Un hôpital, un centre du réseau de la santé, une société de transports en commun et même des policiers en ont été victimes. Une vague d’attaques informatiques frappe actuellement le Québec, au moment où des hôpitaux américains sont aussi visés par une vague coordonnée de cyberattaques.

Tristan Péloquin Tristan Péloquin
La Presse

L’Hôpital général juif de Montréal et le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal ont dû débrancher d’urgence leurs réseaux informatiques mercredi, après avoir constaté une « intrusion inquiétante » qui visait les données médicales.

Ordinateurs, serveurs, accès à l’internet et systèmes téléphoniques ont dû être déconnectés, de crainte que l’intrusion n’entraîne une fuite majeure de données sensibles. « Nous sommes pratiquement une île isolée » de l’ensemble du réseau de la santé, a affirmé le DLawrence Rosenberg, PDG du CIUSSS, lors d’un point de presse jeudi.

La décision a provoqué un ralentissement des services de première ligne, reconnaît la direction, mais les effets seraient limités pour le moment. « Il y a peut-être quelques délestements de services, mais c’est vraiment minimal. Les centres de dépistage fonctionnent comme à l’habitude », a affirmé Francine Dupuis, PDG adjointe de l’organisme.

Il n’y a pas eu de rançon ou de demande de rançon qui a été faite, puisque nous avons coupé le problème à sa source.

Francine Dupuis, PDG adjointe du CIUSSS du Centre-Ouest-de-l’Île-de-Montréal

À ce stade, le CIUSSS ne peut « ni confirmer ni infirmer » que l’intrusion est liée à une vague importante d’attaques par rançongiciel qui a frappé au moins une demi-douzaine d’hôpitaux américains – principalement à New York et en Californie – au cours des derniers jours. Au moins trois hôpitaux de l’Ontario ont aussi été visés par des attaques semblables. Le Washington Post affirme que les pirates agissent à partir de l’Europe de l’Est et parlent russe.

Une équipe de cybersécurité du ministère de la Santé et des Services sociaux, aidée de policiers de la GRC et de la SQ ainsi que d’un technicien du fournisseur Microsoft, enquête pour déterminer précisément ce qui s’est passé au CIUSSS montréalais et rétablir les systèmes. L’opération risque de prendre « quelques jours ». « On ne sait pas ce qu’ils vont trouver, ni combien de temps ça va prendre pour qu’ils le trouvent », a précisé Mme Dupuis.

Plusieurs cibles au Québec

Ces dernières semaines, plusieurs autres organisations québécoises ont été visées par des cyberattaques du même genre. C’est le cas de la Société de transport de Montréal, dont environ 1000 des 1600 serveurs ont été paralysés par un rançongiciel le 19 octobre. La STM a précisé jeudi qu’un pirate informatique avait transmis une demande de 2,8 millions US à la suite de l’attaque. La société affirme qu’aucune donnée n’a été volée, et que 77 % des serveurs ont été rétablis depuis.

L’Association des policières et policiers provinciaux du Québec a aussi rapporté mercredi que plusieurs milliers de ses membres avaient été victimes d’un vol informatique semblable, lors duquel des données – dont leurs noms, adresses, dates de naissance et possiblement certaines données bancaires – avaient été visées par un rançongiciel. Les données étaient hébergées par le serveur de Technologies Xpertech, un ancien sous-traitant.

Technologies Xpertech a reconnu jeudi avoir versé le paiement demandé par les pirates. On ignore la somme déboursée.

La Sûreté du Québec, qui constate une recrudescence de ce type d’attaques depuis quelques semaines, a ouvert une enquête au sujet de cette affaire.

Menace en hausse

Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le FBI et le département de la Santé, a publié mercredi un rapport annonçant une recrudescence des cyberattaques utilisant le rançongiciel Ryuk contre le système de santé américain. Le Centre canadien de la cybersécurité a pour sa part alerté dès le 4 octobre les autorités canadiennes des risques « d’une campagne d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui pourraient s’en prendre à d’autres secteurs d’activité ».

Depuis 2019, ce rançongiciel est de plus en plus utilisé pour s’attaquer à des entreprises ou à des organisations d’envergure. Les pirates effectuent une attaque en trois phases pour infiltrer les réseaux informatiques et crypter toutes les données qui s’y trouvent. Ils réclament ensuite une forte somme aux administrateurs, en échange de laquelle ils libèrent généralement les données.

« C’est peut-être une coïncidence, mais tout porte à croire que ce qui se passe dans le réseau de la santé du Québec est lié à la vague d’attaques qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique, et chercheur sur les logiciels malveillants.

« Si c’est bien le cas, c’est improbable que la compromission initiale se soit produite mercredi. C’est plutôt le genre d’attaque où le logiciel malveillant se propage dans les réseaux au fil du temps. Les pirates réussissent peu à peu à gagner des privilèges d’administrateur », précise M. Dorais-Joncas. Les logiciels malicieux sont assez sophistiqués pour utiliser un ordinateur infecté comme « pivot » à partir duquel ils s’infiltrent dans d’autres appareils, réseaux et sous-réseaux, sans jamais être détectés.

« Les pirates peuvent ainsi planifier le moment où ils vont déployer le logiciel. »

Comment fonctionne une attaque de type Ryuk ?

Les cyberattaques de type Ryuk surviennent généralement après que le réseau informatique d’une organisation a été compromis par deux autres logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine pour commettre des vols de données financières et des extractions de mots de passe.

L’attaque tente de désactiver ou de désinstaller les logiciels de sécurité du système de la victime afin d’empêcher que cette dernière bloque le rançongiciel, selon le communiqué.

Une fois l’attaque en cours, les utilisateurs du rançongiciel déploient d’autres logiciels malveillants pour voler les données.

Généralement, les données des disques durs et même les données de sauvegarde sont rendues illisibles par un chiffrement pratiquement impossible à déjouer. Un fichier appelé « RyukReadMe », qui contient une adresse de courriel permettant de communiquer avec l’auteur de l’attaque sur un serveur anonymisé qui ne permet pas de découvrir l’endroit où il se trouve.

La remise en service des réseaux visés par ces attaques peut prendre plusieurs jours, voire des semaines. « On le voit avec ce qui se passe à la STM. Plus d’un millier de ses serveurs ont été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce n’est pas encore réglé », souligne Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique. Les experts en sécurité doivent notamment expertiser chaque appareil et inspecter l’ensemble du réseau pour s’assurer qu’aucune trace des logiciels malveillants ne subsiste.

Le réseau québécois de la santé, qui comporte plusieurs systèmes complexes conçus à des époques différentes, ferait face à une « tâche colossale » s’il devait être victime de ce genre d’attaque, estime M. Dorais-Joncas.