La semaine dernière, je vous annonçais, non sans émotion la sortie de ma formation sur le veille informatique à destination des passionnés,
blogueurs, journalistes, ou personnes en entreprise qui ont besoin de
faire une veille conséquente pour rester dans la course
professionnellement.
Et comme je m’embêtais un peu le week-end dernier, j’en ai profité
également pour mettre en ligne une autre formation dans laquelle je vous
décortique et vous explique comment faire pour initialiser, paramétrer et configurer votre propre serveur dédié (ou VPS) afin d’y mettre votre site et ainsi être totalement indépendant sur la toile, quelque soit votre projet web.
Cette formation s’adresse aux débutants. J’y explique comment initialiser Linux
sur la machine, associer le nom de domaine avec celle-ci pour que tout
pointe bien, puis comment vous y connecter que vous soyez sous macOS,
Linux ou Windows. Ensuite, j’enchaîne sur un peu de sécurisation, de
mise à jour, puis l’installation d’un serveur web (Nginx – j’y explique
ce choix face à Apache), la mise en place de la base de données MariaDB
(j’explique également ce choix face à MySQL), de PHP bien sûr et de la
configuration de tout ce petit monde pour finir par la mise en place
d’un certificat SSL pour avoir du HTTPS sur votre site et l’installation
d’un WordPress. Des modules optionnels vous aideront également à vous
familiariser avec tout ce qui est monitoring (surveillance du serveur),
et paramétrages plus fins de PHP ou de Nginx.
J’espère que ça vous plaira, car j’y ai mis tout mon cœur ! Le tout
est réparti dans 15 modules, soit plus de 2h30 de formation en vidéo.
Cette formation est la suite naturelle de ma toute première formation sortie il y a quelque mois sur le comment choisir un hébergeur et un nom de domaine. Elles sont donc complémentaires, mais vous pouvez les suivre de manière indépendante si vous n’en voulez qu’une.
Fuite d’information massive chez l’entreprise Goodfellow
Hugo Joncas | Bureau d'enquête
|
Publié le
D’anciens employés de l’entreprise Goodfellow ont appris par notre
Bureau d’enquête que leurs informations médicales piratées sont
disponibles sur le dark web.
Des cybercriminels ont publié des centaines de documents
confidentiels volés au producteur de bois d’œuvre de Delson, en
Montérégie.
Parmi les données dérobées se trouvent des relevés
bancaires de l’entreprise, des informations sur des litiges en cours,
et même des résultats de tests sanguins menés pour détecter la présence
de drogue dans le sang de candidats à l’emploi.
Le gang NetWalker a diffusé ces données après les avoir détruites sur les serveurs de l’entreprise, fin septembre.
Les informations incluent aussi des dizaines d’enquêtes préembauche qu’a menées la firme Garda.
Les pirates ont également publié sur le dark web des
demandes de prestation d’assurance mentionnant des maladies et des
blessures qui ont affecté des salariés, ainsi que des relevés de paye et
des dossiers disciplinaires.
Pas au courant
Notre Bureau d’enquête a contacté certains employés affectés. Parmi
ceux qui ont quitté l’entreprise, aucun n’était au courant de la fuite.
« Je ne savais même pas qu’ils avaient encore de l’information sur
moi après plus d’un an », dit Sébastien Boisvert, un ancien représentant
aux ventes qui a quitté Goodfellow en 2019.
Les résultats du test sanguin qu’il a passé avant son embauche se
retrouvent en ligne et il est étonné que l’entreprise ne l’ait pas
alerté.
Inscrite en Bourse, Goodfellow a déclaré la cyberattaque dans son
dernier rapport de gestion le 15 octobre, sans donner de détails.
« J’ai été transparent avec mes employés. Ils sont au courant », assure le PDG, Patrick Goodfellow.
L’entreprise de 800 employés a refusé de payer la rançon aux
cyberpirates, selon nos informations, préférant reconstruire son réseau.
« Tout progresse bien en ce moment », assure le patron.
Difficile à chiffrer
Patrick Goodfellow se dit incapable d’évaluer le coût de l’opération.
« C’est très subjectif, juge-t-il. Combien de
commandes on a pu perdre parce que le système a été compromis ? Est-ce
que certaines marchandises ont été mal expédiées à cause de ça ? »
Même si la loi ne l’y oblige pas encore, Goodfellow a averti la Commission d’accès à l’information du Québec de l’incident.
« C’est toujours très préoccupant, ce genre de fuites, dit la
porte-parole Isabelle Gosselin. C’est la vie privée des gens qui est en
jeu, et il peut aussi se produire d’autres atteintes aux droits
fondamentaux, comme l’atteinte à la réputation. »
Piratage: Victimes dans l’informatique et l’agriculture
Fresche Solutions
Pirates : NetWalker
Information compromise :
Renseignements personnels d’employés
Renseignements sur des clients
Cette firme montréalaise de logiciels pour entreprises est la plus
récente victime québécoise de cyberpirates qu’a repérée notre Bureau
d’enquête.
Sur son blogue dans le dark web, le gang NetWalker menace
de publier dans deux jours les informations dérobées. Pour montrer son
sérieux, il présente une liste de dossiers de clients trouvés dans des
serveurs de Fresche et une copie du passeport du fondateur.
« Nous avons récemment subi un cyberincident qui a ciblé certains
de nos anciens serveurs », écrit Mathieu Alarie, chef des ressources
humaines chez Fresche.
Une firme de cybersécurité enquête sur l’intrusion.
« Certains renseignements personnels d’employés ainsi que certains
renseignements concernant des clients pourraient avoir été consultés,
écrit Mathieu Alarie. Bien que nous n’ayons pas de preuve de
l’utilisation des données, nous avons contacté les employés et les
clients concernés afin de leur offrir tout le soutien et les outils
nécessaires dans les circonstances. »
Agromart
Pirates : REvil/Sodinokibi
Information sensible retrouvée en ligne :
Courriels de l’entreprise
Informations sur des fermiers clients
Le distributeur de semences et d’engrais, surtout actif en Ontario, a refusé de payer une rançon aux pirates en mai.
Selon le site Farmtario, des agriculteurs ont ainsi vu leurs
informations personnelles publiées en ligne. Agromart a dû leur offrir
des services de surveillance du crédit chez Equifax.
Sollio refuse d’en dire plus « étant donné la sensibilité du sujet ».
« Nous avons communiqué rapidement avec les gens touchés pour leur
offrir du soutien et une marche à suivre pour qu’ils puissent surveiller
toute activité anormale », écrit la directrice des communications,
Anne-Julie Maltais.
Sollio est aussi actionnaire d’Olymel, qui a elle aussi subi une grave attaque informatique en octobre.
La cyberattaque contre le Centre intégré universitaire de santé et de
services sociaux (CIUSSS) du Centre-Ouest de Montréal a ramené sa
centrale d’Info-Santé 20 ans en arrière, en forçant les employés à
prendre des notes papier et en éliminant l’accès aux outils de soins en
ligne.
Le CIUSSS est responsable de l’exploi-tation d’un centre d’appels 811.
Après une attaque informatique, il a débranché la centrale de son
réseau comme ses autres services le 28 octobre, a appris notre Bureau
d’enquête.
« En raison de l’intrusion de cybersécurité, Info-Santé et
Info-Social sont actuellement déconnectés, confirme Barry Morgan,
porte-parole du CIUSSS. Toutefois, il est important de souligner que ces
services sont maintenus. »
Plus de réseau
Les employés du 811 ont toutefois perdu les outils qu’ils utilisent
normalement pour aider les citoyens en détresse, selon une note interne
que nous avons obtenue.
« Les postes de travail n’ont pas accès au réseau du CIUSSS et aux
applications telles que IC et Info-Santé Web », mentionne le texte, daté
du 10 novembre.
IC est le logiciel qui permet de gérer efficacement les demandes
téléphoniques. Les employés l’utilisent pour localiser les appels et
contacter rapidement une ambulance en cas de besoin.
Quant au système Info-Santé Web, il donne accès aux informations que le 811 a déjà colligées sur un patient.
« Je tape un numéro de téléphone, un nom ou une date de naissance
dans le système et je vois si vous avez appelé dans le passé et pourquoi
», explique un membre du personnel qui a contacté notre Bureau
d’enquête.
Il désire rester anonyme parce que le CIUSSS défend à ses employés de parler aux journalistes.
Les employés ont perdu l’accès à ces informations.
« Si vous appelez trois, quatre fois dans la même
nuit, je n’aurai pas accès aux fiches antérieures », déplore la source à
l’interne.
Dossiers papier
Le porte-parole Barry Morgan confirme aussi que les dossiers des
patients « sont préparés à la main » depuis la déconnexion du système.
Quand la centrale reviendra en ligne, les employés devront intégrer ces
notes dans le système informatique.
Seulement 15 ordinateurs portables sont mis à la disposition de superviseures et d’employés en télétravail.
Pour les experts en cybersécurité, la situation démontre que le
CIUSSS n’était pas bien préparé à une perte de son système informatique.
« La société au complet est maintenant dépendante d’internet, mais
on n’a pas pensé au risque si quelque chose brise ou si on se fait
voler, dit Patrick Mathieu, fondateur du Hackfest. Là, on l’a en plein
visage dans les derniers mois. »
Le CIUSSS du Centre-Ouest victime d’une cyberattaque importante
Victime d’une attaque informatique importante qui force un
ralentissement des services de première ligne, le CIUSSS du
Centre-Ouest-de-l’Île-de Montréal annonce qu’il a suspendu la
connectivité à internet ainsi que l’accès à distance à ses réseaux
informatiques.
REF.:
Tristan Péloquin La Presse
« Comme
l’accès aux dossiers et aux données des patients est actuellement
limité, nous avons ralenti les services de première ligne, sans les
interrompre, pendant que nous enquêtons au sujet de cette situation avec
le soutien de l’équipe de cybersécurité du ministère de la Santé et des
services sociaux », précise un communiqué de presse émis peu avant
15 h.
Cette
« intrusion relative à la sécurité » survient alors qu’une vague
majeure de cyberattaques coordonnées cible des dizaines d’hôpitaux aux
États-Unis, et possiblement au Canada. Le ministre de la Santé et des
Services sociaux, Christian Dubé, a affirmé en début d’après-midi que
les systèmes informatiques du CIUSSS ont rapidement été « fermés » de
façon préventive, après la découverte de l’attaque mercredi, pour «
protéger les données hospitalières de la population ».
La
cyberattaque, que le ministre a qualifiée d' « importante », pourrait
avoir touché d'autres « centres que le CIUSSS du Centre-Ouest », mais il
n'a pas donné plus de détails. Le gouvernement dit travailler avec la
GRC et Microsoft pour évaluer l'impact de la situation.
Le
Cybersecurity Infrastructure Security Agency (CISA), en collaboration
avec le FBI et le Département de la Santé américain, a publié mercredi
un rapport annonçant une vague imminente de cyberattaques utilisant le
rançongiciel Ryuk contre le système de santé américain.
Le
Centre canadien de la cybersécurité a pour sa part alerté dès le
4 octobre les autorités canadiennes des risques « d’une campagne
d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui
pourraient s’en prendre à d’autres secteurs d’activité. »
« C’est
peut-être une coïncidence, mais tout porte à croire que ce qui se passe
dans le réseau de la santé du Québec est lié à la vague d’attaques
qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe
chez ESET et chercheur sur les logiciels malveillants.
« Si
c’est le cas, c’est improbable que la compromission initiale se soit
produite hier. C’est plutôt le genre d’attaque où le logiciel
malveillant se propage dans les réseaux au fil du temps. Les attaquants
réussissent en peu à peu à gagner des privilèges d’administrateur »,
précise M. Dorais-Joncas. Les logiciels malicieux sont suffisamment
sophistiqués pour utiliser un ordinateur infecté comme « pivot » à
partir duquel ils s’infiltrent sur d’autres appareils, réseaux et
sous-réseau, sans jamais être détectés. « Les attaquants peuvent ainsi
planifier le moment où ils vont déployer le logiciel. »
Les
cyberattaques de type Ryuk surviennent généralement après que le réseau
informatique d’une organisation ait été compromis par deux autres
logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine
pour faire des vols de données financières et des extractions de mots de
passe.
L’attaque
en trois phases tente de désactiver ou de désinstaller les logiciels de
sécurité du système de la victime afin d’empêcher que cette dernière
bloque le raçongiciel », lit-on dans le communiqué du CISA.
Une
fois l’attaque en cours, les utilisateurs du rançongiciel déploient
d’autres logiciels malveillants pour saisir les données.
Typiquement,
les données des disques durs et même les données de sauvegardes sont
rendues illisibles par un chiffrement pratiquement impossible à craquer.
Un fichier appelé « RyukReadMe », qui contient une adresse de courriel
permettant de contacter l’attaquant sur un serveur anonymisé qui ne
permet pas de retracer l’endroit où il se trouve. Le pirate tente alors
de négocier une rançon en échange de laquelle il redonne accès aux
informations qu’il a chiffrées.
Dans
certains cas, l’attaque fonctionne moins bien, mais rend les
ordinateurs et le réseau des organisations inutilisables. Selon
M. Dorais-Joncas, la remise en service des réseaux ciblés par ces
attaques peut prendre plusieurs jours, voire des semaines. « On le voit
avec ce qui se passe à la STM. Plus d’un millier de leurs serveurs ont
été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce
n’est pas encore réglé », souligne-t-il.
Les
experts en sécurité doivent notamment expertiser chaque appareil et
auditer l’ensemble du réseau pour s’assurer qu’ils sont nettoyés des
logiciels malveillants avant de tout remettre en fonction.
Le
réseau québécois de la santé, qui comporte plusieurs systèmes
complexes, de conception de d’âges différents, ferait face à une « tâche
colossale » s’il devait être victime de ce genre d’attaque, estime le
spécialiste.
