Piratage: Victimes dans l’informatique et l’agriculture
Fresche Solutions
Pirates : NetWalker
Information compromise :
Renseignements personnels d’employés
Renseignements sur des clients
Cette firme montréalaise de logiciels pour entreprises est la plus
récente victime québécoise de cyberpirates qu’a repérée notre Bureau
d’enquête.
Sur son blogue dans le dark web, le gang NetWalker menace
de publier dans deux jours les informations dérobées. Pour montrer son
sérieux, il présente une liste de dossiers de clients trouvés dans des
serveurs de Fresche et une copie du passeport du fondateur.
« Nous avons récemment subi un cyberincident qui a ciblé certains
de nos anciens serveurs », écrit Mathieu Alarie, chef des ressources
humaines chez Fresche.
Une firme de cybersécurité enquête sur l’intrusion.
« Certains renseignements personnels d’employés ainsi que certains
renseignements concernant des clients pourraient avoir été consultés,
écrit Mathieu Alarie. Bien que nous n’ayons pas de preuve de
l’utilisation des données, nous avons contacté les employés et les
clients concernés afin de leur offrir tout le soutien et les outils
nécessaires dans les circonstances. »
Agromart
Pirates : REvil/Sodinokibi
Information sensible retrouvée en ligne :
Courriels de l’entreprise
Informations sur des fermiers clients
Le distributeur de semences et d’engrais, surtout actif en Ontario, a refusé de payer une rançon aux pirates en mai.
Selon le site Farmtario, des agriculteurs ont ainsi vu leurs
informations personnelles publiées en ligne. Agromart a dû leur offrir
des services de surveillance du crédit chez Equifax.
Sollio refuse d’en dire plus « étant donné la sensibilité du sujet ».
« Nous avons communiqué rapidement avec les gens touchés pour leur
offrir du soutien et une marche à suivre pour qu’ils puissent surveiller
toute activité anormale », écrit la directrice des communications,
Anne-Julie Maltais.
Sollio est aussi actionnaire d’Olymel, qui a elle aussi subi une grave attaque informatique en octobre.
La cyberattaque contre le Centre intégré universitaire de santé et de
services sociaux (CIUSSS) du Centre-Ouest de Montréal a ramené sa
centrale d’Info-Santé 20 ans en arrière, en forçant les employés à
prendre des notes papier et en éliminant l’accès aux outils de soins en
ligne.
Le CIUSSS est responsable de l’exploi-tation d’un centre d’appels 811.
Après une attaque informatique, il a débranché la centrale de son
réseau comme ses autres services le 28 octobre, a appris notre Bureau
d’enquête.
« En raison de l’intrusion de cybersécurité, Info-Santé et
Info-Social sont actuellement déconnectés, confirme Barry Morgan,
porte-parole du CIUSSS. Toutefois, il est important de souligner que ces
services sont maintenus. »
Plus de réseau
Les employés du 811 ont toutefois perdu les outils qu’ils utilisent
normalement pour aider les citoyens en détresse, selon une note interne
que nous avons obtenue.
« Les postes de travail n’ont pas accès au réseau du CIUSSS et aux
applications telles que IC et Info-Santé Web », mentionne le texte, daté
du 10 novembre.
IC est le logiciel qui permet de gérer efficacement les demandes
téléphoniques. Les employés l’utilisent pour localiser les appels et
contacter rapidement une ambulance en cas de besoin.
Quant au système Info-Santé Web, il donne accès aux informations que le 811 a déjà colligées sur un patient.
« Je tape un numéro de téléphone, un nom ou une date de naissance
dans le système et je vois si vous avez appelé dans le passé et pourquoi
», explique un membre du personnel qui a contacté notre Bureau
d’enquête.
Il désire rester anonyme parce que le CIUSSS défend à ses employés de parler aux journalistes.
Les employés ont perdu l’accès à ces informations.
« Si vous appelez trois, quatre fois dans la même
nuit, je n’aurai pas accès aux fiches antérieures », déplore la source à
l’interne.
Dossiers papier
Le porte-parole Barry Morgan confirme aussi que les dossiers des
patients « sont préparés à la main » depuis la déconnexion du système.
Quand la centrale reviendra en ligne, les employés devront intégrer ces
notes dans le système informatique.
Seulement 15 ordinateurs portables sont mis à la disposition de superviseures et d’employés en télétravail.
Pour les experts en cybersécurité, la situation démontre que le
CIUSSS n’était pas bien préparé à une perte de son système informatique.
« La société au complet est maintenant dépendante d’internet, mais
on n’a pas pensé au risque si quelque chose brise ou si on se fait
voler, dit Patrick Mathieu, fondateur du Hackfest. Là, on l’a en plein
visage dans les derniers mois. »
Le CIUSSS du Centre-Ouest victime d’une cyberattaque importante
Victime d’une attaque informatique importante qui force un
ralentissement des services de première ligne, le CIUSSS du
Centre-Ouest-de-l’Île-de Montréal annonce qu’il a suspendu la
connectivité à internet ainsi que l’accès à distance à ses réseaux
informatiques.
REF.:
Tristan Péloquin La Presse
« Comme
l’accès aux dossiers et aux données des patients est actuellement
limité, nous avons ralenti les services de première ligne, sans les
interrompre, pendant que nous enquêtons au sujet de cette situation avec
le soutien de l’équipe de cybersécurité du ministère de la Santé et des
services sociaux », précise un communiqué de presse émis peu avant
15 h.
Cette
« intrusion relative à la sécurité » survient alors qu’une vague
majeure de cyberattaques coordonnées cible des dizaines d’hôpitaux aux
États-Unis, et possiblement au Canada. Le ministre de la Santé et des
Services sociaux, Christian Dubé, a affirmé en début d’après-midi que
les systèmes informatiques du CIUSSS ont rapidement été « fermés » de
façon préventive, après la découverte de l’attaque mercredi, pour «
protéger les données hospitalières de la population ».
La
cyberattaque, que le ministre a qualifiée d' « importante », pourrait
avoir touché d'autres « centres que le CIUSSS du Centre-Ouest », mais il
n'a pas donné plus de détails. Le gouvernement dit travailler avec la
GRC et Microsoft pour évaluer l'impact de la situation.
Le
Cybersecurity Infrastructure Security Agency (CISA), en collaboration
avec le FBI et le Département de la Santé américain, a publié mercredi
un rapport annonçant une vague imminente de cyberattaques utilisant le
rançongiciel Ryuk contre le système de santé américain.
Le
Centre canadien de la cybersécurité a pour sa part alerté dès le
4 octobre les autorités canadiennes des risques « d’une campagne
d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui
pourraient s’en prendre à d’autres secteurs d’activité. »
« C’est
peut-être une coïncidence, mais tout porte à croire que ce qui se passe
dans le réseau de la santé du Québec est lié à la vague d’attaques
qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe
chez ESET et chercheur sur les logiciels malveillants.
« Si
c’est le cas, c’est improbable que la compromission initiale se soit
produite hier. C’est plutôt le genre d’attaque où le logiciel
malveillant se propage dans les réseaux au fil du temps. Les attaquants
réussissent en peu à peu à gagner des privilèges d’administrateur »,
précise M. Dorais-Joncas. Les logiciels malicieux sont suffisamment
sophistiqués pour utiliser un ordinateur infecté comme « pivot » à
partir duquel ils s’infiltrent sur d’autres appareils, réseaux et
sous-réseau, sans jamais être détectés. « Les attaquants peuvent ainsi
planifier le moment où ils vont déployer le logiciel. »
Les
cyberattaques de type Ryuk surviennent généralement après que le réseau
informatique d’une organisation ait été compromis par deux autres
logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine
pour faire des vols de données financières et des extractions de mots de
passe.
L’attaque
en trois phases tente de désactiver ou de désinstaller les logiciels de
sécurité du système de la victime afin d’empêcher que cette dernière
bloque le raçongiciel », lit-on dans le communiqué du CISA.
Une
fois l’attaque en cours, les utilisateurs du rançongiciel déploient
d’autres logiciels malveillants pour saisir les données.
Typiquement,
les données des disques durs et même les données de sauvegardes sont
rendues illisibles par un chiffrement pratiquement impossible à craquer.
Un fichier appelé « RyukReadMe », qui contient une adresse de courriel
permettant de contacter l’attaquant sur un serveur anonymisé qui ne
permet pas de retracer l’endroit où il se trouve. Le pirate tente alors
de négocier une rançon en échange de laquelle il redonne accès aux
informations qu’il a chiffrées.
Dans
certains cas, l’attaque fonctionne moins bien, mais rend les
ordinateurs et le réseau des organisations inutilisables. Selon
M. Dorais-Joncas, la remise en service des réseaux ciblés par ces
attaques peut prendre plusieurs jours, voire des semaines. « On le voit
avec ce qui se passe à la STM. Plus d’un millier de leurs serveurs ont
été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce
n’est pas encore réglé », souligne-t-il.
Les
experts en sécurité doivent notamment expertiser chaque appareil et
auditer l’ensemble du réseau pour s’assurer qu’ils sont nettoyés des
logiciels malveillants avant de tout remettre en fonction.
Le
réseau québécois de la santé, qui comporte plusieurs systèmes
complexes, de conception de d’âges différents, ferait face à une « tâche
colossale » s’il devait être victime de ce genre d’attaque, estime le
spécialiste.
Des milliers de policiers de la SQ victimes d’un vol de données
Des adresses, numéros de téléphone et autres informations personnelles
de policiers et anciens policiers de la Sûreté du Québec pourraient être
tombés entre de mauvaises mains.
(Montréal)
Des milliers de policiers et ex-policiers de la Sûreté du Québec (SQ)
sont les victimes collatérales d’un vol de données survenu dans les
serveurs d’une firme informatique de Terrebonne, Technologies Xpertdoc.
Ugo Giguère La Presse Canadienne
La
SQ a confirmé, mercredi en fin d’après-midi, avoir ouvert une enquête
officielle après avoir reçu une plainte formelle dans le dossier.
D’après
les informations obtenues auprès du Syndicat des policières et des
policiers provinciaux du Québec (APPQ), la firme visée par le vol est un
ancien sous-traitant qui s’occupait de la gestion des données du
programme d’assurance collective du syndicat.
Cette
firme aurait été la cible d’une attaque de type rançongiciel,
c’est-à-dire que des pirates prennent possession de données et exigent
une rançon avant d’y redonner accès à son propriétaire.
Ce
qui bouleverse le plus le syndicat dans cette histoire, c’est que les
liens d’affaires étaient rompus entre l’APPQ et Technologies Xpertdoc
depuis 2008. Le syndicat dit chercher à comprendre comment et pourquoi
les données de ses membres ont pu être conservées 12 ans après la fin de
sa collaboration avec la firme.
L’APPQ
dit évaluer ses recours et procéder à des vérifications si le contrat
prévoyait une clause sur la destruction des données personnelles à la
fin du lien d’affaires.
Du
côté de la Sûreté du Québec, le porte-parole Hugo Fournier reconnaît
que la situation est préoccupante pour le plus grand corps policier de
la province. Des adresses, numéros de téléphone et autres informations
personnelles de policiers et anciens policiers pourraient être tombés
entre de mauvaises mains.
En
soirée, le chef de la direction de Technologies Xpertdoc, Richard
Brossoit, a réagi dans une déclaration écrite transmise par courriel.
Il confirme que l’entreprise « a découvert l’attaque de rançongiciel le 1er septembre ».
Elle dit alors avoir fait appel à une autre firme spécialisée en
cybersécurité pour l’appuyer dans son enquête sur l’incident.
L’investigation
aurait permis de déterminer que les pirates n’ont pas eu accès aux
systèmes hébergeant les données des clients, sauf « un ancien fichier
hébergé à part […] qui incluait de l’information personnelle liée
uniquement à des membres de l’APPQ », confirme M. Brossoit.
Technologies
Xpertdoc aurait ensuite pris la décision de payer une rançon en échange
de la destruction de ces données. « Rien ne porte à croire que les
auteurs de la menace étaient au courant de la nature ou du contenu des
données exfiltrées », soutient le chef de la direction qui offre ses
excuses à ses clients affectés et particulièrement à l’APPQ.
Dans
99 % des cas, vous allez bien, mais dans 1 cas sur 100, cela se
produira au pire moment possible. C'est comme si vous aviez un pneu à
plat lorsqu'il pleut des torrents, alors que vous saviez qu'un clou
était enfoncé dedans il y a cinq jours.
C'est
une bonne habitude à prendre, car vous pouvez retirer la clé USB au
moment où quelque chose est écrit sur elle ou elle peut effectuer une
fonction d'organisation de la maintenance qui se fait généralement en
arrière-plan ou au ralenti. Lorsque vous éjectez l'USB du système, vous
dites au système OK LES GARS ! LE PATRON ME DIT QUE NOUS EN AVONS FINI
ICI ! PRENEZ VOS AFFAIRES ET PARTEZ !
L'utilité
d'éjecter une clé USB est de s'assurer que le système d'exploitation a
bien purgé tous les caches en écriture (sinon les données de la clé
peuvent être corrompues), fermé tous les descripteurs de fichiers (sinon
un processus en cours qui s'attendait à pouvoir accéder à la clé
pourrait planter), et dans certains cas coupé l'alimentation électrique
vers la clé (ça élimine les chances d'arc électrique avec les clés USB
de mauvaise qualité, ou ça arrête le mouvement du disque s'il s'agit
d'un disque dur portable).
Retirer
une clé USB sans l'éjecter d'abord fait courir un risque de corruption
de données (cache écriture pas vide), de plantage logiciel voire dans
certains cas peut endommager la clé (rare).
Ce
risque est faible cependant si vous avez tenté d'éjecter la clé mais
Windows refuse de la libérer; c'est probablement l'indexation système
qui la bloque, et cette petite crotte peut bien aller moisir en enfer,
tant pis si elle plante.
Si
vous voulez pouvoir éjecter la clé sans souci dès que le système
indique avoir fini les copies, vous pouvez paramétrer Windows pour ne
pas utiliser de cache en écriture vers la clé; toute opération sur
celle-ci est alors exécutée en temps réel, sans passer par un cache.
L'inconvénient est que ça réduit drastiquement les performances en
écriture sur la clé car le cache permet de grouper des opérations
ensemble - et une écriture vers un système de fichiers quel qu'il soit
entraîne toujours une flopée de petites opérations successives (que le
cache permet de regrouper en seulement quelques grosses opérations).
