Un gang de pirates au rançongiciel revendique le vol de données chez Investissement Québec et Rio Tinto.
Sur son site dans le web caché (dark web), le groupe Clop déclare avoir volé de l’information à la société d’État et au géant minier. Contactée par La Presse, Investissement Québec explique qu’un « incident de confidentialité » a touché une plateforme de partage de fichiers qu’elle utilise, GoAnywhere MFT de Fortra.
« Certains renseignements personnels concernant les employés et d’ex-employés sont en cause », dit la vice-présidente aux communications, Gladys Caron. Tout le personnel est touché.
Le Journal de Montréal avait révélé en février que le personnel de la société d’État avait été victime d’un vol de données, sans donner d’informations sur le fournisseur compromis ni sur le gang responsable de ce cybercrime.
Le bras financier du gouvernement précise que l’attaque a touché seulement la plateforme GoAnywhere, et non la société d’État elle-même. « Les systèmes d’Investissement Québec ne sont pas touchés, assure la porte-parole. Nous avons rapidement pris toutes les mesures nécessaires. »
Elle ajoute que les clients de l’organisation « ne sont pas à risque ». Quant aux données compromises sur son personnel, « toutes les mesures adéquates ont été mises en œuvre pour les protéger », dit Gladys Caron.
Investissement Québec n’en dit pas plus « pour des raisons de sécurité ».
Pour l’instant, Clop n’a publié aucune information volée à la société d’État, alors que des données de nombreuses autres victimes du gang se retrouvent sur son site.
Investissement Québec gère pour le gouvernement un portefeuille de 6,1 milliards.
Rio Tinto aussi dans la liste
Le groupe de rançongiciel Clop a aussi ajouté Rio Tinto à la liste de ses victimes sur son site, toujours sans publier de fichiers pour l’instant. La multinationale est bien présente au Québec dans le secteur de l’aluminium et du fer.
« Rio Tinto est au courant de cette attaque présumée et notre équipe de cybersécurité mène son enquête. Nous ne ferons pas d’autre commentaire pour le moment », dit un membre de la direction qui refuse d’être identifié.
Le fonds d’investissement torontois Onex figure aussi parmi les victimes des cybercriminels.
La plateforme GoAnywhere infiltrée
En février, Clop serait entré en contact avec un journaliste du site spécialisé Bleeping Computer, à qui il a expliqué avoir trouvé une nouvelle vulnérabilité (zero-day) dans l’outil de transfert de fichiers GoAnywhere. En l’exploitant, le gang affirme avoir pu voler de l’information à 130 organisations qui l’utilisent en 10 jours.
Bleeping Computer n’avait pas été en mesure de confirmer ces affirmations de façon indépendante.
Mercredi, un porte-parole d’Onex aurait reconnu anonymement que les pirates l’avaient atteint par l’entremise de ce service, selon le site spécialisé IT World Canada.
Des données bientôt publiées ?
Si Clop n’a toujours pas publié d’informations sur Investissement Québec, Rio Tinto et Onex, le gang pourrait le faire rapidement, comme il l’a fait avec d’autres victimes de l’attaque sur GoAnywhere. « Ils semblent agir très vite dans ce cas-ci », dit Brett Callow, analyste en menaces à la firme d’antivirus Emsisoft.
« C’est la deuxième fois que Clop exploite des vulnérabilités dans une plateforme d’échange de fichiers », note l’expert. En 2021, le gang avait frappé la plateforme Accellion FTA et volé notamment des informations sur de la technologie militaire de Bombardier Aéronautique et des données de la Ville de Toronto.
Les cyberpirates publient régulièrement de nouveaux noms de victimes alléguées de leur attaque sur GoAnywhere et Brett Callow s’attend à y trouver d’autres organisations canadiennes, « dans les secteurs tant public que privé ».