/investigations
Navigation

Le ministère de la Justice victime de cyberpirates

Les malfaiteurs ont même envoyé des logiciels malveillants à des citoyens

Coup d'oeil sur cet article

Des pirates informatiques ont réussi à infiltrer le système du ministère de la Justice, et même à envoyer des logiciels malveillants à des citoyens ayant échangé avec ces adresses.

Le ministère s’était bien gardé d’avertir le public de l’attaque, mais après les nombreuses questions de notre Bureau d’enquête, il a publié hier soir un communiqué laconique.

Justice Québec se fait toutefois avare de détails. Dans ses réponses au Journal, le ministère reconnaît néanmoins que les pirates ont réussi à infecter 14 boîtes courriel, les 11 et 12 août. Ils ont pu avoir accès aux adresses de messagerie des citoyens ayant échangé avec ces boîtes.

La Montréalaise Yuan Stevens, elle, a même reçu deux courriels contenant des chevaux de Troie de type «Emotet», conçus pour infecter des ordinateurs incognito.

Les messages des pirates provenaient d’une adresse sans lien avec le ministère, mais incluaient des courriels qu’elle avait envoyés le mois précédent à une adresse «justice.gouv.qc.ca».

Sur la photo, le siège du ministère de la Justice, à Québec, victime des cyberpirates.
Photo Stevens LeBlanc
Sur la photo, le siège du ministère de la Justice, à Québec, victime des cyberpirates.

«Le ministère de la Justice prend la situation très au sérieux et poursuit présentement ses analyses », dit le porte-parole Paul-Jean Charest dans un courriel.

La semaine dernière, le ministère disait pourtant avoir « neutralisé la menace ».

«Cela a permis d’éviter une atteinte à l’intégrité ou la confidentialité des systèmes du ministère, en ce qu’aucune fuite ou perte de données ne se sont produites», écrivait le porte-parole.

Succès partiel

Tout indique en fait que les pirates ont en partie réussi. 

«Les adresses courriel des contacts des 14 postes de travail impliqués ont pu être rendues accessibles, concède Paul-Jean Charest. Ceci expliquerait la réception par Mme Stevens des deux courriels frauduleux.»

  • Éric Parent, PDG d’Eva Technologies, a commenté le dossier à QUB Radio:

Pire : les messages que les hackers lui ont envoyés contenaient de la correspondance qu’elle a échangée avec les commissaires à l’assermentation, affectés par le piratage.

«Apparemment, certaines données ont bien fuité, dit Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft. Sinon, Yuan Stevens n’aurait pas pu recevoir une réponse à un courriel envoyé dans le passé.»

La principale intéressée est surprise de la discrétion du ministère. 

«Je crois que Justice Québec aurait clairement dû contacter ceux qui ont vu leurs courriels compromis», dit-elle.

«S’ils n’ont pas fait de suivi auprès des personnes en contact avec les adresses piratées, c’est de la négligence», juge Patrick Mathieu, chef de la sécurité offensive pour le concepteur de logiciels LogMeIn.

Il lève néanmoins son chapeau à Justice Québec pour avoir réussi à limiter l’attaque. «Il faut leur dire bravo : peu d’entreprises sont capables de faire ça.»

Simon 
Jolin-Barrette.
Ministre
Photo Simon Clark
Simon Jolin-Barrette. Ministre

Le cabinet du ministre de la Justice Simon Jolin-Barrette n’a pas répondu à nos questions sur la conduite de ses fonctionnaires dans ce dossier. 


Fermés temporairement

L’attaque des 12 et 13 août a forcé Justice Québec à fermer temporairement les services informatiques suivants, « de manière préventive afin d’éliminer tout potentiel de menace »     

  • Registre des droits personnels et réels mobiliers (RDPRM) ;     
  • Registre des lobbyistes ;     
  • Registre des commissaires à l’assermentation ;     
  • Registre des lettres patentes foncières ;     
  • Registre des ventes ;     
  • Clés publiques gouvernementales (conçues pour envoyer des informations au gouvernement dans un format crypté pour plus de sécurité).          

Fait pour tromper la confiance  

Les fichiers que Yuan Stevens a reçus après le vol de ses courriels envoyés au ministère de la Justice sont conçus pour tromper la confiance des utilisateurs.

Des experts en contact avec notre Bureau d’enquête ont utilisé le site spécialisé virustotal.com pour les analyser. Résultat : ce sont des chevaux de Troie de type « Emotet ».

Ces logiciels malveillants prennent l’apparence de fichiers inoffensifs (ici, un « .doc »). Conçus à l’origine pour s’attaquer aux banques, ils s’installent ensuite discrètement dans les ordinateurs ou les réseaux.

« C’est la première étape, qui permet aux pirates de prendre le contrôle », dit Patrick Mathieu, chef de la sécurité offensive chez LogMeIn.

Habituellement, Emotet permet ensuite à un ou plusieurs autres programmes malveillants d’infiltrer le système de la cible.

Selon les sites spécialisés, ce programme a ainsi servi dans certains cas à infecter des systèmes avec des rançongiciels, qui cryptent les données de la cible et exigent un paiement pour les réparer.

Attaques de Windows

Selon virustotal.com, les pirates ont créé les deux maliciels qu’a reçus Yuan Stevens les 10 et 12 août. Ils s’attaquent aux ordinateurs fonctionnant sous Windows, l’environnement qui domine au gouvernement.

Dans un communiqué émis hier, le ministère ne dit rien de l’attaque.

« Il n’est pas possible de savoir si d’autres courriels de ce type ont été transmis ni combien, le cas échéant », dit Paul-Jean Charest, porte-parole de Justice Québec, dans un courriel à notre Bureau d’enquête.

C’est que les pirates ont envoyé les courriels infectés en imitant les courriels du ministère, mais en utilisant d’autres adresses. Ses informaticiens ne peuvent donc pas consulter les « éléments envoyés » des 14 boîtes de courriel attaquées pour savoir qui a pu en recevoir.

Chose certaine, Justice Québec aurait intérêt à montrer patte blanche en publiant un « post-mortem » du piratage, croit Patrick Mathieu, chef de la sécurité offensive pour le concepteur de logiciels LogMeIn. 

« C’est ce que les grandes entreprises du web font quand elles subissent une attaque. »

  

  • Si vous avez de l’information sur cette attaque informatique ou sur la cybersécurité au gouvernement, contactez notre journaliste au (1) 438 396-5546 (Signal, cellulaire) ou à hjoncas@protonmail.com.