L’Hôpital général juif de Montréal et le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal ont dû débrancher d’urgence leurs réseaux informatiques mercredi, après avoir constaté une « intrusion inquiétante » qui visait les données médicales.
Les ordinateurs, les serveurs, l'accès à l’internet et les systèmes téléphoniques ont dû être déconnectés, par peur que l’intrusion n’entraîne une fuite majeure de données sensibles. « Nous sommes pratiquement une île isolée » de l’ensemble du réseau de la santé, a précisé le D[sup]r [/sup]Lawrence Rosenberg, PDG du CIUSSS.
La décision a provoqué un ralentissement des services de première ligne, admet la direction, mais les effets seraient limités pour le moment. « Il y a peut-être quelques vols dans certains services, mais c’est vraiment minimal. Les centres de dépistage fonctionnent comme à l’habitude », a affirmé Francine Dupuis, PDG adjointe de l’organisme.
Il n’y a pas eu de rançon ou de demande de rançon qui a été faite, puisque nous avons coupé le problème à sa source.
À ce stade, le CIUSSS ne peut « ni confirmer ni infirmer » que l’intrusion est liée à une vague importante d’attaques par rançongiciel qui a frappé au moins une demi-douzaine d’hôpitaux américains durant ces dernières semaines. Au moins trois hôpitaux de l’Ontario ont également été visés par des attaques similaires. Le Washington Post affirme que les pirates agissent à partir de l’Europe de l’Est.
Une équipe de cybersécurité du ministère de la Santé et des Services sociaux, aidée de policiers de la GRC et de la SQ ainsi que d’un technicien du fournisseur Microsoft, enquête pour déterminer précisément ce qui s’est passé au CIUSSS montréalais et rétablir les systèmes. L’opération risque de prendre « quelques jours ». « On ne sait pas ce qu’ils vont trouver, ni combien de temps ça va prendre pour qu’ils le trouvent », a précisé Mme[sup] [/sup]Dupuis.
Plusieurs cibles au Québec
Ces dernières semaines, plusieurs autres organisations québécoises ont été visées par des cyberattaques du même genre. C’est le cas de la Société de transport de Montréal, dont environ 1000 des 1600 serveurs ont été paralysés par un rançongiciel le 19 octobre. La STM a précisé jeudi qu’un pirate informatique avait transmis une demande de 2,8 millions US à la suite de l’attaque. La société affirme qu’aucune donnée n’a été volée, et que 77 % des serveurs ont été rétablis depuis.
L’Association des policières et policiers provinciaux du Québec a aussi rapporté mercredi que plusieurs milliers de ses membres avaient été victimes d’un vol informatique semblable, lors duquel des données – dont leurs noms, adresses, dates de naissance et possiblement certaines données bancaires – avaient été visées par un rançongiciel.
La Sûreté du Québec, qui constate une recrudescence de ce type d’attaques depuis quelques semaines, a ouvert une enquête au sujet de cette affaire.
Menace en hausse
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le FBI et le département de la Santé, a publié mercredi un rapport annonçant une recrudescence des cyberattaques utilisant le rançongiciel Ryuk contre le système de santé américain. Le Centre canadien de la cybersécurité a pour sa part alerté dès le 4 octobre les autorités canadiennes des risques « d’une campagne d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui pourraient s’en prendre à d’autres secteurs d’activité ».
Depuis 2019, ce rançongiciel est de plus en plus utilisé pour s’attaquer à des entreprises ou à des organisations d’envergure. Les pirates effectuent une attaque en trois phases pour infiltrer les réseaux informatiques et crypter toutes les données qui s’y trouvent. Ils réclament ensuite une forte somme aux administrateurs, en échange de laquelle ils libèrent généralement les données.
« C’est peut-être une coïncidence, mais tout porte à croire que ce qui se passe dans le réseau de la santé du Québec est lié à la vague d’attaques qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique, et chercheur sur les logiciels malveillants.
« Si c’est bien le cas, c’est improbable que la compromission initiale se soit produite mercredi. C’est plutôt le genre d’attaque où le logiciel malveillant se propage dans les réseaux au fil du temps. Les pirates réussissent peu à peu à gagner des privilèges d’administrateur », précise M. Dorais-Joncas. Les logiciels malicieux sont assez sophistiqués pour utiliser un ordinateur infecté comme « pivot » à partir duquel ils s’infiltrent dans d’autres appareils, réseaux et sous-réseaux, sans jamais être détectés.
« Les pirates peuvent ainsi planifier le moment où ils vont déployer le logiciel. »
Comment fonctionne une attaque de type Ryuk ?
Les cyberattaques de type Ryuk surviennent généralement après que le réseau informatique d’une organisation a été compromis par deux autres logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine pour commettre des vols de données financières et des extractions de mots de passe.
L’attaque tente de désactiver ou de désinstaller les logiciels de sécurité du système de la victime afin d’empêcher que cette dernière bloque le rançongiciel, selon le communiqué.
Une fois l’attaque en cours, les utilisateurs du rançongiciel déploient d’autres logiciels malveillants pour voler les données.
Généralement, les données des disques durs et même les données de sauvegarde sont rendues illisibles par un chiffrement pratiquement impossible à déjouer. Un fichier appelé « RyukReadMe », qui contient une adresse de courriel permettant de communiquer avec l’auteur de l’attaque sur un serveur anonymisé qui ne permet pas de découvrir l’endroit où il se trouve.
La remise en service des réseaux visés par ces attaques peut prendre plusieurs jours, voire des semaines. « On le voit avec ce qui se passe à la STM. Plus d’un millier de ses serveurs ont été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce n’est pas encore réglé », souligne Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique. Les experts en sécurité doivent notamment expertiser chaque appareil et inspecter l’ensemble du réseau pour s’assurer qu’aucune trace des logiciels malveillants ne subsiste.
Le réseau québécois de la santé, qui comporte plusieurs systèmes complexes conçus à des époques différentes, ferait face à une « tâche colossale » s’il devait être victime de ce genre d’attaque, estime M. Dorais-Joncas.
Les ordinateurs, les serveurs, l'accès à l’internet et les systèmes téléphoniques ont dû être déconnectés, par peur que l’intrusion n’entraîne une fuite majeure de données sensibles. « Nous sommes pratiquement une île isolée » de l’ensemble du réseau de la santé, a précisé le D[sup]r [/sup]Lawrence Rosenberg, PDG du CIUSSS.
La décision a provoqué un ralentissement des services de première ligne, admet la direction, mais les effets seraient limités pour le moment. « Il y a peut-être quelques vols dans certains services, mais c’est vraiment minimal. Les centres de dépistage fonctionnent comme à l’habitude », a affirmé Francine Dupuis, PDG adjointe de l’organisme.
Il n’y a pas eu de rançon ou de demande de rançon qui a été faite, puisque nous avons coupé le problème à sa source.
À ce stade, le CIUSSS ne peut « ni confirmer ni infirmer » que l’intrusion est liée à une vague importante d’attaques par rançongiciel qui a frappé au moins une demi-douzaine d’hôpitaux américains durant ces dernières semaines. Au moins trois hôpitaux de l’Ontario ont également été visés par des attaques similaires. Le Washington Post affirme que les pirates agissent à partir de l’Europe de l’Est.
Une équipe de cybersécurité du ministère de la Santé et des Services sociaux, aidée de policiers de la GRC et de la SQ ainsi que d’un technicien du fournisseur Microsoft, enquête pour déterminer précisément ce qui s’est passé au CIUSSS montréalais et rétablir les systèmes. L’opération risque de prendre « quelques jours ». « On ne sait pas ce qu’ils vont trouver, ni combien de temps ça va prendre pour qu’ils le trouvent », a précisé Mme[sup] [/sup]Dupuis.
Plusieurs cibles au Québec
Ces dernières semaines, plusieurs autres organisations québécoises ont été visées par des cyberattaques du même genre. C’est le cas de la Société de transport de Montréal, dont environ 1000 des 1600 serveurs ont été paralysés par un rançongiciel le 19 octobre. La STM a précisé jeudi qu’un pirate informatique avait transmis une demande de 2,8 millions US à la suite de l’attaque. La société affirme qu’aucune donnée n’a été volée, et que 77 % des serveurs ont été rétablis depuis.
L’Association des policières et policiers provinciaux du Québec a aussi rapporté mercredi que plusieurs milliers de ses membres avaient été victimes d’un vol informatique semblable, lors duquel des données – dont leurs noms, adresses, dates de naissance et possiblement certaines données bancaires – avaient été visées par un rançongiciel.
La Sûreté du Québec, qui constate une recrudescence de ce type d’attaques depuis quelques semaines, a ouvert une enquête au sujet de cette affaire.
Menace en hausse
Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le FBI et le département de la Santé, a publié mercredi un rapport annonçant une recrudescence des cyberattaques utilisant le rançongiciel Ryuk contre le système de santé américain. Le Centre canadien de la cybersécurité a pour sa part alerté dès le 4 octobre les autorités canadiennes des risques « d’une campagne d’envergure mondiale menée par des exploitants du rançongiciel Ryuk qui pourraient s’en prendre à d’autres secteurs d’activité ».
Depuis 2019, ce rançongiciel est de plus en plus utilisé pour s’attaquer à des entreprises ou à des organisations d’envergure. Les pirates effectuent une attaque en trois phases pour infiltrer les réseaux informatiques et crypter toutes les données qui s’y trouvent. Ils réclament ensuite une forte somme aux administrateurs, en échange de laquelle ils libèrent généralement les données.
« C’est peut-être une coïncidence, mais tout porte à croire que ce qui se passe dans le réseau de la santé du Québec est lié à la vague d’attaques qu’on voit aux États-Unis », estime Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique, et chercheur sur les logiciels malveillants.
« Si c’est bien le cas, c’est improbable que la compromission initiale se soit produite mercredi. C’est plutôt le genre d’attaque où le logiciel malveillant se propage dans les réseaux au fil du temps. Les pirates réussissent peu à peu à gagner des privilèges d’administrateur », précise M. Dorais-Joncas. Les logiciels malicieux sont assez sophistiqués pour utiliser un ordinateur infecté comme « pivot » à partir duquel ils s’infiltrent dans d’autres appareils, réseaux et sous-réseaux, sans jamais être détectés.
« Les pirates peuvent ainsi planifier le moment où ils vont déployer le logiciel. »
Comment fonctionne une attaque de type Ryuk ?
Les cyberattaques de type Ryuk surviennent généralement après que le réseau informatique d’une organisation a été compromis par deux autres logiciels malveillants appelés Emotet et Trickbot, conçus à l’origine pour commettre des vols de données financières et des extractions de mots de passe.
L’attaque tente de désactiver ou de désinstaller les logiciels de sécurité du système de la victime afin d’empêcher que cette dernière bloque le rançongiciel, selon le communiqué.
Une fois l’attaque en cours, les utilisateurs du rançongiciel déploient d’autres logiciels malveillants pour voler les données.
Généralement, les données des disques durs et même les données de sauvegarde sont rendues illisibles par un chiffrement pratiquement impossible à déjouer. Un fichier appelé « RyukReadMe », qui contient une adresse de courriel permettant de communiquer avec l’auteur de l’attaque sur un serveur anonymisé qui ne permet pas de découvrir l’endroit où il se trouve.
La remise en service des réseaux visés par ces attaques peut prendre plusieurs jours, voire des semaines. « On le voit avec ce qui se passe à la STM. Plus d’un millier de ses serveurs ont été attaqués par un rançongiciel. Même deux semaines après l’attaque, ce n’est pas encore réglé », souligne Alexis Dorais-Joncas, chef d’équipe chez ESET, une entreprise de sécurité informatique. Les experts en sécurité doivent notamment expertiser chaque appareil et inspecter l’ensemble du réseau pour s’assurer qu’aucune trace des logiciels malveillants ne subsiste.
Le réseau québécois de la santé, qui comporte plusieurs systèmes complexes conçus à des époques différentes, ferait face à une « tâche colossale » s’il devait être victime de ce genre d’attaque, estime M. Dorais-Joncas.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
