Les pirates qui ont attaqué la Ville de Westmount ont publié mardi des images des dossiers qu’ils auraient dérobés. Pour les experts qu’a consultés La Presse, cette publication dans le web caché signifie vraisemblablement qu’ils ont bel et bien copié le contenu de ces dossiers.

Dimanche, les cybercriminels du gang LockBit ont revendiqué l’attaque de la municipalité. Ils menacent de publier 14 téraoctets de données volées dans les 14 jours. En attendant, ils ont diffusé des images de dossiers nommés « Candidats », « Ressources humaines », « Sécurité publique », « Technologies de l’information », « Mayor’s Office » (bureau de la mairesse), « Legal ».

Contactée par La Presse, Westmount n’a rien dit du contenu de ces dossiers. Impossible de savoir s’ils incluent par exemple des coordonnées et des numéros d’assurance sociale d’employés, ou encore des renseignements sur la sécurité publique et la sécurité informatique. Les noms des dossiers laissent aussi présager que des fichiers de la mairesse et des communications soumises au secret professionnel de l’avocat ont pu fuiter.

Dossiers vraisemblablement copiés

S’ils affichent ces filières, c’est qu’ils en ont bel et bien dérobé le contenu, selon les experts consultés.

« Il y a de bonnes chances qu’ils aient tout copié », dit Patrick Mathieu, fondateur du HackFest et expert en cybersécurité.

C’est aussi ce que pense Brett Callow, expert en cybermenaces chez Emsisoft. « Si un voleur vient chez vous, il ne va probablement pas ressortir les mains vides ! »

CAPTURE D’ÉCRAN DU SITE DE LOCKBIT SUR LE WEB CACHÉ

Le gang Lockbit montre les dossiers qu’il prétend avoir volés à Westmount et menace de publier les données qu’ils contiennent dans les 14 jours

Le porte-parole de Westmount, Sebastian Samuel, dit simplement que la Ville attend l’analyse de la Société VARS, une filiale de Raymond Chabot Grant Thornton qui l’aide à se relever de l’attaque. « En ce moment, je n’ai pas d’information que je peux partager. »

Les syndicats veulent de l’information

Mis au fait des derniers évènements, le Syndicat des fonctionnaires municipaux de Montréal (cols blancs), qui représente aussi les employés de Westmount, se dit « très inquiet par rapport à la nature des informations obtenues par les pirates ». « Ce serait désastreux pour les travailleurs de vivre un scénario comme ce qui s’est déjà produit ailleurs au Québec », dit Guylaine Dionne, présidente.

Elle demande à la Ville de communiquer dès que possible avec les employés qui pourraient avoir subi le vol de leurs données personnelles.

Guylaine Dionne invite municipalité à communiquer la nature des données piratées dès qu’elle aura l’information. « Nous attendons des réponses à nos questions. »

Le Syndicat prépare une plainte à la Commission d’accès à l’information. En vertu de la nouvelle loi 25, les organisations doivent prendre toutes les mesures nécessaires pour protéger les données personnelles qu’elles collectent. Elles doivent aussi communiquer rapidement avec les personnes concernées en cas de fuite présentant « un risque de préjudice sérieux ».

Le Syndicat des cols bleus regroupés de Montréal est lui aussi impatient d’en savoir plus. « On est extrêmement préoccupé par la fuite de données, dit Alexis Lamy-Labrecque, conseiller principal. On veut s’assurer que Westmount prend les mesures pour protéger les données de nos membres. »

Une masse de données à risque

Dimanche, le gang LockBit a annoncé dans le web caché avoir volé 14 téraoctets de données, soit 14 milliards de kilo-octets. En comparaison, les pirates qui ont dérobé des masses considérables de données au Collège Montmorency disent détenir 8 téraoctets de renseignements appartenant au cégep.

Les pirates exagèrent peut-être la quantité d’information volée pour mieux extorquer leur victime, mais le vol d’une telle masse de données est loin d’être impossible, selon les experts.

Les cybercriminels qui utilisent des rançongiciels comme LockBit passent souvent plusieurs mois à explorer un serveur et à en copier le contenu avant de se faire repérer ou de passer à l’attaque en endommageant les données.

Journaliste spécialisé dans les cybermenaces, Damien Bancal mentionne que certains pirates sont capables de copier le contenu d’un serveur en seulement trois jours. « Il suffit d’avoir le bon débit et le téléchargement n’est plus qu’un détail », dit-il.

Pas de déclaration à la Commission

Jusqu’à maintenant, la Commission d’accès à l’information n’a pas reçu de déclaration de la Ville de Westmount sur une fuite de données personnelles. « Ça ne veut pas dire que n’en recevrons pas », dit la porte-parole Emmanuelle Giraud.

Après avoir confirmé des problèmes avec des serveurs de Westmount dimanche soir, la mairesse Christina Smith et la direction des technologies de l’information (TI) ne répondent plus. Ils ont appris par La Presse qu’un gang au rançongiciel revendiquait le piratage.

La Ville a publié lundi un communiqué où elle expliquait que la cyberattaque avait causé une perte informatique et rendu les courriels inutilisables.

Dans un entretien dimanche, le directeur des TI Claude Vallières confirmait que des équipements informatiques avaient été endommagés. « On sait qu’on a des serveurs cryptés, mais on n’est pas au courant de qui nous a attaqués », dit-il.

Il précisait qu’il n’a pas trouvé de demande de rançon, comme celles que laissent habituellement les gangs au rançongiciel comme LockBit.

Chose certaine, Westmount pourrait difficilement justifier le paiement d’une rançon, dit Mario Paul-Hus, avocat spécialisé dans les affaires municipales. « Je ne pense pas que les villes puissent utiliser l’argent des contribuables de cette façon », dit-il. Il préconiserait plutôt le paiement de travaux pour remettre sur pied les systèmes et les bases de données endommagés et augmenter leur robustesse.

En savoir plus

  • 89 %
    Proportion des cyberattaques où les pirates volent des données au troisième trimestre de 2022
    BlackFog, The State of Ransomware 2022
    5,81 millions
    Coût moyen causé par une fuite de données dans le monde
    IBM, Cost of a Data Breach 2022