L’attaque met en évidence une faiblesse flagrante des serveurs gouvernementaux au Québec, selon Jose Fernandez, professeur et expert en programmes malveillants à l’école d’ingénieurs de Polytechnique Montréal.

Les municipalités laissées à elles-mêmes contre les cyberattaques

MONTRÉAL - Le 10 septembre, des employés municipaux de la MRC de Mékinac, en Mauricie, sont arrivés au travail pour découvrir sur leurs ordinateurs un message menaçant les informant qu’ils avaient perdu l’accès à tous leurs fichiers.

Afin de retrouver l’accès à ses données, la municipalité régionale de Mékinac a été appelée à déposer huit unités de la monnaie numérique Bitcoin dans un compte bancaire - équivalant à environ 65 000 $.

Le service informatique de Mékinac a finalement négocié avec les cyberextorsionnistes et payé 30 000 $ en Bitcoin, mais les serveurs de la région ont tout de même été désactivés pendant environ deux semaines.

L’attaque met en évidence une faiblesse flagrante des serveurs gouvernementaux au Québec, selon Jose Fernandez, professeur et expert en programmes malveillants à l’école d’ingénieurs de Polytechnique Montréal.

«Le Québec est un embarras», a soutenu M. Fernandez en entrevue, ajoutant qu’il avait tenté sans succès de contacter des représentants du gouvernement pour les alerter du problème.

«Il n’y a pas de véritable avancée sur cette question au cours des 15 dernières années, a-t-il affirmé. J’essaie de parler au (gouvernement), mais il n’y a personne. Qui allez-vous appeler? Personne.»

Bernard Thompson, préfet de la municipalité régionale de Mékinac, a fait valoir que la demande de rançon posait un véritable dilemme à sa petite organisation. Mékinac regroupe 10 municipalités d’environ 13 000 habitants.

«Il était clairement difficile, du point de vue moral, de payer une bande de bandits», a dit M. Thompson.

Les pirates ont utilisé un logiciel malveillant pour demander de l’argent en échange de clés permettant de déverrouiller les données.

Des mesures dans d’autres provinces et au fédéral

Selon M. Fernandez, il est ironique que le Québec abrite une industrie florissante de la cybersécurité et constitue un pôle émergent pour la recherche en intelligence artificielle, tout en ayant des «décennies» de retard sur les autres provinces en matière de défense contre les cyberattaques.

Pourtant, le Québec n’est pas la seule province à subir des attaques. Plusieurs administrations municipales et entreprises ontariennes ont récemment été touchées par des attaques de logiciel malveillant, ce qui a incité la Police provinciale de l’Ontario à émettre un avis en septembre.

En réponse à ce problème grandissant, le Centre de la sécurité des télécommunications - l’agence de renseignement électronique du ministère de la Défense - a créé le Centre canadien pour la cybersécurité le mois dernier. Il est chargé de surveiller les «nouvelles formes de logiciels malveillants» et de conseiller les gouvernements fédéral et provinciaux.

Le porte-parole Evan Koronewski a précisé que le centre n’avait pas d’équivalent provincial ou territorial.

M. Fernandez a toutefois souligné que certaines provinces prennent des mesures importantes. La Colombie-Britannique et le Nouveau-Brunswick ont créé des bureaux dédiés à la protection des données gouvernementales. Au Québec, a-t-il dit, les petites villes ne sont pas protégées.

«J’espère que le nouveau gouvernement fera quelque chose à ce sujet», a-t-il affirmé.

Responsabilité des municipalités

Patrick Harvey, porte-parole du ministère de la Sécurité publique, a contesté l’affirmation selon laquelle le gouvernement du Québec n’était pas préparé aux cyberattaques.

Il a indiqué que le Conseil du trésor a un directeur de l’information chargé de veiller à la protection des données du gouvernement. Le ministère de la Sécurité publique dispose d’une unité chargée de réagir aux cyberattaques au sein de l’administration et de la police provinciale.

Mais les municipalités ne font pas partie du mandat de l’unité. «Les municipalités sont des entités autonomes chargées d’assurer la sécurité de leur infrastructure numérique», a dit M. Harvey.

Les serveurs de Mékinac ont été compromis après qu’un employé eut ouvert et cliqué sur un lien figurant dans un courriel frauduleux envoyé par les pirates.

L’identité et l’emplacement des pirates n’ont jamais été découverts.

M. Thompson a indiqué que la police s’était emparée de certains des ordinateurs à des fins d’analyse et avait demandé à son bureau de ne pas négocier ou transférer de l’argent à des criminels.

Mais M. Thompson a déclaré que sa région ne pouvait pas tenir compte de cet avis, car cela aurait signifié plusieurs mois de nouvelles entrées de données, nécessitant des coûts de plus de 30 000 $.

Les responsables à Mékinac ont donc payé, récupéré leurs données et tiré une leçon précieuse.

«En fin de compte, en termes de sécurité de notre système, (l’attaque) a été réellement positive», a soutenu M. Thompson.

Une entreprise locale de cybersécurité - pour 10 000 $ par an - aide la municipalité régionale à mettre en place des pare-feu et à crypter ses propres données.

«Nous ne sommes pratiquement plus vulnérables», a-t-il affirmé. «Tout est crypté maintenant. Chaque courriel est analysé avant même que nous le recevions.»

Il prévient que les petites villes de la province sont aussi vulnérables aux attaques que sa MRC.

«Chaque jour, notre système détecte les courriels malveillants qui tentent de pénétrer, mais ils sont stoppés, a-t-il déclaré. Mais les attaques se poursuivent.»