Attaque au rançongiciel Les cyberpirates accordent un nouveau délai à Westmount

Les cybercriminels du gang Lockbit ont accordé un nouveau délai de deux semaines à la Ville de Westmount pour payer une rançon, après l’expiration de l’ultimatum de dimanche dernier. Quant à la Ville de Westmount et à la mairesse Christina Smith, elles laissent filtrer très peu d’information sur les travaux visant à remettre sur pied ses systèmes et établir quelles données les pirates ont volées lors de l’attaque du 20 novembre.

Les cybercriminels affirment désormais sur leur site dans le web caché (dark web) qu’ils publieront les données dérobées à Westmount le 21 décembre s’ils ne reçoivent pas un paiement.

Ces prorogations sont typiques du gang qui a frappé la municipalité, selon les experts qu’a consultés La Presse. « Lockbit offre cette option normalement moyennant un coût », dit Stéphane Auger, vice-président responsable de la cybersécurité à l’Équipe Microfix, une entreprise d’informatique.

Cofondateur du Hackfest, Patrick Mathieu croit lui aussi que cette période de grâce implique que l’équipe qui gère cette crise pour Westmount est en discussion avec les pirates. « Ça signifie qu’ils négocient et qu’ils ont potentiellement payé un peu pour gagner du temps », dit-il.

Un porte-parole de la Ville refuse de dire si Westmount discute avec les cybercriminels.

Des délais pour négocier

Les cybercriminels comme Lockbit pratiquent la double extorsion. Avant de les endommager, ils volent les données de leurs victimes pour pouvoir les publier en ligne si elles ne collaborent pas.

Expert en cybermenaces à la firme d’antivirus Emsisoft, Brett Callow pense aussi que Westmount a peut-être payé une certaine somme pour obtenir plus de temps avant la diffusion des renseignements dérobés, mais pas nécessairement.

« Au bout du compte, Lockbit et les autres utilisateurs de rançongiciels ne publient pas les données tant qu’ils ne concluent pas qu’ils n’ont aucune chance d’obtenir un paiement d’une victime, dit Brett Callow. C’est donc loin d’être inhabituel de les voir étirer les délais, et ça ne signifie pas forcément que la victime a payé une somme. »

Pas de garantie

Chose certaine, un paiement serait loin de garantir que les données n’aboutiraient pas de toute façon en ligne, disent les experts.

Stéphane Auger en sait quelque chose. Même s’il déconseille de payer les rançons aux pirates qui l’exigent, un de ses clients qu’il n’a pas l’autorisation de nommer l’a tout de même fait.

Les cybercriminels ont ensuite fait disparaître les renseignements de leur site, mais l’épisode, survenu en novembre, montre bien que les informations dérobées ne sont jamais véritablement détruites et pourraient resurgir à tout moment.

Dans une allocution au conseil municipal le 5 décembre, la mairesse Christina Smith a finalement reconnu ce que La Presse avait écrit le 21 novembre : le gang au rançongiciel Lockbit est bel et bien responsable de l’attaque.

Lisez « La Ville de Westmount piratée »

« Ce groupe prétend avoir eu accès à une quantité importante de données de la Ville qui, pour l’essentiel, sont déjà de nature publique », a-t-elle dit, selon un résumé de sa déclaration disponible en ligne. Elle ajoute que la municipalité a porté plainte à la police de Montréal.

Le 23 novembre, La Presse a rapporté que les pirates ont donné sur leur site un aperçu des dossiers qu’ils affirment avoir volés. Leur site montre l’image de dossiers nommés « Candidats », « Ressources humaines », « Sécurité publique », « Technologies de l’information », « Mayor’s Office » (bureau de la mairesse), « Legal ».

Lisez « Les pirates affichent des dossiers sensibles qu’ils auraient volés »

Selon Christina Smith, la situation est néanmoins « sous contrôle ». « Nous sommes déjà presque totalement opérationnels, et ce dans un délai exceptionnel malgré les circonstances », a-t-elle affirmé le 5 décembre.

La mairesse a aussi signalé que l’« incident » fera l’objet d’une « enquête détaillée » pour savoir comment il a pu se produire.