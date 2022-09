Des dizaines de milliers de fichiers contenant des données confidentielles du Collège Montmorency sont offerts gratuitement sur le dark web. Problèmes psychiatriques d’employés, enquêtes disciplinaires, notamment sur des allégations d’inconduite sexuelle, accusations de plagiat… Depuis la cyberattaque du 11 mai, les dirigeants de l’établissement sont restés muets sur ses conséquences. La Presse a mesuré l’ampleur des dommages.

Des élèves et des employés laissés dans le noir

En avril, Coralie Bouchard a dû fournir au Collège Montmorency ses informations personnelles pour recevoir une bourse d’excellence sportive de 250 $. Aujourd’hui, son numéro d’assurance sociale, sa date de naissance, son adresse et son numéro de cellulaire se retrouvent sur le web caché (dark web), aux côtés de données confidentielles sur des centaines d’élèves et d’employés du cégep.

« Le Collège ne m’a pas avertie de ça. Si vous ne me l’aviez pas dit, je ne le saurais pas encore. Je vais en parler avec mes parents : eux autres sont plus au courant de ce qu’il faut faire », a dit l’élève de deuxième année en techniques de physiothérapie. Elle était mineure au moment de la cyberattaque ayant frappé l’établissement lavallois, en mai dernier.

Les données incluent aussi une foule d’informations autrement plus compromettantes : détails sur des problèmes psychiatriques d’employés, rapports d’enquêtes internes, dont au moins une sur des inconduites sexuelles alléguées, listes d’élèves accusés de plagiat… Même les allocations de dépenses et le numéro de carte de crédit du directeur Olivier Simard se retrouvent sur le blogue des pirates dans le web caché.

Même si elles sont moins embarrassantes pour sa réputation, les données personnelles exfiltrées comme celles de Coralie Bouchard, des « renseignements identifiants », peuvent aider des voleurs d’identité dans leurs méfaits. De quoi inquiéter la jeune femme : « J’ai déjà eu une fraude dans mon compte Desjardins. »

Les cybercriminels affirment qu’ils détiennent 8000 gigaoctets de données. Depuis le 15 juillet, leur site invite la direction à les contacter pour éviter « la fuite complète » des fichiers volés sur leur blogue. Ils ont déjà publié des dizaines de milliers de documents du Collège.

La Presse a choisi de ne pas nommer le groupe ayant mené l’attaque pour éviter de faciliter la tâche aux cybercriminels.

Allégations d’inconduite sexuelle

Parmi les documents les plus sensibles, le dossier disciplinaire d’un professeur toujours employé du Collège mentionne une enquête sur des allégations d’inconduite sexuelle formulées anonymement sur un réseau social. Les fichiers incluent le résumé d’un interrogatoire qu’il a subi et un courriel intitulé « Conclusion de l’enquête ». Il précise qu’« aucun élément n’est porté » au dossier du professeur. « Nous comprenons que […] vous n’avez aucun souvenir de la situation dénoncée et qu’il vous est donc impossible d’y répondre », indique le message.

La Presse ne nomme pas l’enseignant en question parce qu’il n’a fait face à aucune accusation et que rien ne permet de déterminer si les allégations étaient fondées ou non.

Joint au téléphone après un cours, le professeur, qui a plongé dans une dépression après ces évènements, s’est étonné de ne pas avoir été mis au courant de cette fuite. « Ce qu’on m’a dit là-dessus, c’est que ça devait rester confidentiel. »

Informations médicales

La fuite contient également de nombreuses informations médicales sur des employés.

« Madame prend des antidépresseurs, soit Salopren depuis 2015 », indique par exemple un avis du Bureau d’évaluation médicale du ministère du Travail, de l’Emploi et de la Solidarité sociale, qui se retrouve dans les documents du Collège ayant fuité.

D’autres dossiers mentionnent des « troubles anxieux généralisés », une « dépression majeure récurrente » et un « diagnostic de nature psychologique ».

Dossiers liés à la CNESST

Des informations d’employés concernant la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) sont aussi disponibles. Un dossier concerne les cinq années de démarches d’une employée pour obtenir des paiements après un accident de travail. Il contient tous les détails sur sa commotion cérébrale, ses migraines et ses examens neurologiques. Avant-dernière note dans une chronologie de son cas : « En attente d’une évaluation psychiatrique. »

Partie du cégep, elle n’a pas reçu la communication générale avertissant la communauté « que certaines données se trouvant sur les serveurs informatiques du Collège auraient été exfiltrées ».

« C’était de leur devoir de m’appeler, dit l’ex-employée, que La Presse a choisi de ne pas nommer. Ça aurait été la moindre des choses. »

Le dossier d’un professeur de géographie qui bénéficie de l’assurance invalidité après un grave accident de vélo se retrouve lui aussi sur le web caché. Il comprend son adresse, son salaire, sa date de naissance, son numéro de cellulaire et de nombreux détails médicaux.

Joint par La Presse, Denis Bruneau se dit « très choqué » que le Collège ne l’ait pas mis au courant de cette fuite.

On a eu une communication banale à tout le monde, non personnalisée. Je n’ai jamais eu de nouvelles me concernant directement. Denis Bruneau, professeur de géographie au Collège Montmorency

Les informations qui ont fuité incluent des listes de centaines d’employés mentionnant leur salaire, leurs coordonnées complètes et leur état civil.

De nombreux dossiers de relations de travail, comme des suivis détaillés de griefs, se retrouvent également parmi ces informations.

Des centaines d’élèves concernés

Le site des rançonneurs contient aussi des fichiers contenant des informations sensibles sur des centaines d’élèves. Après l’attaque en mai dernier, la porte-parole Marylin Doucet avait pourtant affirmé que le Collège n’avait « aucune preuve à l’effet que les renseignements personnels relatifs aux étudiantes et aux étudiants auraient été compromis ».

Les pirates ont notamment mis en ligne une liste d’élèves accusés de plagiat et une autre énumérant les élèves ayant eu des litiges avec des professeurs.

Les syndicats en « gestion de crise »

Les représentants des divers syndicats d’employés du Collège ont appris l’ampleur de la fuite d’informations à travers les questions de La Presse mercredi.

« Je trouve ça extrêmement inquiétant, dit Amélie Therrien, présidente du Syndicat des enseignantes et enseignants du Collège. On est vraiment en gestion de crise. »

Avant de prendre une position précise, elle attend d’en savoir plus sur ce que la direction savait exactement concernant la gravité et la nature de la fuite.

Même point de vue au syndicat des employés de soutien. « Ça réagit fort : des gens se rendent compte que des informations médicales ont été exfiltrées, dit Marc Meilleur, président du syndicat. Ça aurait été intéressant d’avoir l’information ! »

Toujours pas de réponses claires

Selon un expert en cybermenaces, les pirates ont probablement encore d’autres renseignements volés en banque et ils font pression sur le Collège en en publiant une partie.

« Selon nos données, près de 60 % des organisations victimes de rançongiciel ont opté pour négocier avec les attaquants », dit Alexis Dorais-Joncas, de la firme de sécurité Proofpoint.

Joint par La Presse, le directeur général Olivier Simard s’est engagé à rappeler, mais ne l’a finalement pas fait.

Par ailleurs, le Collège, qui se dit « transparent et proactif », n’a toujours pas précisé si, oui ou non, l’imposante équipe de sécurité qu’il a déployée avait pris connaissance de l’ensemble des données exfiltrées.

« Nous avons été informés récemment qu’une quantité importante de données auraient été compromises, c’est-à-dire publiées sur le web, écrit la porte-parole Marilyn Doucet dans un courriel. À ce moment et comme nous l’avons fait depuis le 11 mai, nous avons rapidement communiqué cette information à notre communauté et également rappelé qu’il était encore temps de se prévaloir des services de protection de crédit. »

Malgré nos demandes répétées, toutefois, le Collège n’a pas fait parvenir à La Presse le contenu précis du courriel envoyé dans la dernière semaine d’août.

Une semaine Période pendant laquelle le Collège Montmorency a complètement déconnecté son réseau. Plusieurs systèmes sont toujours débranchés, cinq mois après l’attaque.

8000 gigaoctets Quantité d’information dérobée selon les cybercriminels (l’équivalent de 250 clés USB de 32 Go)

Organisations qui viennent en aide au Collège Montmorency Centre opérationnel de cyberdéfense du gouvernement du Québe

Équipe Bouclier de la Fédération des cégeps

Ministère de la Cybersécurité et du Numérique

KPMG

8300 Nombre d’élèves au Collège Montmorency 1300 Nombre d’employés au Collège Montmorency

La vérificatrice générale a sonné l’alarme en 2019

Parmi les dizaines de milliers de documents volés au Collège Montmorency, les pirates ont publié des lettres que le bureau de la vérificatrice générale du Québec (VGQ) avait fait parvenir à la direction dans le cadre d’un audit confidentiel sur le cégep. La correspondance aborde justement de sérieux problèmes en matière de… cybersécurité.

L’une des remarques du chien de garde de l’État s’avère presque prémonitoire.

« Nous avons constaté qu’un plan de mesures d’urgence existe, mais que ce dernier ne tient pas compte de la continuité du management de la sécurité de l’information, mentionne la correspondance de la directrice d’audit Renée Lambert, datée de novembre 2019. Cette situation augmente le risque de perte de données sensibles advenant une situation défavorable ou un sinistre. »

Après l’attaque au rançongiciel en mai dernier, le Collège a dû déconnecter son réseau au grand complet durant une semaine.

Une politique vieille de 17 ans

Dans sa lettre, Renée Lambert relevait aussi que la politique de cybersécurité du Collège datait de 2002 et n’était pas communiquée aux employés et aux élèves.

Nous avons constaté qu’il n’y a pas eu d’activité de sensibilisation formelle des utilisateurs à l’égard de la sécurité de l’information durant l’exercice financier. Extrait d’une lettre de l’auditrice de la vérificatrice générale du Québec

De quoi faciliter la tâche des pirates, si le Collège ne corrigeait pas cette lacune avant qu’ils ne frappent, dit un expert en cybermenaces.

« L’absence de sensibilisation, c’est certainement un facteur potentiel. C’est hyper important : le courriel, c’est le vecteur d’attaque par excellence », dit Alexis Dorais-Joncas, expert en cybermenaces pour la firme de sécurité Proofpoint.

Les cyberpirates arrivent régulièrement à s’introduire dans les réseaux informatiques en bernant des utilisateurs à l’aide de courriels ou de pièces jointes infectées.

Alexis Dorais-Joncas ajoute que l’audit « est une bonne chose en soi » : il a peut-être aidé le Collège à corriger certaines lacunes qui ont pu atténuer la gravité de l’attaque.

Mots de passe faibles

Dans sa lettre au Collège, Renée Lambert note aussi que les paramètres des mots de passe pour accéder aux différents serveurs ne respectaient pas les normes. Elle soulignait par ailleurs qu’en 2018-2019, le Collège n’avait fait réaliser aucune évaluation indépendante de la sécurité du réseau.

Dernière lacune soulevée : bien que l’établissement reçoive des paiements par carte de crédit, il ne respectait toujours pas la norme Payment Card Industry Data Security Standard.

Audit « discrétionnaire »

La vérificatrice peut déclencher de façon « discrétionnaire » des audits financiers confidentiels sur les centres scolaires, les cégeps et le système de santé. C’est ce qu’elle a fait avec le Collège Montmorency.

Pourquoi ? « On ne dévoile pas les motifs qui font qu’on va dans une institution plutôt qu’une autre », répond la porte-parole de la VGQ, Line-Sylvie Perron.

Elle signale que les travaux de la vérificatrice dans le cadre de ces audits confidentiels doivent en principe rester secrets.

« Le rapport que vous avez entre les mains, c’est un rapport qui ne peut pas être divulgué sans l’autorisation du Vérificateur général », dit-elle.

Pas de chance : La Presse a pu constater que plusieurs documents portant sur l’audit de la VGQ sont en ligne sur le blogue des pirates.

Le rapport final de l’auditrice s’y trouve également. Il ne fait cependant pas allusion aux critiques soulevées au sujet de la sécurité informatique.

Le Collège n’a pas répondu aux questions de La Presse sur le sujet.