Un rançongiciel a frappé CMC Électronique, qui contribuera à moderniser les hélicoptères de l’armée canadienne. L’entreprise a fermé son réseau pour protéger ses données.

Publié le 3 juin
Hugo Joncas
Hugo Joncas La Presse

L’attaque est survenue mardi, au lendemain de l’annonce d’Ottawa indiquant que CMC ferait partie du trio d’entreprises chargé de moderniser ses CH-146 Griffon.

« Le 31 mai, CMC a détecté dans son réseau l’intrusion d’un tiers qui a perturbé ses activités, en lien avec une demande de rançon », écrit Paul Holmes, relationniste qu’a embauché la société mère, TransDigm, de Cleveland. « Nous avons éteint notre réseau pour protéger nos systèmes et nos données, et nous avons immédiatement lancé une enquête, avec l’aide d’experts en cybersécurité et en cybercrimes. »

Le gang Alphv a mis en ligne mardi des copies en basse résolution de documents apparemment volés à l’entreprise montréalaise. Depuis, le site internet de CMC est hors d’usage.

Mercredi, la direction de CMC a d’abord refusé de commenter l’attaque informatique. « On n’aura pas de déclaration à vous faire aujourd’hui. C’est tout ce qu’on peut vous dire », a simplement dit une responsable qui a refusé de se nommer à la réception de l’entreprise, dans l’arrondissement de Saint-Laurent.

En discussion sur la rançon ?

À partir de mercredi, CMC n’apparaissait plus sur le site d’Alphv dans le web caché (dark web). C’est habituellement signe que la cible est entrée en contact avec les pirates. « On peut supposer qu’un processus de négociation a été entamé, puisque divulguer une victime publiquement est généralement utilisé spécifiquement pour mettre de la pression sur la victime pour obtenir le paiement de la rançon », dit Alexis Dorais-Joncas, chef d’équipe en renseignement de sécurité à la firme d’antivirus ESET.

Selon une note d’information du FBI publiée en avril sur cette cybermenace, les gangs affiliés à Alphv « exigent habituellement des rançons de plusieurs millions de dollars », en cryptomonnaie comme des bitcoins ou des moneros.

Consultez la note d’information du FBI (en anglais)

Dans sa note, le FBI précise qu’il recommande de ne pas plier.

« Le paiement ne garantit pas que les données seront récupérées. Il pourrait aussi encourager les criminels à prendre pour cibles d’autres organisations, à distribuer un rançongiciel ou à financer des activités illégales, indique le texte du Bureau. Le FBI comprend cependant que quand une victime est incapable de fonctionner, toutes les options sont évaluées pour protéger les actionnaires, les employés et les clients. »

Équipe Griffon

Avec Bell Textron Canada Limited et le motoriste Pratt & Whitney Canada, CMC doit faire partie du regroupement d’entreprises chargé de moderniser la flotte d’hélicoptères CH-146 Griffon de l’armée canadienne, dévoilé lundi.

PHOTO FOURNIE PAR LE CAPORAL KEN BELIWICZ

Griffon canadien en mission pour les Nations unies au Mali en 2018

La Défense nationale signale que ses contrats sont assujettis à des exigences en sécurité de l’information. « C’est un aspect impératif de toutes les ententes entre le gouvernement du Canada et des fournisseurs tiers », selon le chef des relations avec les médias du Ministère, Daniel Le Bouthillier. « Nous continuons de surveiller cette situation, tout en veillant à ce que les informations de la Défense nationale et des Forces armées soient protégées. »

CMC a accumulé des contrats militaires d’une valeur de 19,6 millions au pays depuis 2011, selon les chiffres de la Défense nationale.

Analyste de menaces à la firme d’antivirus Emsisoft, Brett Callow croit que le gouvernement doit améliorer la cybersécurité dans les chaînes d’approvisionnement de l’armée. « Une attaque contre un sous-traitant militaire a des implications potentielles sur la sécurité nationale », dit-il.

Début mai, un autre gang a revendiqué l’attaque d’un fournisseur militaire, l’entreprise d’entraînement au combat aérien Top Aces, de Dorval. Le gang Lockbit 2.0 menaçait de publier 44 gigaoctets de données de l’entreprise, mais cette divulgation n’a jamais eu lieu.

« Nous n’avons trouvé aucune trace d’un rançongiciel dans notre réseau », assure la porte-parole de l’entreprise, Erin Black. Contrairement à celui de CMC, le site de Top Aces est toujours resté fonctionnel.

Colonial Pipeline

Chose certaine, Alphv n’est pas à prendre à la légère. Le groupe de pirates est aussi lié à l’attaque du plus important réseau d’oléoducs aux États-Unis en mai 2021, signale Brett Callow.

« Alphv est une nouvelle “marque” pour le gang BlackMatter, qui était lui-même une nouvelle marque de Darkside, le rançongiciel qui s’en est pris à Colonial Pipeline », explique-t-il.

L’attaque avait paralysé pendant des jours le plus important oléoduc de produits raffinés aux États-Unis, dont la Caisse de dépôt et placement du Québec est un important actionnaire.

Les mêmes individus ne sont toutefois pas nécessairement derrière les deux piratages. « Alphv est un ransomware-as-a-service : ses créateurs le “louent” à d’autres criminels, qui l’utilisent pour leurs attaques, explique Brett Callow. Ils peuvent être n’importe où, y compris au Canada. »

En savoir plus

  • 60
    Nombre de victimes qu’avaient faites les cyberpirates du groupe Alphv/BlackMatter/Darkside/Blackcat en mars dernier
    Source : rapport FBI Flash d’avril 2022 sur ce gang de cyberpirates
    105 %
    Hausse du nombre de cyberattaques aux rançongiciels entre 2021 et 2020. Ce type de piratages est devenu la principale menace contre les organisations dans le monde.
    Source : Cyber threat Report 2022 de SonicWall