Victime d’une attaque informatique importante qui force un ralentissement des services de première ligne, le CIUSSS du Centre-Ouest-de-l’Île-de Montréal annonce qu’il a suspendu la connectivité à internet ainsi que l’accès à distance à ses réseaux informatiques.

« Comme l’accès aux dossiers et aux données des patients est actuellement limité, nous avons ralenti les services de première ligne, sans les interrompre, pendant que nous enquêtons au sujet de cette situation avec le soutien de l’équipe de cybersécurité du ministère de la Santé et des services sociaux », précise un communiqué de presse émis peu avant 15 h.

Cette « intrusion relative à la sécurité » survient alors qu’une vague majeure de cyberattaques coordonnées cible des dizaines d’hôpitaux aux États-Unis, et possiblement au Canada. Le ministre de la Santé et des Services sociaux, Christian Dubé, a affirmé en début d’après-midi que les systèmes informatiques du CIUSSS ont rapidement été « fermés » de façon préventive, après la découverte de l’attaque mercredi, pour « protéger les données hospitalières de la population ».

La cyberattaque, que le ministre a qualifiée d' « importante », pourrait avoir touché d'autres « centres que le CIUSSS du Centre-Ouest », mais il n'a pas donné plus de détails. Le gouvernement dit travailler avec la GRC et Microsoft pour évaluer l'impact de la situation.

Le Cybersecurity Infrastructure Security Agency (CISA), en collaboration avec le FBI et le Département de la Santé américain, a publié mercredi un rapport annonçant une vague imminente de cyberattaques utilisant le rançongiciel Ryuk contre le système de santé américain.

Le Centre canadien de la cybersécurité a pour sa part alerté dès le 4 octobre les autorités canadiennes des risques « d’une campagne d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui pourraient s’en prendre à d’autres secteurs d’activité. »

« C’est peut-être une coïncidence, mais tout porte à croire que ce qui se passe dans le réseau de la santé du Québec est lié à la vague d’attaques qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe chez ESET et chercheur sur les logiciels malveillants.

« Si c’est le cas, c’est improbable que la compromission initiale se soit produite hier. C’est plutôt le genre d’attaque où le logiciel malveillant se propage dans les réseaux au fil du temps. Les attaquants réussissent en peu à peu à gagner des privilèges d’administrateur », précise M. Dorais-Joncas. Les logiciels malicieux sont suffisamment sophistiqués pour utiliser un ordinateur infecté comme « pivot » à partir duquel ils s’infiltrent sur d’autres appareils, réseaux et sous-réseau, sans jamais être détectés. « Les attaquants peuvent ainsi planifier le moment où ils vont déployer le logiciel. »

Les cyberattaques de type Ryuk surviennent généralement après que le réseau informatique d’une organisation ait été compromis par deux autres logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine pour faire des vols de données financières et des extractions de mots de passe.

L’attaque en trois phases tente de désactiver ou de désinstaller les logiciels de sécurité du système de la victime afin d’empêcher que cette dernière bloque le raçongiciel », lit-on dans le communiqué du CISA.

Une fois l’attaque en cours, les utilisateurs du rançongiciel déploient d’autres logiciels malveillants pour saisir les données.

Typiquement, les données des disques durs et même les données de sauvegardes sont rendues illisibles par un chiffrement pratiquement impossible à craquer. Un fichier appelé « RyukReadMe », qui contient une adresse de courriel permettant de contacter l’attaquant sur un serveur anonymisé qui ne permet pas de retracer l’endroit où il se trouve. Le pirate tente alors de négocier une rançon en échange de laquelle il redonne accès aux informations qu’il a chiffrées.

Dans certains cas, l’attaque fonctionne moins bien, mais rend les ordinateurs et le réseau des organisations inutilisables. Selon M. Dorais-Joncas, la remise en service des réseaux ciblés par ces attaques peut prendre plusieurs jours, voire des semaines. « On le voit avec ce qui se passe à la STM. Plus d’un millier de leurs serveurs ont été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce n’est pas encore réglé », souligne-t-il.

Les experts en sécurité doivent notamment expertiser chaque appareil et auditer l’ensemble du réseau pour s’assurer qu’ils sont nettoyés des logiciels malveillants avant de tout remettre en fonction.

Le réseau québécois de la santé, qui comporte plusieurs systèmes complexes, de conception de d’âges différents, ferait face à une « tâche colossale » s’il devait être victime de ce genre d’attaque, estime le spécialiste.