La gestion « lacunaire » de la cybersécurité dans un organisme paramunicipal où des mots de passe étaient affichés sur des papillons adhésifs (Post-it) a mis à risque des infrastructures névralgiques de la Ville de Montréal l’automne dernier, lors d’une importante attaque informatique.

L’histoire jusqu’ici 23 août 2023 : La Commission des services électriques de Montréal (CSEM), un organisme paramunicipal responsable du réseau de câblage souterrain de l’île, est victime d’une cyberattaque.

4 décembre 2023 : Montréal entame une poursuite à l’endroit de la firme venue à la rescousse de la CSEM, Vertisoft, à qui elle reproche d’avoir « pris en otage » ses données.

6 décembre 2023 : Vertisoft et Montréal en viennent à une entente.

12 juillet 2024 : Vertisoft dépose à son tour une poursuite à l’endroit de la Ville qui dévoile l’existence de brèches de sécurité à la CSEM au moment de la cyberattaque.

C’est ce que révèle par la bande une poursuite intentée récemment par la firme venue à la rescousse de la Commission des services électriques de Montréal (CSEM) en août 2023.

Peu connu du grand public, cet organisme responsable des milliers de kilomètres du réseau de câblage souterrain de l’île avait alors été victime d’une attaque au rançongiciel par des pirates de Lockbit.

Ce groupe de cybercriminels, autrefois considéré comme l’un des plus prolifiques de la planète, réclamait à la CSEM une rançon de 2 millions de dollars américains pour rendre les données dérobées, dont des plans de conduits filaires souterrains1.

Refusant de payer, la CSEM avait alors fait appel à la firme Vertisoft de Victoriaville qui affirme avoir travaillé « nuit et jour » pour rétablir l’infrastructure informatique de l’organisme sur ses propres serveurs.

La Ville accusée de « mauvaise foi »

Des mésententes sur la gestion informatique de la CSEM ont toutefois émergé au fil des semaines avec son sous-traitant. La situation a culminé avec le dépôt d’une poursuite par la Ville en décembre dernier2.

Montréal et la CSEM affirmaient alors que Vertisoft avait « pris en otage » ses données et lui avait « retiré, de son propre chef et sans préavis, les accès administrateurs » à ses serveurs.

Or, ces propos étaient « faux » et la Ville le savait « fort bien », réplique maintenant Vertisoft dans une nouvelle poursuite déposée cette semaine au palais de justice de Montréal où elle reproche aux fonctionnaires municipaux leur « mauvaise foi ».

C’est qu’au moment d’autoriser la poursuite initiale à l’endroit de Vertisoft, des négociations étaient déjà bien avancées afin de transférer lesdits accès. Une entente à l’amiable est d’ailleurs intervenue depuis et la Ville a retiré sa poursuite.

Si Vertisoft agissait avec autant de prudence durant ce transfert, à l’automne 2023, c’est que la firme observait depuis des semaines déjà les pratiques « lacunaires » en matière de sécurité informatique à la CSEM.

« Failles critiques » à l’interne

Après y avoir mené une étude exhaustive, l’entreprise affirme que « la porte d’entrée » des pirates de Lockbit « était liée aux pratiques internes en matière de sécurité informatique » dans l’organisation paramunicipale.

La gestion des noms d’utilisateurs et mots de passe était lacunaire au sein de la CSEM, si bien que les mots de passe étaient partagés, parfois affichés ou disponibles à plusieurs utilisateurs, augmentant de manière exponentielle les risques d’attaques subreptices par des pirates informatiques. Vertisoft, dans sa poursuite

Or, la CSEM gère des installations névralgiques à Montréal : son réseau filaire souterrain. Une nouvelle brèche de sécurité pourrait ainsi « favoriser une attaque visant à le court-circuiter, sans parler des données personnelles, confidentielles ou sensibles appartenant [à la CSEM et à la Ville] ainsi qu’à tous ses clients », poursuit Vertisoft.

La Commission des services électriques de Montréal détient notamment « des informations privilégiées dont certaines sont hautement confidentielles » sur certains de ses partenaires, dont Hydro-Québec, Bell Canada et Vidéotron, qui partagent tous l’immense réseau souterrain de 770 kilomètres.

Face à ce constat alarmant, le président de Vertisoft, Sylvain Belleau, écrit lui-même au président de la CSEM, Robert Gauthier, le 1er novembre dernier, par courrier recommandé.

Sa lettre, déposée en preuve à la cour, est également adressée à tous les membres de son conseil d’administration dont font partie de hauts fonctionnaires municipaux et des représentants de partenaires de la CSEM.

Elle fait état d’une vingtaine de « compromissions ou failles critiques de sécurité », dont le fait que « des mots de passe envoyés de manière sécurisée à la CSEM ont été découverts sur des papiers et des Post-it » dans les bureaux de l’organisation.

On y lit également que l’ancien président de la CSEM, Sid Zerbo, avait affirmé à Sylvain Belleau qu’il soupçonnait que « la faille venait potentiellement de l’interne ». Sid Zerbo a démissionné depuis, après des révélations de La Presse quant à de potentiels conflits d’intérêts3.

Une dénonciation restée lettre morte

La missive de Sylvain Belleau est toutefois restée lettre morte, a confirmé l’avocat représentant Vertisoft, Me Vincent Langlois.

Ce qui est préoccupant dans ce dossier, ce n’est pas nécessairement qu’on ait détecté des failles potentielles de sécurité, comme cela arrive dans plusieurs organisations. C’est le fait qu’on ait dénoncé de façon exhaustive à un ensemble d’administrateurs et que personne à la Ville de Montréal n’ait daigné donner suite. Me Vincent Langlois

« Compte tenu de la judiciarisation du dossier, la Ville ne commentera pas le dossier publiquement », a indiqué par courriel, jeudi, le relationniste Gonzalo Nunez.

Le contrat liant la CSEM à Vertisoft a depuis fait l’objet d’une résiliation dont l’entreprise attribue la responsabilité à la Ville. « Ils ont préféré résilier le contrat plutôt que de tenter d’avoir une discussion qui était à la base constructive avec un sous-traitant qui ne cherchait pas seulement à réparer les pots cassés, mais à prévenir d’éventuels bris », déplore Me Vincent Langlois.

En tout, la firme réclame donc environ un demi-million de dollars en dommages et en indemnisation à Montréal, y compris des sommes pour diffamation compte tenu des allégations contenues dans la poursuite intentée par la Ville l’automne dernier.

La CSEM en chiffres 770 kilomètres

Longueur du réseau souterrain de distribution électrique et de télécommunications 70 500

Nombre de raccordements souterrains aux bâtiments sur le territoire de la Ville de Montréal 68 %

Proportion du réseau utilisé par Hydro-Québec. Le reste est partagé entre la Ville (15 %) et différents partenaires.

1. Lisez l’article « Des pirates s’attaquent à des infrastructures souterraines critiques »

2. Lisez l’article « Montréal accuse une firme de prendre des données en otage »

3. Lisez l’article « Le président de la Commission des services électriques démissionne »