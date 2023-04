Le groupe de pirates Black Basta a revendiqué une cyberattaque contre les Pages Jaunes. Copies de passeports, de cartes RAMQ, d’états de compte et de permis de conduire : La Presse a trouvé sur le web caché des échantillons d’informations confidentielles volées, notamment à des Québécois.

Cette cyberattaque alléguée suit un modus operandi classique de rançongiciel, c’est-à-dire que le gang a dévoilé en ligne, sur son blogue situé sur le web caché, des échantillons des données volées pour faire pression sur l’entreprise visée.

Dans ce cas-ci, il s’agit des Pages Jaunes, cet annuaire qui regroupe les informations de milliers d’entreprises et de consommateurs canadiens.

L’ampleur de la fuite d’information n’est pas connue.

Au moment où ces lignes étaient publiées, les Pages Jaunes n’avaient pas répondu à la demande envoyée par courriel par La Presse. Samedi, un appel au numéro du service à la clientèle des Pages Jaunes se terminait par le message : « la communication n’a pu être établie ». Le numéro général de l’entreprise raccrochait automatiquement.

Au début du mois d’avril, le site internet de Canada 411 avait été inaccessible pendant quelques jours, avait pu constater La Presse. Le Journal de Montréal, dans un article publié le 7 avril, avait attribué ces pannes à une cyberattaque avec demande de rançon, selon une source au fait du dossier.

« Lors de ces piratages, il y a beaucoup de renseignements personnels qui sont exfiltrés. Ce sont des techniques de négociation, parce que toutes les informations ne sont pas publiées, juste un petit échantillon, explique Karim Ganame, chef de la cybersécurité chez Streamscan. Le but est d’augmenter la pression sur la victime. Et si rien n’est fait, l’entièreté des informations va être exfiltrée. »

Des informations sensibles volées

Sur le web caché, Black Basta a publié des échantillons d’informations très sensibles sur plusieurs personnes, dont des Québécois. On y trouve notamment des copies de passeports canadiens, de permis de conduire du Québec et de la Colombie-Britannique, de cartes de la Régie de l’assurance-maladie du Québec (RAMQ), et d’une déclaration de revenus contenant le numéro d’assurance sociale d’un individu.

CAPTURE D’ÉCRAN LA PRESSE Copies de documents confidentiels publiées par Black Basta

Selon nos informations, certaines de ces données pourraient être liées à des employés ou ex-employés de l’entreprise. Les Pages Jaunes emploient environ 700 personnes au pays.

Les noms de quelques entreprises, des états de compte anonymisés et le contrat de vente d’une entreprise ontarienne sont aussi divulgués.

Les copies d’une série de factures de restaurants situés à la même adresse que les Pages Jaunes à Montréal, rue Richardson, ont aussi été rendues publiques.

Ce qui est surprenant, c’est que ce type de données ne soit pas protégé de façon adéquate. En matière de protection des données, les entreprises [au Canada] sont assez en retard. On collecte les données, on les stocke sur les systèmes, mais on met en place très peu de mesures pour [les protéger]. Karim Ganame, chef de la cybersécurité chez Streamscan

Nous avons été en mesure d’entrer en contact avec une personne dont les données ont fuité. Elle a préféré ne pas parler publiquement avant d’avoir sécurisé ses informations. Elle nous a confirmé ne pas avoir été avisée par les Pages Jaunes de la situation.

Attaque revendiquée

En soirée vendredi, le groupe de suivi des cyberattaques BetterCyber a publié sur Twitter une alerte concernant cette attaque revendiquée par Black Basta.

« #BlackBasta#ransomware prétend avoir #hacked les Pages Jaunes Canada », peut-on lire en anglais dans ce Tweet.

Bien que directement interpellée sur Twitter, Yellow Pages (les Pages Jaunes) n’avait pas répondu publiquement sur le réseau social samedi.

« Se faire pirater, c’est tabou en général, mais ce n’est pas quelque chose d’exceptionnel », remarque M. Ganame. Toutefois, une entreprise bien préparée à ce type d’attaque aurait, selon lui, un plan pour informer les personnes touchées par la fuite d’information.

« Par défaut, les Pages Jaunes devraient considérer que toutes les données à l’interne ont été touchées », renchérit l’expert. Les personnes à risque devraient être alertées, tout comme la Commission d’accès à l’information.

Les sociétés n’ont pas encore saisi l’ampleur des menaces posées par les cyberattaques, déplore aussi M. Ganame. « Il faut qu’elles agissent, qu’elles considèrent que la menace est là, et qu’elles ont intérêt à déployer les bons outils. »

Black Basta est un gang de rançongiciels actif. Le 20 avril, le géant londonien de services aux entreprises Capita a confirmé avoir été victime d’une cyberattaque de sa part, selon le site Bleeping Computer. Environ 4 % de l’infrastructure du serveur de Capita aurait été touchée.

C’est également Black Basta qui, en novembre 2022, s’en était pris au groupe Empire, qui exploite notamment les supermarchés IGA.

Avec les informations de Hugo Joncas, La Presse

La loi 25 dans tout ça ? La loi 25 sur la cybersécurité, adoptée en septembre dernier, devrait à terme mieux protéger les citoyens dans les cas de piratage comme celui-ci. Mais tout n’est pas gagné, selon l’expert en cybersécurité Steve Waterhouse. La cyberattaque alléguée contre les Pages Jaunes « est un cas typique pour étudier la pleine portée des fuites d’informations et la responsabilité de l’organisme », estime-t-il. « Si je fais une comparaison avec l’Europe, là-bas, ils ont l’obligation de rapporter en dedans de 72 heures un tel évènement. Ici, c’est le plus tôt possible. C’est une grande distinction. » « Voilà un autre bel exemple de sécurité par obscurité – Façon de faire désuète qui n’a plus sa place en 2023 et au-delà, a aussi écrit M. Waterhouse sur Twitter. La transparence est de mise, car une fois que les données ont [fuité], elles sont irrécupérables. »