Les pirates informatiques ont pu voler tous les courriels

Hugo Joncas | Bureau d'enquêtes

| Publié le 12 septembre 2020 à 05:29

 

 

Les pirates informatiques qui ont attaqué le ministère de la Justice ont vraisemblablement volé tous les courriels qui se trouvaient dans certaines des 14 boîtes de messagerie hameçonnées les 11 et 12 août derniers, selon un expert qui a analysé les événements.

Pour infiltrer les ordinateurs, les pirates se sont servis du logiciel malveillant (maliciel) Emotet. La version utilisée, apparue cet été, dérobe l’ensemble des messages présents sur un ordinateur.

Quand il frappe une adresse courriel, il ne pardonne pas.

« On doit prendre pour acquis que tous les messages envoyés à ce compte ont été volés », affirme Alexis Dorais-Joncas, chef d’équipe en renseignement de sécurité à la firme ESET.

En réponse aux questions de notre Bureau d’enquête le 26 août, le ministère de la Justice avait pourtant assuré qu’« aucune fuite ou perte de données ne se sont produites » (voir la ligne du temps ci-bas).

Quand une victime clique sur un fichier infecté par Emotet (ici, un fonctionnaire du ministère de la Justice), le maliciel vole ses courriels et fait envoyer des messages infectés aux personnes avec qui elle avait échangé.

Fausses réponses

C’est ce qui s’est produit en août : une citoyenne a reçu une fausse réponse à un message qu’elle avait écrit au registre des commissaires à l’assermentation du ministère (voir plus bas). Il était accompagné d’Emotet, camouflé dans un .doc en fichier joint.

Elle a fait parvenir le maliciel à notre Bureau d’enquête. À notre demande, l’équipe d’Alexis Dorais-Joncas chez ESET l’a ensuite testé à l’aide d’ordinateurs isolés.

Une fois lancés, les logiciels se connectent à d’autres serveurs piratés.

ESET avait déjà récupéré des programmes provenant de ces serveurs en août. 

« Ils servent à envoyer d’autres maliciels, dont des modules de vol de courriels conçus pour voler tous les messages et les contacts que contient un ordinateur », explique Alexis Dorais-Joncas.

Réaction lente

Il ne s’explique pas pourquoi le ministère de la Justice a mis tant de temps à réaliser la gravité de la situation.

« Assez rapidement, on aurait dû se rendre compte que c’était Emotet », dit le spécialiste des cybermenaces.

Il pense aussi que le ministère aurait dû contacter dès que possible les citoyens ayant échangé avec les 14 boîtes de courriel piratées, puisqu’ils risquent tous de recevoir des maliciels.

Un mois plus tard, le gouvernement refuse toujours de faire le bilan complet du piratage qu’il a subi.

Jeudi, le ministère s’est finalement engagé dans un communiqué à contacter les personnes concernées « dès que possible ». 

« Un service de surveillance de leur dossier de crédit leur sera notamment offert gratuitement. » 

Nombre de détections du maliciel Emotet au Canada  

Source: ESET

Les versions changeantes de Justice Québec  

Les explications du ministère de la Justice ont beaucoup évolué depuis ses premières réponses.

11-12 AOÛT

Une tentative d’hameçonnage a lieu sur 14 de ses boîtes de courriel.

12-13 AOÛT

Une chercheuse en nouvelles technologies, Yuan Stevens, signale sur Twitter avoir reçu des maliciels Emotet. Ils sont joints à de fausses réponses à des messages qu’elle avait envoyés au registre des commissaires à l’assermentation de la Justice.

13 AOÛT

Le ministre Simon Jolin-Barrette ordonne la fermeture du site du Registre des droits personnels et réels mobiliers (RDPRM). La cause : « une force majeure » survenue la veille, selon la Gazette officielle du Québec.

14 AOÛT

Le ministère annonce la réouverture des sites du RDPRM, du registre des commissaires à l’assermentation et de quatre autres sites qu’administre la Direction générale des registres et de la certification, sans explications. La messagerie électronique reste « indisponible ».

24 AOÛT

Notre Bureau d’enquête envoie ses premières questions au ministère.

26 AOÛT

Justice Québec répond avoir détecté une campagne d’hameçonnage sur 14 boîtes de courriel.

« Le ministère a immédiatement pris les actions nécessaires pour neutraliser la menace », écrit le porte-parole Paul-Jean Charest. Selon son courriel, « aucune fuite ou perte de données ne se sont produites ».

31 AOÛT

Le ministère affirme maintenant qu’il « poursuit ses analyses ».

10 SEPTEMBRE

Notre Bureau d’enquête transmet au ministère les résultats de tests sur les maliciels.

« L'évolution de nos analyses a confirmé que certains courriels contenus dans les boîtes des 14 postes de travail impliqués sont susceptibles d'avoir été compromis », admet ensuite le porte-parole.

Il ajoute qu’une plainte a été déposée à la Sûreté du Québec.

 

REF.:

 

 

 

CChound – 100% musique libre de droits pour vos créations

@Korben  —  13 octobre 2020

Si comme moi, vous avez régulièrement besoin de musique pour illustrer vos vidéos, vos streams Twitch ou vos nuits torrides avec l’être aimé, je viens de tomber sur un super site qui propose de très nombreuses musiques sous licence Creative Commons.

Ce site c’est cchound qui propose de très nombreux morceaux avec ou sans paroles que vous pouvez filtrer par genre, par humeur, par type ou encore par instrument.

Musique de film, disco, ambiance dramatique, musique pour se motiver…etc. il y en a pour tous les goûts, c’est gratuit et utilisable librement sous licence CC.

REF.: Bonne écoute !

 

 

 

Formation – Comment configurer efficacement un serveur web ?

@Korben  —  22 octobre 2020

La semaine dernière, je vous annonçais, non sans émotion la sortie de ma formation sur le veille informatique à destination des passionnés, blogueurs, journalistes, ou personnes en entreprise qui ont besoin de faire une veille conséquente pour rester dans la course professionnellement.

Et comme je m’embêtais un peu le week-end dernier, j’en ai profité également pour mettre en ligne une autre formation dans laquelle je vous décortique et vous explique comment faire pour initialiser, paramétrer et configurer votre propre serveur dédié (ou VPS) afin d’y mettre votre site et ainsi être totalement indépendant sur la toile, quelque soit votre projet web.

Cette formation s’adresse aux débutants. J’y explique comment initialiser Linux sur la machine, associer le nom de domaine avec celle-ci pour que tout pointe bien, puis comment vous y connecter que vous soyez sous macOS, Linux ou Windows. Ensuite, j’enchaîne sur un peu de sécurisation, de mise à jour, puis l’installation d’un serveur web (Nginx – j’y explique ce choix face à Apache), la mise en place de la base de données MariaDB (j’explique également ce choix face à MySQL), de PHP bien sûr et de la configuration de tout ce petit monde pour finir par la mise en place d’un certificat SSL pour avoir du HTTPS sur votre site et l’installation d’un WordPress. Des modules optionnels vous aideront également à vous familiariser avec tout ce qui est monitoring (surveillance du serveur), et paramétrages plus fins de PHP ou de Nginx.

J’espère que ça vous plaira, car j’y ai mis tout mon cœur ! Le tout est réparti dans 15 modules, soit plus de 2h30 de formation en vidéo.

Cette formation est la suite naturelle de ma toute première formation sortie il y a quelque mois sur le comment choisir un hébergeur et un nom de domaine. Elles sont donc complémentaires, mais vous pouvez les suivre de manière indépendante si vous n’en voulez qu’une.

 

 

REF.:  Bonne formation à tous !

 

 

Fuite d’information massive chez l’entreprise Goodfellow

Hugo Joncas | Bureau d'enquête

| Publié le 14 novembre 2020 à 07:11

 

D’anciens employés de l’entreprise Goodfellow ont appris par notre Bureau d’enquête que leurs informations médicales piratées sont disponibles sur le dark web.

• À lire aussi: La ligne Info-Santé victime des pirates

Des cybercriminels ont publié des centaines de documents confidentiels volés au producteur de bois d’œuvre de Delson, en Montérégie. 

Parmi les données dérobées se trouvent des relevés bancaires de l’entreprise, des informations sur des litiges en cours, et même des résultats de tests sanguins menés pour détecter la présence de drogue dans le sang de candidats à l’emploi.

Le gang NetWalker a diffusé ces données après les avoir détruites sur les serveurs de l’entreprise, fin septembre.

Les informations incluent aussi des dizaines d’enquêtes préembauche qu’a menées la firme Garda.

Les pirates ont également publié sur le dark web des demandes de prestation d’assurance mentionnant des maladies et des blessures qui ont affecté des salariés, ainsi que des relevés de paye et des dossiers disciplinaires.

Pas au courant

Notre Bureau d’enquête a contacté certains employés affectés. Parmi ceux qui ont quitté l’entreprise, aucun n’était au courant de la fuite.

« Je ne savais même pas qu’ils avaient encore de l’information sur moi après plus d’un an », dit Sébastien Boisvert, un ancien représentant aux ventes qui a quitté Goodfellow en 2019.

Les résultats du test sanguin qu’il a passé avant son embauche se retrouvent en ligne et il est étonné que l’entreprise ne l’ait pas alerté.

Inscrite en Bourse, Goodfellow a déclaré la cyberattaque dans son dernier rapport de gestion le 15 octobre, sans donner de détails.

« J’ai été transparent avec mes employés. Ils sont au courant », assure le PDG, Patrick Goodfellow.

L’entreprise de 800 employés a refusé de payer la rançon aux cyberpirates, selon nos informations, préférant reconstruire son réseau. « Tout progresse bien en ce moment », assure le patron.

Difficile à chiffrer

Patrick Goodfellow se dit incapable d’évaluer le coût de l’opération. 

« C’est très subjectif, juge-t-il. Combien de commandes on a pu perdre parce que le système a été compromis ? Est-ce que certaines marchandises ont été mal expédiées à cause de ça ? »

Même si la loi ne l’y oblige pas encore, Goodfellow a averti la Commission d’accès à l’information du Québec de l’incident.

« C’est toujours très préoccupant, ce genre de fuites, dit la porte-parole Isabelle Gosselin. C’est la vie privée des gens qui est en jeu, et il peut aussi se produire d’autres atteintes aux droits fondamentaux, comme l’atteinte à la réputation. » 

REF.:

Piratage: Victimes dans l’informatique et l’agriculture

 

 

 

Piratage: Victimes dans l’informatique et l’agriculture  

​Fresche Solutions  

​Pirates : NetWalker

Information compromise :   

• Renseignements personnels d’employés   
• Renseignements sur des clients      

Cette firme montréalaise de logiciels pour entreprises est la plus récente victime québécoise de cyberpirates qu’a repérée notre Bureau d’enquête.

Sur son blogue dans le dark web, le gang NetWalker menace de publier dans deux jours les informations dérobées. Pour montrer son sérieux, il présente une liste de dossiers de clients trouvés dans des serveurs de Fresche et une copie du passeport du fondateur.

« Nous avons récemment subi un cyberincident qui a ciblé certains de nos anciens serveurs », écrit Mathieu Alarie, chef des ressources humaines chez Fresche. 

Une firme de cybersécurité enquête sur l’intrusion.

« Certains renseignements personnels d’employés ainsi que certains renseignements concernant des clients pourraient avoir été consultés, écrit Mathieu Alarie. Bien que nous n’ayons pas de preuve de l’utilisation des données, nous avons contacté les employés et les clients concernés afin de leur offrir tout le soutien et les outils nécessaires dans les circonstances. » 

Agromart  

Pirates : REvil/Sodinokibi

Information sensible retrouvée en ligne :   

• Courriels de l’entreprise   
• Informations sur des fermiers clients      

Le distributeur de semences et d’engrais, surtout actif en Ontario, a refusé de payer une rançon aux pirates en mai. 

Selon le site Farmtario, des agriculteurs ont ainsi vu leurs informations personnelles publiées en ligne. Agromart a dû leur offrir des services de surveillance du crédit chez Equifax.

Sollio refuse d’en dire plus « étant donné la sensibilité du sujet ».

« Nous avons communiqué rapidement avec les gens touchés pour leur offrir du soutien et une marche à suivre pour qu’ils puissent surveiller toute activité anormale », écrit la directrice des communications, Anne-Julie Maltais.

Sollio est aussi actionnaire d’Olymel, qui a elle aussi subi une grave attaque informatique en octobre.

 

REF.: