Une attaque informatique frappe la STM par inadvertance
Origine de l’attaque
L’incident a débuté chez Acura Laval, un concessionnaire automobile de la Rive-Nord de Montréal, qui a été victime d’une cyberattaque il y a quelques semaines, une attaque qui n’avait pas été rendue publique jusqu’à présent. Les cybercriminels ont infiltré le système informatique du concessionnaire, accédant à la liste des clients et aux boîtes de courriels. Profitant de cette intrusion, ils ont ciblé les clients en leur envoyant des messages contenant un fichier infecté.
Propagation de l’infection
Le 19 octobre 2020, un employé de la Société de transport de Montréal (STM) a accidentellement téléchargé ce fichier infecté via son courriel personnel, transférant ainsi le malware sur un ordinateur de l’organisation. L’ordinateur de la division des approvisionnements a été immédiatement compromis, mais la STM affirme que l’employé n’a aucune responsabilité à porter pour cet incident.
Réaction de la STM
Face à cette attaque de type « Zero Day », la sécurité informatique de la STM a rapidement réagi. Durant l’après-midi, des signaux d’alerte ont conduit au déploiement du protocole d’urgence. Les serveurs ont été éteints pour protéger les infrastructures de l’organisation, une mesure audacieuse qui a permis de limiter les dommages.
Investissements en sécurité
Depuis 2018, la STM a consacré 32 millions de dollars à renforcer sa sécurité informatique, incluant la mise en place d’un système de sauvegarde parallèle sophistiqué. Ce type de virus vise généralement à détruire les sauvegardes des entreprises, causant des perturbations importantes. Toutefois, grâce à ces investissements, la STM a évité une catastrophe majeure. Les sauvegardes ordinaires ont été affectées, mais le système parallèle a préservé les données essentielles du transporteur public.
Exigences des pirates et réponse de la STM
Dix jours après l’attaque, la STM a contacté les pirates pour connaître leurs demandes. Les assaillants réclament 2,8 millions de dollars en cryptomonnaie pour restituer l’accès aux 1000 serveurs touchés. Le directeur général de la STM, Luc Tremblay, a déclaré fermement que l’organisation ne paierait pas de rançon. « Nous ne négocions pas avec des criminels, c’est une question de principe », a-t-il affirmé.
Implication du FBI et enquête en cours
Le type d’attaque subi par la STM ressemble à celles orchestrées par le groupe RansomExx, connu pour ses attaques soigneusement planifiées. Les premières analyses suggèrent cependant qu’il pourrait s’agir d’une variante. Selon certaines sources, le FBI et d’autres corps policiers participent activement à l’enquête.
Conséquences et perspectives
La STM fait face au défi de vérifier et de réactiver ses serveurs de sauvegarde, un processus long et coûteux. Malgré l’ampleur de la tâche, Luc Tremblay reste optimiste : « Le plus gros impact, c’est le travail acharné pour tout remettre en état. Ça devrait rentrer sous le montant de la couverture d’assurance, sans coût supplémentaire pour les contribuables. »