/investigations
Navigation

L’organisme Dans la rue doit payer une cyber-rançon

Des pirates informatiques ont attaqué cet OBNL qui aide les jeunes sans-abri

Dans la rue
Photo courtoisie Même en temps de confinement et après une attaque informatique, Dans la rue offre des repas, de l’hébergement et des services psychosociaux aux jeunes sans-abri.

Coup d'oeil sur cet article

Les pirates informatiques sont plus que jamais sans scrupules. Fin janvier, ils se sont même attaqués à Dans la rue. L’organisme d’aide aux jeunes sans-abri a même payé une rançon pour récupérer ses données, rendues illisibles.

Dans la rue, fondé en 1988 par le père Emmett « Pops » Johns, s’est rendu compte le 4 février que des pirates avaient infiltré son réseau et crypté son contenu.

« On a négocié le montant à la baisse parce qu’on est un organisme sans but lucratif. On a été victime ; on n’avait pas le choix pour récupérer nos données », dit la directrice générale de Dans la rue, Cécile Arbaud. Elle refuse de dévoiler le montant payé aux pirates.

Des données de 250 personnes

En infiltrant le réseau, ils ont pu accéder notamment aux informations personnelles de 257 employés et ex-employés, selon une lettre que l’organisme leur a fait parvenir et qu’a obtenue notre Bureau d’enquête.

Les renseignements compromis incluent leur adresse, leur date de naissance, leur numéro d’assurance sociale, leurs informations bancaires et le nom de personnes à contacter en cas d’urgence.

Dans la rue dit cependant n’avoir « aucune confirmation » que les pirates ont bel et bien accédé à ces données.

Pour prévenir la fraude à partir de ces renseignements, l’organisme offre aux personnes concernées un an de protection contre le vol d’identité avec TransUnion.

Trois mois de silence

Notre Bureau d’enquête a joint un ancien employé dont les données sont compromises. Il déplore que l’organisation ait tardé à l’avertir.

« On s’est rendu compte de ça le 4 février et la communication n’arrive que le 11 mai, trois mois plus tard ! », affirme l’ex-employé, qui veut garder l’anonymat pour protéger sa carrière.

Les bonnes pratiques prônent plutôt la divulgation d’une fuite dans les trois jours, telle que l’exige le règlement général sur la protection des données (RGPD) en Europe, par exemple.

Pourquoi avoir tant attendu ? « On a eu les résultats de l’enquête au milieu de la crise de la COVID. Donc on a fait au plus vite », dit Cécile Arbaud.

La décision de payer la rançon n’est pas idéale, juge Damien Bancal, directeur de la cyberintelligence chez 8Brains.

Le jeu des pirates

« Ça veut dire qu’on passe un contrat sur un délit, et ça revient à accepter que les pirates continuent ! » déplore-t-il.

Ça signifie aussi que Dans la rue n’avait pas de sauvegarde viable des informations cryptées, signale le chasseur de hackers.

Les pirates ont pu accéder aux renseignements « entre les 23 janvier et 4 février 2020 », soit sur une période de 12 jours, selon Dans la rue.

Cécile Arbaud assure néanmoins qu’ils ont seulement crypté les données de l’organisme, sans les voler. 

« Les informations ne sont pas entre les mains des pirates », mentionne-t-elle.

L’expert en sécurité de l’information Steve Waterhouse est sceptique. « Je ne sais pas vraiment comment ils peuvent savoir que ça n’a pas été copié », dit-il.

La directrice n’a pas souhaité donner de détails à ce sujet.

Rançongiciel à louer

  • Le rançongiciel qui a frappé Dans la rue, le « Zeppelin » ou « Buran », est de conception russe.
  • Il est disponible pour le « grand public » depuis au moins un an. 
  • Les pirates qui l’ont codé au départ l’ont mis en marché pour que d’autres délinquants du web puissent cibler leurs propres victimes en « louant » la technologie.

Vous avez de l’information ? Contactez Hugo Joncas au 438-396-5546 (Signal, cell.) ou à hjoncas@protonmail.com .