/investigations
Navigation

Des pirates informatiques ciblent une firme d’entretien d’avions

Des milliers de documents confidentiels d’Innotech-Execaire ont été volés

Devanture Innotech-Execaire Aviation Group
Photo Ben Pelosse

Coup d'oeil sur cet article

Des pirates informatiques ont attaqué la firme d’entretien d’avions Innotech-Execaire de Dorval. Ils ont ensuite diffusé une partie des informations qu’ils lui ont volées, dont une masse de secrets industriels et d’informations personnelles sur ses employés.

Les criminels se sont servis du rançongiciel (ransomware) Maze, selon un site lié à ce groupe de hackers.

Les pirates utilisent cette technologie pour faire de l’extorsion. Ils exigent une somme pour redonner aux victimes l’accès à leurs informations, rendues illisibles par l’attaque. En attendant, pour pousser les victimes à payer, ils publient 5% des données volées.

Les hackers ont déjà diffusé des listes de clients et d’appareils sous contrat, au moins une soumission, des listes d’outils, de logiciels et de pièces, ainsi que des listes de tâches à réaliser sur des avions précis, notamment.

  • Patrick Mathieu, cofondateur du Hackfest de Québec, revient sur le dossier:

Sur leur site internet, ils menacent de diffuser d’un jour à l’autre l’ensemble des fichiers dérobés si Innotech n’entre pas en contact avec eux pour négocier.

«Quand nous commencerons à publier, nous allons aussi aviser tous les partenaires, les clients et les régulateurs du client», mentionnent les pirates.

Le «client», c’est en fait la victime, forcée de choisir entre la perte et la diffusion de ses informations ou le paiement d’une rançon en cryptomonnaie.

  

  • Jean-Louis Fortin, du Bureau d’enquête, a commenté l’affaire sur QUB radio:    

Au courant depuis mars

«On était au courant qu’on a été “hackés” fin mars. On n’a pas été capables de déterminer s’il y avait de l’information qui a été compromise», affirme Ivan Mosca, directeur des finances chez Innotech-Execaire, une filiale d’IMP Group Limited, de Halifax.

Les données publiées ne sont pourtant pas difficiles à retracer, et des spécialistes ont fait état du piratage dès la fin juin, notamment sur les plateformes Facebook et Twitter.

Innotech n’a pas répondu à nos questions détaillées.

«Nous sommes en train de travailler avec tous les départements à l’interne et les agences à l’externe concernant cette situation», a dit lundi le président d’Innotech-Execaire, Michael Fedele.

Il n’a pas voulu préciser si l’entreprise avait déposé une plainte à la police ou si elle avait avisé ses clients et ses employés que des informations les concernant avaient été divulguées sur le web.

Au moment de mettre sous presse, la page où sont diffusées les informations volées à Innotech sur le site de Maze avait reçu plus de 1800 visites.

Selon Ivan Mosca, le personnel n’a pas retrouvé de demande de rançon. «Personne ne nous a contactés», dit-il.

«Généralement, le logiciel Maze affiche pourtant un fichier .txt avec les instructions pour le paiement», dit Damien Bancal, directeur de la cyberintelligence chez 8Brains, qui traque les pirates informatiques depuis une vingtaine d’années.

Il comprend mal qu'Innotech peine à retrouver cette communication. «Soit ils ne l’ont pas vue, soit ils l’ont effacée par mégarde», dit-il.

Si les pirates ont infiltré un serveur de sauvegarde peu fréquenté, la firme peut avoir eu du mal à retrouver la demande de rançon, dit Patrick Mathieu, cofondateur du Hackfest de Québec, qui rassemble chaque année des spécialistes de la sécurité informatique. «Mais en mode investigation, tu es censé le retrouver...»

Le rançongiciel Maze a commencé à sévir vers mai 2019, selon les publications spécialisées. Les autorités soupçonnent que ses concepteurs louent le programme à d’autres pirates, qui s’en servent pour faire de l’extorsion.

«Maze fait trois à cinq nouvelles victimes par jour», dit Damien Bancal. Parmi les dernières figurent notamment le fabricant d’imprimantes Xerox et LG Electronics.

Pour éviter de tomber dans le panneau, les spécialistes prônent avant tout la vigilance.

«La majorité des ransomwares entrent par le hameçonnage, dit Patrick Mathieu. Quelqu’un clique sur un lien piégé.» D’où l’importance de ne jamais consulter des liens s’affichant dans des courriels ou des textos suspects.

Une masse de données et de secrets volée    

Les données que les pirates ont déjà publiées contiennent des renseignements sur les appareils et les services d’autres compagnies sous contrat avec Innotech-Execaire. Parmi les clients concernés figurent les entreprises suivantes:    

  • Bombardier Aéronautique;    
  • Les services d’aviation privée Tag Aviation;    
  • Jolina Aviation, une société détenue par Jolina Capital, le conglomérat de la famille Saputo;    
  • Sobeys Capital, le conglomérat détenant la chaîne de supermarchés IGA;    
  • Les Pétroles Irving.        

Les données incluent aussi des audits internes détaillant les procédures à améliorer et de nombreux détails techniques sur des avions comme:    

  • le Global Express de Bombardier;    
  • le Challenger de Bombardier;    
  • le Citation de Cessna.        

Notre Bureau d’enquête a même pu consulter une soumission réalisée pour l’entretien d’un jet Challenger appartenant à une société des îles Vierges britanniques, un paradis fiscal reconnu pour l’enregistrement d’appareils.

S’y trouvent également des présentations internes sur les orientations stratégiques de l’entreprise.

Les renseignements contiennent aussi une masse de données confidentielles sur des employés d’Innotech:    

  • la description de dizaines d’accidents de travail survenus jusqu’en 2017 dans les ateliers d’Innotech à Dorval, incluant le nom des travailleurs concernés;    
  • des milliers de courriels qu’ils ont échangés entre eux jusqu’en 2012;    
  • des lettres de démission;    
  • des questions concernant les comptes de dépenses de certains d’entre eux;    
  • des listes de formations que des employés ont reçues.        

Les données incluent également des informations sur les techniques d’«essais non destructifs» (non-destructive tests) d’Innotech, des méthodes d’inspection d’aéronefs de pointe utilisées dans les ateliers de Dorval et de Toronto.

Une autre victime québécoise    


Le distributeur d’équipements pour restaurants Bazinet Taylor vient lui aussi d’être victime des pirates informatiques du groupe Maze.

Comme dans le cas d’Innotech-Execaire, les malfaiteurs disent avoir publié sur leur site 5% des données qu’ils ont volées. Des dizaines de relevés bancaires de l’entreprise montréalaise, pour les années 2017 à 2020, se retrouvent en ligne.

Le propriétaire Normand Chevanelle dit qu’il n’était «pas au courant» du piratage.

«J’ai rien à dire et je vous souhaite une très belle journée», a-t-il dit avant de raccrocher, avant même que notre Bureau d’enquête ait eu l’occasion d’expliquer ce qu’il avait trouvé.


► Vous avez de l’information sur la sécurité informatique? Contactez notre journaliste à hjoncas@protonmail.com ou au 438 396-5546 (Signal, cellulaire).