Alors que la GRC enquête présentement sur l’affaire, La Liberté a essayé de mieux comprendre les failles qui ont pu mener à cette situation pour la Municipalité.
Il y a maintenant plus d’un mois que les résident.e.s de la municipalité de Ritchot ont été avisé.e.s par courriel ou message texte via la plateforme de diffusion d’information municipale qu’un incident de cybersécurité est survenu dans leur municipalité. Dès la publication de l’annonce de la cyberattaque le 20 décembre, la MR de Ritchot avait fermé ses bureaux et fait appel à une équipe de professionnels en cyber-sécurité.
L’aide de professionnels
Mais en dehors d’une mise à jour publiée sur Facebook, le 3 janvier dernier, avertissant les résident.e.s que l’incident avait causé une panne dans leurs réseaux et empêché le traitement de factures de services publics, la Municipalité n’a pas encore offert d’autres détails.
Le président et cofondateur de la firme de cybersécurité Bradley & Rollins, Bertrand Milot, a fait une analyse des plateformes utilisées par les cybercriminels pour en apprendre plus sur l’incident.
L’expert en cybersécurité a retrouvé, entre autres, 29 mots de passe d’adresses courriel de la Municipalité qui auraient fait l’objet de fuites.
« Les mots de passe de ces adresses administratives ne changent pas souvent. Ils sont souvent très simples pour que les utilisateurs puissent s’en souvenir. C’est typiquement ça qui a été ciblé, selon moi, explique-t-il.
« Quand tu as plusieurs comptes comme ça, qui sont des comptes génériques corporatifs, les cybercriminels savent qu’ils ont des chances que le mot de passe qu’ils ont sur le dark web soit le bon. Car il n’y a pas de changement de mot de passe régulièrement, et très peu de complexité à ces mots de passe. »
M. Milot ajoute que les comptes génériques sont souvent dépourvus d’authentification multifactorielle, une démarche importante pour assurer la sécurité des comptes en cas de fuite de mot de passe.
Ciblée par les cybercriminels
Bertrand Milot a retrouvé la Municipalité de Ritchot sur une longue liste de commandes d’attaques de municipalités canadiennes, bien discutée par les cybercriminels sur la plateforme GitHub. (1)
Le 3 janvier, à la suite de la cyberattaque, la Municipalité a informé ses habitant.e.s que le traitement des factures avait été retardé. La plateforme de paiement OptionPay était temporairement indisponible sur le site web de la Municipalité.
Des « vulnérabilités critiques » du serveur de ce système de paiement de factures utilisé par la Municipalité font également l’objet de discussions parmi les cybercriminels, selon les recherches de Bertrand Milot. « Le message qui est envoyé quand les cybercriminels découvrent cela, c’est que la sécurité n’est pas la priorité. »
Lorsqu’une « faille critique » dans un serveur utilisé pour des paiements est découverte par un cybercriminel Bertrand Milot affirme qu’il faut appliquer un correctif en moins de six mois. Cependant, selon son expertise, c’est une mesure rarement appliquée à temps et qui met les organisations à risque.
Il déplore également le manque d’un Web Application Firewall (WAF), un outil qui protège les applications web contre les attaques en ligne. Un risque auquel s’exposent plusieurs Municipalités non équipées de cette défense numérique.
Se protéger contre les attaques en ligne
« C’est très commun, pourtant les supports TI des Municipalités n’en ont pas conscience. Pour eux, mettre un serveur sur le web, c’est correct. Ça fait dix ans qu’il faut faire mettre un WAF sur un serveur, mais ce n’est pas du tout ancré dans les pratiques technologiques des fournisseurs de services. »
Il donne comme exemple : « Si une Municipalité a un problème sur l’ordinateur portable du maire ou d’un agent administratif, ils appellent leur compagnie de TI, changement de l’ordi,… et voilà. Il n’y a en général pas de proactivité sur la notion de la sécurité spécifique de la Municipalité. » Puisque l’appareil compromis a souvent de nombreuses connexions avec d’autres dispositifs, par Bluetooth, internet et par le biais de réseaux internes, se concentrer uniquement sur l’ordinateur concerné n’est généralement pas une solution efficace.
Il n’est alors pas possible de savoir quelles informations spécifiques ont été compromises. « Ça reste un cambriolage, ils viennent de rentrer dans la banque et doivent s’en aller vite. Quand ils font une cyberattaque, ils volent tout ce qui leur tombe sous la main. »
Qui tenir responsable?
« L’origine du problème, c’est le cybercriminel. S’il n’avait pas l’intention de criminaliser et d’utiliser son intelligence criminelle pour victimiser, il n’y aurait pas d’attaque. »
Bertrand Milot reconnaît tout de même la responsabilité des fournisseurs technologiques, qui profitent des ententes « non-dites qui ne sont pas réglementées et ne sont pas contractualisées » entre le fournisseur et une Municipalité. Ces fournisseurs négligent souvent la sécurisation de leurs applications, profitant de la confiance aveugle que leur accordent leurs client.e.s pour rogner sur la cybersécurité afin d’agrandir leurs marges de profit. Une pratique que Bertrand Milot observe souvent dans sa pratique et qu’il déplore.
Réponse de la Municipalité
Les temps sont plutôt calmes pour le maire de la Municipalité de Ritchot, Chris Ewen, qui dit ne pas avoir reçu beaucoup de messages de la part des habitant.e.s au sujet de l’incident de cybersécurité.
Il a précisé que tout est encore en cours d’évaluation par la firme de cybersécurité employée par la Municipalité. « Ce que nous avons fait, c’est essentiellement créer de nouveaux systèmes pour nous assurer que nous pouvions fonctionner comme d’habitude. »
Interrogé sur les vulnérabilités du système OptionPay utilisé par la Municipalité, M. Ewen a souligné qu’il existait une multitude de systèmes disponibles, et que l’enjeu réside dans le choix du bon.
« Est-ce que je peux pointer du doigt le fait que nous n’ayons pas reçu suffisamment d’informations? Je ne le pense pas, nous avons utilisé les outils et les systèmes qui nous convenaient le mieux à ce moment-là, a-t-il ajouté.
« Il s’agit de savoir ce que nous pouvons faire pour aller de l’avant et veiller à ce que des politiques et des procédures soient mises en place afin d’éviter que cet incident ne se reproduise à l’avenir. »
(1) GitHub est une plateforme basée sur le cloud qui permet à ses utilisateurs de stocker, partager et collaborer sur des projets de code.
