TORONTO –
Les ordinateurs d'une compagnie d'assurance canadienne ont été désactivés pendant plus d'une semaine en raison d'une attaque de ransomware qui a entraîné un paiement de près d'un million de dollars américains.
L'attaque a eu lieu en octobre dernier, mais ne se fait jour qu'à l'heure où les efforts pour récupérer la rançon font leur chemin dans le système judiciaire britannique.
L'action en justice au Royaume-Uni est dirigée par une compagnie d'assurance britannique avec laquelle la société canadienne avait une police la protégeant contre les pertes subies lors des cyberattaques.
Aucune des deux sociétés n'est nommée publiquement dans le procès intenté par la société britannique contre les assaillants inconnus. Dans une décision de justice fait le mois dernier et publié le 17 janvier, le juge Simon Bryan a statué que les audiences dans l'affaire se tiendraient en privé et que les noms des compagnies d'assurance concernées ne seraient pas publiés, disant que quoi que ce soit d'autre ouvrirait les compagnies d'assurance à des représailles et à des attaques de copie tout en donnant potentiellement aux pirates une chance de couvrir leurs traces.
"La publicité irait à l'encontre de l'objet de l'audience", a écrit Bryan.
LA SOCIÉTÉ A RENDU PLUS DE 950 000 $ US
Selon la décision écrite de Bryan, le ou les hackers ont en quelque sorte "réussi à s'infiltrer et à contourner le pare-feu de (la société canadienne)". De là, ils ont chiffré les fichiers sur les serveurs de l'entreprise et les ordinateurs de bureau verrouillés. Ils ont également laissé une note.
"Bonjour (nom de l'entreprise), votre réseau a été piraté et chiffré. Aucun logiciel de déchiffrement gratuit n'est disponible sur le Web. Envoyez-nous un e-mail … pour obtenir le montant de la rançon. Gardez nos contacts en sécurité. La divulgation peut entraîner l'impossibilité du déchiffrement. Veuillez utiliser le nom de votre entreprise en tant qu'objet de l'e-mail ", lit le message.
L'entreprise canadienne a pris contact avec son assureur britannique, qui a embauché des spécialistes en réponse aux ransomwares. Le pirate informatique a déclaré aux spécialistes qu'il demandait 1,2 million de dollars US en Bitcoin, mais a finalement accepté 950 000 dollars "à titre exceptionnel".
Les spécialistes ont ensuite transféré 109,25 Bitcoin – à peu près l'équivalent de 950 000 USD à l'époque – de l'argent de la société britannique sur le compte spécifié. Bien qu'on leur ait promis une réponse rapide, près de 16 heures se sont écoulées avant que le pirate informatique ne reprenne contact, leur donnant un programme de décryptage.
Même avec le programme, il a fallu cinq jours pour exécuter le programme sur chacun des 20 serveurs de l'entreprise et cinq autres pour décrypter et déverrouiller les 1 000 ordinateurs de bureau.
Une partie du Bitcoin a été vendue pour une autre devise avant que les spécialistes ne puissent la localiser, mais la majeure partie de la rançon – 96 Bitcoin – a été attribuée à un compte spécifique sur un échange spécifique.
La société britannique poursuit le pirate ainsi que le propriétaire du compte – il n'est pas certain qu'ils soient la même personne ou non – ainsi que l'échange de Bitcoin. La compagnie d'assurance demande une ordonnance du tribunal pour forcer l'échange à révéler l'identité du titulaire du compte.
UNE MENACE EN HAUSSE
Le Centre antifraude du Canada (CAFC) décrit le ransomware en septembre dernier comme "une menace de plus en plus courante, ciblant tout le monde, des particuliers et des petites entreprises aux grandes entreprises privées et organisations gouvernementales".
Il y a eu plusieurs cas très médiatisés au Canada ces dernières années, notamment une attaque qui a paralysé les ordinateurs du gouvernement du Nunavut pendant près de deux semaines en novembre dernier.
Les compagnies d'assurance sont également des cibles connues. L'un des plus grands assureurs d'Oman était aurait frappé plus tôt ce mois-ci. Au Canada, Andrew Agencies Ltd. a été ciblée l'automne dernier, mais a déclaré qu'elle n'avait pas payé de rançon – ce qui implique qu'ils ne sont pas l'entreprise canadienne au centre de l'affaire britannique.
Le CAFC note qu'il n'y a aucun moyen de se protéger complètement contre ces attaques, mais affirme que la formation des employés à reconnaître les menaces de cybersécurité, la restriction de l'accès aux privilèges administratifs de l'ordinateur et le stockage des données de sauvegarde hors ligne peuvent aider à protéger une organisation.
