Une agence qui administre les régimes d’assurance dentaire pour les enfants handicapés, les personnes âgées et les résidents à faible revenu de l’Alberta a versé au gang de rançongiciels 8base une somme d’argent non divulguée après que les escrocs eurent démontré qu’ils avaient supprimé les données volées par le groupe lors d’une récente attaque.
L’organisme indépendant à but non lucratif Alberta Dental Services Corp. a déclaré jeudi que le 9 juillet, un attaquant avait chiffré certains de ses systèmes et données informatiques, les rendant temporairement inaccessibles, après avoir accédé au réseau informatique et copié les données d’environ 1,7 million de personnes quelque temps après le 7 mai.
« Heureusement », déclare la société sur son site Web, « nous avons pu récupérer les systèmes et les données concernés à partir de sauvegardes avec une perte de données minimale ».
Le président de la société, Lyle Best, a déclaré aujourd’hui dans une interview que le paiement avait été effectué dans le cadre de négociations entre le fournisseur de cyber assurance de l’organisation et l’enquêteur en criminalistique. Le gang a montré la preuve que les données avaient été supprimées dans le cadre de l’accord.
Les données d’environ 1,47 million d’individus ont été vues, dont certaines ou toutes ont été copiées. De ce nombre, environ 7 300 enregistrements contenaient des informations bancaires personnelles de personnes ayant fourni leurs coordonnées bancaires à la société.
Les Albertains touchés seront contactés directement et recevront des conseils importants sur la façon de mieux protéger leurs renseignements personnels. Ceux dont les données financières personnelles ont été touchées se verront offrir une surveillance de crédit gratuite.
Interrogé sur la manière dont un attaquant a pu contourner les contrôles de sécurité informatique, Best a déclaré : « La première indication est que quelqu’un a ouvert un courriel d’hameçonnage. »
« Ils ont crypté les voies d’accès à nos données, ce qui était “chiant”. Mais nous avions de bonnes sauvegardes, nous avons donc simplement sauvegardé et placé sur différents serveurs et nous nous sommes assurés qu’ils ne se trouvaient sur aucun réseau. »
« Nous avons un produit appelé Quikard », qui administre les comptes de dépenses de santé pour les employeurs à travers le Canada et qui est distinct des programmes du gouvernement de l’Alberta. « Il nous est apparu à l’époque que seules les données de Quikard avaient été piratées. Ce n’est que dans les semaines suivantes que nous avons découvert qu’ils avaient peut-être eu accès aux documents du gouvernement [de l’Alberta]. »
8Base « a chiffré certains fichiers, et ils nous ont montré la preuve qu’ils l’avaient fait. Et puis, finalement, ils ont montré la preuve qu’ils l’avaient supprimé » après avoir reçu le paiement d’une rançon.
L’incident a été signalé à la GRC et à la police d’Edmonton, a déclaré Best, il ne peut donc pas divulguer le montant de la rançon. L’attaque a également été signalée au commissaire provincial à l’information et à la protection de la vie privée.
Une société indépendante a effectué un audit de cybersécurité de la société à la fin de l’année dernière, a déclaré Best, trouvant « une ou deux vulnérabilités sur un portail que nous utilisons pour le développement. A part ça, nous étions solides ».
Lorsqu’il a été suggéré que la sécurité n’était pas solide, Best a déclaré : « Contre un courriel d’hameçonnage, vous ne pouvez pas vraiment vous protéger. Évidemment, nous allons discuter avec les personnes qui ont fait le test d’intrusion. Ils [les rançongiciels] semblent tellement épidémique dans le monde en ce moment, surtout au Canada. »
Interrogé avec le recul sur ce qui aurait pu être fait pour empêcher l’attaquant d’accéder au réseau informatique ou pour empêcher l’attaque de se propager, Best a répondu : « Nous formons tout notre personnel à être vigilant face à ces courriels d’hameçonnage. Notre service informatique teste toujours notre personnel sur ces choses. Je suppose que l’une des choses que nous avons apprises est que nous n’avons probablement pas besoin de numériser autant de choses que nous le faisons. Nous n’avons pas besoin d’en avoir autant sur certains lecteurs réseau. Par exemple, nous avons des dossiers qui remontent à 2007. Nous n’en avons pas vraiment besoin. Il y a du travail à faire pour que nous ayons juste les données dont nous avons besoin. »
La société administre les prestations dentaires de l’Alberta par le biais du Dental Assistance for Seniors Program (DASP) et du Low Income Health Benefits Program de l’Alberta, qui comprend l’Assured Income for the Severely Handicapped (AISH), l’Alberta Adult Health Benefit, l’Alberta Child Health Benefit and Income Supports.
Selon VMware, le gang 8base a commencé en mars et trouve apparemment des victimes de manière opportuniste plutôt que de les cibler. « La rapidité et l’efficacité des opérations actuelles de 8Base n’indiquent pas le début d’un nouveau groupe, mais plutôt la poursuite d’une organisation mature bien établie », déclare VMware.
Ce groupe pourrait être RansomHouse, indique le rapport, avec lequel il partage un certain nombre de similitudes en termes de tactique. Dans un cas, la note de rançon de 8base correspondait à 99 % à une note de rançon de RansomHouse. Il en va de même pour les conditions d’utilisation et les pages FAQ des deux groupes. D’autre part, RansomHouse utilise une grande variété de rançongiciels disponibles sur les marchés illicites et n’a pas son propre code de signature.
Adaptation et traduction française par Renaud Larue-Langlois.
