C’est le supplice de la goutte pour BRP. Avec le deuxième ensemble de données qu’ils ont publié, les cyberpirates accentuent la pression sur l’entreprise. Ils dévoilent des documents hautement stratégiques sur le calendrier de développement de nouveaux produits d’ici la fin de la décennie, dont des détails sur sa nouvelle motoneige électrique, jamais dévoilés jusqu’à maintenant.
Un des documents les plus névralgiques diffusés par le gang de hackers ayant pénétré les systèmes de l’entreprise est un échéancier de commercialisation détaillé. Il concerne non seulement les motoneiges, mais aussi l’ensemble des produits électriques de l’entreprise, des nouvelles motos aux pontons de la division Manitou, en passant par les motomarines et les autoquads biplaces (véhicules côte-à-côte). Ce fichier contient même les noms potentiels pour les différents modèles qui pourraient être commercialisés ainsi que les sommes estimées pour la conception des prototypes.
Vendredi, La Presse donnait un aperçu de cette première fuite de renseignements touchant la multinationale de Valcourt, diffusée dans le web caché (dark web). Depuis, nos journalistes ont pu analyser le contenu du deuxième jeu de données, que les pirates ont mis en ligne mercredi en disant vouloir accentuer la pression sur l’entreprise.
Sur leur site, les cybercriminels affirment que ces « documents confidentiels » proviennent « des ordinateurs de plusieurs employés ».
Un scoop dans les données
Le document qu’ils ont publié sur le nouveau Ski-Doo lève le voile sur l’autonomie prévue du véhicule, sa vitesse maximale, la puissance de sa batterie ainsi que les nouveaux skis et une nouvelle suspension qui doivent l’équiper.
Selon un concessionnaire qui a pris connaissance des détails de la nouvelle motoneige électrique, ce modèle n’a pas été présenté aux marchands dans le cadre du grand rendez-vous annuel qui se tenait dans l’Utah, tout juste avant la cyberattaque du 8 août dernier.
« C’est vraiment de l’information très précise, a expliqué le concessionnaire, qui demande de ne pas être identifié. C’est vraiment quelque chose. »
Le nom du nouveau modèle est mentionné dans les données, mais La Presse a décidé de ne pas le révéler pour ne pas faire le jeu des pirates.
La fuite contient aussi de l’information destinée aux gouvernements. Un document, « privé et confidentiel », explique certaines opérations financières réalisées entre BRP et ses différentes filiales au Québec, aux États-Unis, au Mexique et en Europe.
Ces transactions sont scrutées de près par les autorités parce qu’elles permettent parfois à des entreprises de faire de l’évitement fiscal.
D’autres fuites à venir ?
Pour les spécialistes, c’est la stratégie d’extorsion typique d’un groupe de cybercriminels qui souhaitent se faire payer « le plus possible, et le plus rapidement possible ». « C’est ce qui se produit quand la victime ne veut pas collaborer, dit Alexis Dorais-Joncas, expert en cybersécurité. C’est du chantage. »
Par ailleurs, le comportement du gang laisse penser qu’il a encore de l’information à divulguer, selon Stéphane Auger, vice-président de l’Équipe Microfix, une entreprise spécialisée dans les technologies de l’information qui a aidé plus d’une société à se relever de cyberattaques. « S’ils avaient tout sorti, BRP n’aurait pas de motivation à payer. »
Il ajoute que rien n’indique que l’entreprise est réellement en discussions avec le groupe. « Les pirates disent qu’ils négocient avec BRP, on ne sait même pas si c’est vrai », dit-il.
Chose certaine, la multinationale du véhicule récréatif n’a pas intérêt à le faire, selon lui.
Même en payant une rançon, ils n’ont aucune garantie que les données ne ressortiront pas plus tard. À leur place, je ne paierais pas.
Stéphane Auger, vice-président de l’Équipe Microfix
De toute façon, BRP devrait assumer que l’information est publique.
C’est aussi l’avis de la Gendarmerie royale du Canada, qui encourage « fortement » les victimes « à ne pas payer la rançon » sur une page concernant ces cyberattaques.
Même position au FBI, qui demande aux victimes de ne pas plier.
« Payer une rançon encourage les auteurs de menaces à cibler davantage de victimes et incite d’autres criminels à s’impliquer dans ce type d’activités illégales », prévient-on sur la page de la police fédérale américaine sur les rançongiciels.
« Si personne ne déboursait, il n’y aurait pas de marché », dit Alexis Dorais-Joncas. Il reconnaît toutefois que, dans certains cas, une victime doit choisir entre « la vertu de ne pas payer » et la sauvegarde de son entreprise.
BRP n’a pas répondu aux questions de La Presse vendredi. Dans une déclaration, l’entreprise a plutôt exprimé sa frustration sur notre couverture.
« Nous sommes de fervents défenseurs de la liberté de la presse, mais nous sommes déçus du traitement de la nouvelle qui s’avère faire la promotion du travail de pirates informatiques criminels », mentionne un courriel non signé.
Jeudi, l’entreprise avait refusé de donner des détails sur d’éventuels contacts avec les pirates.
« Nous ne commenterons aucune discussion ou négociation potentielle avec des acteurs de cybermenaces, y compris tout paiement de rançon. »
-
- 94,94 $
- Cours de clôture du titre de BRP, vendredi à la Bourse de Toronto. L’action a cédé 5,91 $, ou environ 5,9 %.
Source : Bourse de Toronto