Un gang de cyberpirates bien connu affirme avoir volé une importante quantité de données à la Ville de Westmount et menace de les publier d’ici deux semaines. La municipalité confirme une attaque informatique et a perdu l’usage de ses comptes de courriel.

Lundi en début de soirée, la Ville a publié un communiqué précisant que le piratage a touché « plusieurs serveurs » et causé une « panne informatique ». Le site web de Westmount n’est toutefois pas affecté.

Le gang Lockbit dit avoir 14 téraoctets de données de la Ville en sa possession, soit 14 milliards de kilo-octets, une quantité considérable d’information, plus importante que les autres fuites ayant frappé des organisations québécoises ces derniers mois.

Les pirates au rançongiciel ont fait l’annonce de l’attaque sur leur blogue dimanche, selon ce qu’a pu constater La Presse sur le web caché (dark web). Ils ont d’abord déclaré qu’ils donneraient seulement deux jours à la municipalité pour payer, mais le gang a ensuite modifié sa page et l’ultimatum s’est allongé à 14 jours.

IMAGE TIRÉE DU SITE DE LOCKBIT SUR LE WEB CACHÉ

Le gang Lockbit revendique l’attaque de Westmount et menace de publier 14 téraoctets de données volées d’ici deux semaines.

Jointe au téléphone, la mairesse de Westmount n’avait toujours aucune information précise à communiquer lundi en fin d’après-midi, plus de 24 heures après avoir pris connaissance de l’attaque. Ni elle, ni la division des technologies de l’information n’était en mesure de dire si les pirates sont bel et bien parvenus à voler des informations sur les citoyens ou les employés.

« J’attends plus de détails et on va envoyer un communiqué », dit Christina Smith, qui se trouve présentement en Colombie-Britannique, sans vouloir commenter davantage.

« Nous sommes pleinement conscients qu’il s’agit d’une situation très préoccupante pour nos résidents, mentionne ledit communiqué, publié par la Ville de Westmount lundi en début de soirée. Le conseil et l’administration prennent la situation très au sérieux et feront tout leur possible pour protéger la population. »

Serveurs cryptés

Chef des technologies de l’information à la Ville, Claude Vallières a appris par La Presse que des cyberpirates revendiquent l’attaque.

« On sait qu’on a des serveurs encryptés, mais on n’est pas au courant de qui nous a attaqués, dit-il. On est toujours à investiguer les serveurs infectés, mais on n’a pas eu de communication avec personne… »

Il assure que la Ville n’a pas trouvé d’instructions pour entrer en contact avec les pirates sur un ordinateur, comme c’est habituellement le cas avec Lockbit et les autres rançongiciels.

C’est un employé qui a signalé un problème avec un ordinateur dimanche matin. On a fermé quelques machines par prévention, » a dit Claude Vallières. « On va essayer d’arrêter l’infection. » Son équipe a passé toute la journée à investiguer.

Habituellement, les gangs utilisant ces outils pénètrent d’abord dans les serveurs ciblés pour voler de l’information. Puis ils endommagent les données en les cryptant. Ils enchaînent avec une double extorsion : ils demandent une rançon pour déchiffrer les données, mais aussi pour s’engager à ne pas les publier en ligne.

Pour se relever de l’attaque, Westmount reçoit l’aide de la Fédération québécoise des municipalités. L’organisme a mandaté la société VARS, une filiale du cabinet Raymond Chabot Grant Thornton, pour épauler la Ville. « Nous prenons la sécurité des données très au sérieux et notre priorité absolue est la protection des informations de nos résidents et de nos employés », ajoute le communiqué de Westmount.

Arrestation récente en Ontario

Lockbit est l’un des rançongiciels « les plus actifs et destructeurs », selon un communiqué récent du département de la Justice américain. Il aurait fait « au moins 1000 victimes dans le monde » ces derniers mois, indique le FBI dans une plainte déposée contre un Russo-Canadien que la Police provinciale de l’Ontario (Ontario Provincial Police — OPP) a arrêté fin octobre.

Interpellé à son domicile de Bradford, Mikhail Vasiliev aurait attaqué des infrastructures critiques et de grands groupes industriels dans le monde en se servant de Lockbit. Il aurait fait une victime canadienne en janvier dernier, selon le FBI. Il se serait aussi attaqué à une cible du New Jersey – c’est pourquoi les États-Unis ont demandé son extradition.

Malgré cette récente frappe, le gang est toujours actif. Son site est en ligne sur le web caché et continue d’annoncer de nouvelles victimes.

Lisez l’article « Un important cyberpirate russe arrêté en Ontario »