Le groupe Santé Medisys Inc., une filiale de Telus qui possède notamment une clinique à Montréal, a annoncé mercredi avoir payé une rançon à des pirates qui ont perpétré une attaque informatique contre plusieurs milliers de ses clients, à la fin du mois d’août.

Henri Ouellette-Vézina Henri Ouellette-Vézina
La Presse

Noms, adresses, numéros de téléphone et numéros d’assurance maladie, résultats de tests médicaux, prescriptions ou encore rapports de consultations ; l’éventail de données personnelles et médicales qui auraient été compromises dans cette cyberattaque est large.

« Je peux vous confirmer que avons récupéré et supprimé en toute sécurité les données obtenues afin de réduire considérablement le risque qu’elles soient divulguées. Nous avons également engagé des spécialistes en matière de cybersécurité qui continuent de surveiller Internet et le Dark Web », affirme une porte-parole de l’entreprise, Mariane St-Maurice.

Elle ajoute que les données n’ont pas non plus été falsifiées. L’incident a été signalé à la Gendarmerie royale du Canada (GRC) et au Commissariat à la protection de la vie privée. Les numéros d’assurance sociale (NAS) et les renseignements « financiers » ne seraient toutefois pas en cause.

Medisys, spécialisée dans la médecine « préventive », administre une clinique à Montréal sur le boulevard de Maisonneuve Ouest, en plus d’avoir plusieurs contrats publics en poche au Québec. Le 31 août dernier, quand la brèche informatique a d’abord été détectée, l’entreprise affirme avoir lancé une enquête « rigoureuse » à l’interne.

Environ 5 % des clients affectés

Si un mois s’est écoulé depuis, c’est que « l’opération s’est avérée très complexe », ajoute la compagnie. « L’approche retenue comprenait la collaboration avec des experts reconnus à l’échelle internationale. Ces derniers ont pris le temps et consacré les efforts nécessaires pour nous brosser un portrait complet de la situation », se justifie-t-elle.

L’investigation a finalement révélé « qu’il s’agissait d’une attaque par rançongiciel qui a touché environ 5 % de nos clients », indique Medisys dans un communiqué.

« Notre objectif principal étant de protéger la vie privée de nos clients, nous avons versé une rançon pour récupérer les données concernées. Nous avons réglé le problème et nos systèmes sont entièrement rétablis et fonctionnent normalement », ajoute-t-on, en assurant aux clients qu’il n’y a « pas lieu de s’inquiéter ».

Les personnes potentiellement touchées par cette cyberattaque seront directement contactées d’ici le 2 octobre prochain, soit par courriel, par téléphone ou par la poste. Un service de protection sur cinq ans, incluant une assurance contre le vol d’identité, leur sera alors gratuitement fourni.

Le groupe promet aussi « d’améliorer continuellement » ses systèmes informatiques dans le futur, « afin que rien ne soit laissé au hasard pour protéger la sécurité des données de nos clients ». D’ici là, une ligne d’appels sans frais a été mise sur pied pour les citoyens qui s’estimeraient victime de ladite cyberattaque. Il suffit de composer le 1833-232-2011, entre 9 h et 17 h tous les jours de la semaine.

COVID-19 et cyberattaque vont de pair

Bon nombre de cyberattaques sont survenues dans les derniers mois au Canada, touchant même dans les dernières semaines environ 48 500 utilisateurs l’Agence du revenu du Canada (ARC) et de plusieurs autres ministères fédéraux.

Survenues entre le mois de juillet et le mois d’août, ces attaques avaient forcé l’ARC à suspendre ses services en ligne. Plusieurs autres services en ligne du gouvernement fédéral qui utilisent le système d’accès CléGC auraient aussi été affectés. D’après nos informations, le mois dernier, l’ARC a dû repousser 350 000 tentatives de piratage en moins de 12 heures le mois dernier.

En avril, des agences de sécurité informatique américaine et britannique avaient mis la population en garde : les pirates utilisent dorénavant le coronavirus comme appât pour s’attaquer aux ordinateurs personnels et aux réseaux sociaux. Ils le feraient surtout sous la forme de courriels et textos, ou encore de faux sites internet sur la COVID-19.