Mes alertes La Société de transport de Montréal (STM), accompagnée d’experts externes, a conclu l’enquête interne effectuée à la suite de l’attaque informatique de type rançongiciel survenue le 19 octobre dernier.
Grâce aux importants investissements de la STM en matière de protection informatique depuis les six dernières années, la Société a pu, en quatre heures, détecter et isoler ses systèmes et remettre en fonction, en deux semaines, les 600 serveurs critiques touchés sur un total de 1600.
À la suite d’une analyse approfondie des infrastructures technologiques corporatives, l’enquête a démontré que l’attaque avait été effectuée par l’entremise d’une variante hautement sophistiquée du virus informatique « RansomExx », incluant un niveau d’automatisation très élevé, en plus de confirmer que les autres environnements de la STM n’avaient pas été touchés. Rappelons d’ailleurs qu’en aucun temps les services bus et métro n’ont été affectés par l’attaque.
La STM estime que le coût pour l’opération de remise en service de ses serveurs s’élève à 2 M$ en bien et services, plus l’improductivité engendrée qui demeure encore à évaluer. Une réclamation auprès de ses assureurs est d’ailleurs en préparation.
Les démarches de l’enquête
Dès la sécurisation de l’environnement informatique de la STM terminée, le comportement du virus a été analysé pour comprendre son mode opératoire et pour agir afin de protéger les systèmes et prévenir une possible récidive.
Par la suite, les équipes se sont assurées qu’aucune fuite massive de données n’avait été observée. Aucune trace n’a été révélée par l’enquête. Par contre, le 16 novembre dernier, lors de la dernière phase de l’enquête technique, celle-ci a révélé une exfiltration automatisée mineure par le virus, qui a permis à ce dernier d’explorer un nombre très limité d’équipements. Grâce à la rapidité de réaction de la STM, seuls cinq ordinateurs, sur les 6 500 que compte le parc informatique, et 38 serveurs sur les 1000 touchés, ont fait l’objet d’une exfiltration de données, et ce, via une collecte sur le bureau ou la corbeille de ces ordinateurs ou serveurs.
Ainsi, le virus a pu accéder à quelques données personnelles peu sensibles de 24 des 11 000 employés et de 72 des 645 000 clients des trois réseaux (bus, métro et transport adapté). Pour la majorité, il s’agit soit des nom et prénom, des adresses courriel ou encore d’un numéro de téléphone. La STM a communiqué avec ces 96 personnes afin de les informer de la situation, de les rassurer sur le risque très faible selon les experts et de leur offrir des conseils de base en termes de sécurité informatique pour leur ordinateur.
Pour deux des 24 employés, le virus a pu accéder à des données plus sensibles. Ceux-ci ont été informés rapidement et un service d’accompagnement d’une firme spécialisée leur a été offert.
Les conclusions de l’enquête portent à croire qu’aucune autre donnée n’a été exfiltrée. De plus, aucune nouvelle demande du cyberattaquant n’a été faite. Suivant les recommandations des experts externes et en se basant sur le fait que l’ensemble des composantes ayant le plus haut risque d’être visées par le pirate ont été analysées, l’enquête prend fin. Le rapport final, une fois terminé, sera partagé aux instances policières impliquées afin qu’elles puissent déterminer la suite de l’enquête criminelle.
« Grâce à une préparation rigoureuse, à des investissements de plusieurs dizaines de millions et à la mise en place de nombreuses améliorations au cours des six dernières années, la STM et ses équipes, que je remercie pour leur travail acharné lors de cette crise, ont pu limiter l’attaque et restaurer nos serveurs, et ce, sans préjudice majeur pour la STM, ses clients et ses employés », a conclu Luc Tremblay, directeur général de la STM.
