l'avez très clairement indiqué. Je sais que tout le monde prend cela au sérieux.
Ce que je retiens de nos discussions avec notre propre personnel de sécurité et les responsables de ces questions, c'est qu'ils ne transmettent pas l'information au même rythme. Ils ont fini par nous informer, mais s'ils ne l'avaient pas fait avant, c'est parce que cela avait été bloqué. Cela n'avait pas passé entre les mailles du filet. Le raisonnement, étant donné le nombre effarant d'attaques, c'est que s'ils nous informaient de chacune d'elles, ils ne feraient que cela.
Quels sont vos commentaires à ce sujet? Devons-nous changer cette mentalité? Devons-nous simplement demander qu'on nous informe de toutes les attaques?
Pourriez-vous en dire un peu plus à ce sujet?
:
On prendra pour cibles les personnes d'importance stratégique, ce que sont certainement les parlementaires. Évidemment, les infrastructures essentielles ont certainement une importance stratégique.
Il existe un terme technique très simple, que tout le monde connaît: le « ping ». Ils essaient tous les jours. Ils envoient des pings. Ils frappent à la porte pour voir si elle est débarrée. Ils essaient la poignée. Nous n'avons pas nécessairement besoin d'en être informés, car il y a effectivement des centaines de milliers, voire des millions, d'attaques chaque jour. De ce point de vue, nous ne pouvons pas...
Lorsqu'une personne en particulier est ciblée de manière répétée en raison des activités liées à son travail, des choses dont elle fait la promotion, de ce qu'elle conteste ou dénonce — comme l'oppression transnationale et autres choses du genre — elle devrait être avertie. Les personnes ciblées devraient faire l'objet d'une attention accrue. Dans une certaine mesure, comme je l'ai dit, elles devraient également recevoir une formation afin de développer une nouvelle culture des affaires et d'être plus sensibilisées, car la sensibilisation est la seule véritable défense à notre disposition. L'aspect technique a ses limites.
:
J'ai consulté tous les témoignages précédents en vue de ma comparution. Si je devais formuler des recommandations pour remédier à ce que j'ai vu dans les témoignages précédents, il y en aurait trois.
Premièrement, il faut mettre de l'ordre dans le partage de l'information. C'était le genre de cas où personne ne savait vraiment qui partageait quoi avec qui, quand et pourquoi. On a reconnu que cela posait problème. Comme mon collègue, M. Wark, l'a indiqué, le protocole d'entente a été mis à jour. Si vous n'en avez pas encore pris connaissance, je vous encourage à l'examiner attentivement et à vous assurer de le respecter à la lettre. En outre, voyez cela comme une répétition générale, car cela se produira encore et encore. Assurez-vous simplement de savoir qui doit d'abord partager l'information, ce qui se passe et de définir le seuil.
Deuxièmement, comme je l'ai déjà indiqué, vous devez dépenser un peu d'argent personnel pour vous protéger. Bien que la preuve démontre que la menace a été bloquée, nous ne savons pas — je suis navré, monsieur Genuis — ce qu'il en est de votre compte personnel, car ce n'est pas la responsabilité du service des TI du Parlement.
Le troisième élément est la formation, mais pas seulement une formation en matière de cybersécurité. Je parle d'une sensibilisation générale pour que vous puissiez devenir votre meilleur allié pour vous défendre.
:
Oui, absolument. Très brièvement, je tiens à souligner que des députés de tous les partis au Canada ont été ciblés lors de cette attaque. Pour les auteurs, le parti d'appartenance importait peu.
Cependant, je ne pense pas qu'il est exact de dire que l'attaque n'a pas réussi. En fait, un autre témoin a indiqué aujourd'hui qu'on ne peut pas nous assurer que l'attaque n'a pas réussi, étant donné qu'on ne sait pas ce qui s'est passé dans le cas du compte personnel de M. Genuis. Il n'est tout simplement pas possible de l'affirmer.
En outre, d'un point de vue technique, il est très difficile de le confirmer de toute façon, pour les raisons suivantes. Dans le monde, beaucoup de parlementaires se sont fait dire qu'il s'agissait d'attaques de faible envergure qui ont échoué, comme les courriels de marketing. Ce n'est pas faux en soi. L'intégration de pixels ou le suivi par pixel sont très courants. Cependant, entre les mains d'un groupe de pirates informatiques parrainé par l'État comme APT31, c'est très différent.
Très brièvement — je sais que je n'ai pas beaucoup de temps —, ce qu'ils peuvent faire, c'est de déterminer l'endroit où la personne se trouve par triangulation. Ils peuvent trouver un routeur vulnérable, puis le pirater facilement en utilisant les renseignements collectés à l'aide de courriels de reconnaissance par pixel, ou pire encore. Nous avons un député dont les courriels ont été compromis et transmis à un adversaire politique aux fins de « kompromat ». Donc, c'est plutôt grave. On ne devrait donc pas qualifier cela d'attaques de faible envergure qui ont échoué.
:
Je vous remercie, monsieur le président, et j'aimerais remercier les témoins d'être là aujourd'hui.
J'aimerais revenir sur ce qu'a dit M. Juneau-Katsuya; il a précédemment donné l'exemple d'une attaque qui a ciblé le Conseil du Trésor en 2010 en passant par un cabinet d'avocats.
Monsieur Shull, vous avez également parlé des outils physiques que nous pouvons utiliser, et aussi de la formation, de la responsabilité personnelle et du fait qu'il faut être prudent dans la façon de faire notre travail et qu'il faut suivre la formation requise. Toutefois, dans le cas d'APT31, le dernier témoin a indiqué que c'était en passant par son organisation que la liste de distribution ou des adresses électroniques a été obtenue. Dans l'attaque de 2010, c'était en passant par un cabinet d'avocats.
Il y a lieu de sensibiliser les parlementaires pour que nous soyons prudents dans le cadre de notre travail et que nous utilisions tous les outils à notre disposition, comme l'a dit M. Shull, et j'aimerais beaucoup lui montrer mon téléphone plus tard, pour qu'il le sécurise. Il y a les comportements, puis il y a les outils. Mais que conseilleriez-vous aux organisations avec lesquelles nous faisons affaire? Par exemple, nous sommes nombreux à fournir notre adresse électronique lorsque nous parlons à des gens qui souhaitent nous rencontrer, à des organisations, etc. Ces gens créent des listes de distribution sur lesquelles nous n'avons aucun pouvoir. Nous sommes des titulaires de charge publique. Nous diffusons nos coordonnées pour que les gens puissent communiquer avec nous.
Si une tierce partie détient des listes d'envoi, comment pouvons-nous nous assurer qu'elle est consciente d'être exposée, surtout si elle travaille avec de nombreux parlementaires, et doit sécuriser l'information? Que lui recommanderiez-vous?
:
Cela me rassure. On m'avait dit que cela pouvait prendre 100 ans avant de trouver un bon mot de passe.
Ce dont je voulais vous parler aujourd'hui, c'est du CST, qui a comparu devant le Comité.
Je vous épargne les détails, car vous êtes bien au courant du dossier. Cependant, moi, qui ne suis pas du tout dans le domaine, j'ai trouvé, sur le site de l'Agence nationale de la sécurité des systèmes d'information de la France, de l'information sur les campagnes d'attaques du mode opératoire APT28 depuis 2021.
Finalement, je n'ai pas eu besoin de vous poser des questions, car j'ai trouvé toute la façon de faire dans un sommaire. Cette information est publique sur ce site. De toute façon, vous ne répondez pas aux questions et vous ne voulez pas nous informer.
Ce que j'ai compris, c'est que nous avons beaucoup à faire.
Monsieur Juneau-Katsuya, pourquoi se cacher?