La ville de Westmount touchée par un rançongiciel

La ville de Westmount sur l’île de Montréal aurait été la cible d’un rançongiciel au cours de la fin de semaine, selon un quotidien montréalais.

La Presse rapportait hier matin que la mairesse de la ville de Westmount, Christina Smith, avait confirmé l’attaque. Westmount est une municipalité d’environ 21 000 habitants.

Le gang de rançongiciels Lockbit a revendiqué l’attaque, affirmant qu’il avait copié 14 To de données et les publierait dans deux semaines à moins qu’une rançon ne soit payée. Le site Web de la ville n’a pas été touché par l’attaque.

L’affirmation de LockBit ne doit pas être considérée comme exacte, a averti Brett Callow, un analyste des menaces basé en Colombie-Britannique pour Emsisoft – du moins, pas en ce qui concerne l’exfiltration de 14 To. « Ils ont exagéré dans le passé et pourraient le faire à nouveau », a-t-il déclaré dans un e-mail.

Selon La Presse, l’attaque a été repérée dimanche matin par un employé de la Ville qui a remarqué un problème avec un ordinateur.

La Presse cite Claude Vallières, responsable informatique de la ville qui déclare : « Nous savons que nous avons des serveurs cryptés, mais nous ne savons pas qui nous a attaqués. Nous enquêtons toujours sur les serveurs infectés, mais nous n’avons eu aucune communication avec qui que ce soit… »

Selon l’Évaluation nationale des cybermenaces du gouvernement fédéral qui vient d’être publiée par le Centre canadien pour la cybersécurité, les rançongiciels sont presque certainement la forme de cybercriminalité la plus perturbatrice à laquelle sont confrontés les Canadiens. « Tant que les rançongiciels resteront rentables, nous continuerons presque certainement à voir des cybercriminels les déployer », indique le rapport.

Il y a exactement un an, le centre a publié un manuel sur les rançongiciels contenant des détails sur la manière de se défendre contre une attaque de rançongiciel  et de s’en remettre. « Les mesures d’atténuation uniques ne sont pas assez robustes pour lutter contre la menace évolutive des ransomwares. Votre organisation doit adopter une stratégie de défense en profondeur (multicouche) pour protéger ses appareils, systèmes et réseaux non seulement contre les rançongiciels, mais aussi contre d’autres types de logiciels malveillants et de cyberattaques. Votre stratégie doit inclure plusieurs couches de défense avec plusieurs mesures d’atténuation ou contrôles de sécurité à chaque couche. »

Le manuel conseille aux organisations de suivre les étapes suivantes :

1. Créer un plan de sauvegarde, qui inclut la prévention de la corruption des sauvegardes.
2. Créer un plan de réponse aux incidents et le tester.
3. Créer un plan de reprise, qui débute par avoir un inventaire de tous les matériels et logiciels.
4. Gérer tous les comptes d’utilisateurs et d’administrateurs pour s’assurer que le personnel n’utilise pas de mots de passe non sécurisés et que seuls ceux qui en ont besoin ont accès aux données sensibles. Renforcer les connexions de compte avec l’authentification multifacteur.
5. Avoir un programme de sensibilisation à la cybersécurité qui rappelle régulièrement au personnel comment se protéger et reconnaître les cybermenaces.
6. Implémenter des contrôles de cybersécurité, y compris la création d’une liste d’applications autorisées pour contrôler qui ou quoi est autorisé à accéder aux réseaux et systèmes, un processus de correction d’application robuste et une protection du domaine de messagerie.
7. Segmenter les réseaux informatiques pour garantir que les informations sensibles et de grande valeur se trouvent dans une zone distincte de votre réseau.
8. Protéger les systèmes connectés ou exposés à Internet avec un chiffrement, des pare-feu, une AMF et des évaluations fréquentes des vulnérabilités.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.