/news/techno

La STM a été infectée par hasard via un courriel

Nicolas Lachance | Journal de Montréal

Attaquée par hasard en raison du courriel malicieux provenant du concessionnaire automobile d’un employé, la Société de transport de Montréal (STM) estime qu’elle s’en sortira sans verser un sou d’une rançon de 2,8 millions $ américains.

• À lire aussi: Rançon de 2,8 M$ US réclamée à la STM

• À lire aussi: La STM victime de pirates bien organisés

• À lire aussi: La panne informatique à la STM toujours pas rétablie

Tout commence chez Acura Laval. Il y a quelques semaines, le concessionnaire automobile de la Rive-Nord de Montréal a été victime d’une attaque informatique qui n’a pas été rendue publique. Selon nos informations, les malfrats ont pénétré le système informatique du concessionnaire et eu accès à la liste des clients et aux boîtes de courriels.

Ils avaient l’option d’effectuer facilement une deuxième attaque, en ciblant des clients ayant eu des échanges de courriel avec le concessionnaire.

Les pirates ont ainsi communiqué avec plusieurs clients simultanément et transmis un fichier infecté à télécharger.

Courriel personnel 

Le 19 octobre 2020, un employé de la STM a consulté ce message depuis son courriel personnel et téléchargé sans le vouloir le fichier malicieux sur un ordinateur de l’organisation.

Le poste de la division des approvisionnements a été immédiatement pris d’assaut par les pirates. La STM était piégée. Elle assure néanmoins que l’employé n’a rien à se reprocher.

L’attaque de type «Zero Day» (un nouveau logiciel malicieux) a facilement outrepassé les mesures initiales de sécurité.

Durant l’après-midi, de nombreux signaux ont alerté la sécurité informatique de la STM. Le protocole d’urgence a été mis en branle. Les serveurs ont été plongés dans le noir afin de protéger les infrastructures de l’organisation. Une décision courageuse qui a limité les dommages.

Depuis 2018, la STM a investi 32 millions $ en sécurité informatique. Elle s’était d’ailleurs dotée d’un système sophistiqué de sauvegarde parallèle. Ce type de virus réussit habituellement à saboter toutes les sauvegardes des entreprises et à causer des perturbations monstres durant des mois. Sans ces investissements, cette attaque «aurait été une catastrophe», plaide une source.

Les sauvegardes ordinaires ont été malmenées, mais ce système parallèle a sauvé le transporteur public. Aucune donnée n’aurait été volée.

2,8 millions $ US 

Dix jours après avoir été victime de l’attaque, la STM a finalement communiqué avec les pirates afin de connaître leurs intentions.

Ces derniers réclament 2,8 millions $ US sous forme de cryptomonnaie pour redonner accès au contenu des 1000 serveurs affectés.

Le directeur général de la STM, Luc Tremblay, a dit hier en entrevue que l’organisation ne paiera pas un sou. «On ne négocie pas avec des criminels, c’est une question de principe», a-t-il plaidé.

Le type d’attaque qu’a vécu la STM ressemble à celles du groupe RansomExx. L’organisation a la réputation de planifier minutieusement ses attaques. Toutefois, les premières analyses démontrent qu’il pourrait s’agir d’une mutation.

Intervention du FBI 

Le FBI a d’ailleurs été impliqué dans le dossier, selon nos sources. Des corps policiers participent aussi à l’enquête.

Le défi est actuellement de vérifier et rallumer les serveurs de sauvegardes les uns après les autres. Un travail ardu, long et coûteux, admet le DG de la STM.

«Le plus gros impact, c’est le jus de bras qu’on a mis pour tout remonter ça. [...] Ça va rentrer amplement sous le montant de la couverture d’assurance. Ça ne devrait rien coûter aux contribuables», souhaite-t-il.

Acura Laval n’a pas voulu commenter, soutenant toutefois que le dossier était entre les mains des policiers.

- Avec la collaboration de Marc-André Sabourin et Hugo Joncas

Le fil des événements 

19 octobre

- Un employé ouvre un courriel personnel provenant de chez Acura Laval.

- Il télécharge sans le vouloir un logiciel malicieux qui prend en otage les serveurs de la STM.

- En soirée, découverte d’un message laissé dans les systèmes par le pirate informatique.

- Des 1600 serveurs de la STM, 1000 ont été affectés par l’attaque.

- De ce nombre, 624 sont des serveurs sensibles.

24 octobre

- La STM répond au pirate qui communique dans un anglais approximatif, mais ne demande pas de rançon.

25 octobre

- Rétablissement d’une partie des serveurs, incluant le système pour le transport adapté.

27 octobre

- 50 % des 624 serveurs sensibles sont rétablis.

28 octobre

- Deuxième communication de la STM avec le pirate.

- Ce dernier réclame une rançon en cryptomonnaie de 2,8 M$ US, soit 3,7 M$ canadiens.

29 octobre

- 77 % des 624 serveurs sensibles sont rétablis.

- La STM assure qu’elle refusera de payer la rançon. Elle confirme que les services bus et métro n’ont jamais été affectés par l’attaque.

Dans la même catégorie