Cybersécurité L’agence d’artistes Goodwin victime d’un rançongiciel
Des cyberpirates ont attaqué les serveurs de la prestigieuse Agence Goodwin, qui représente des dizaines d’artistes et d’animateurs, dont Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette.
Publié le 12 oct. 2021Hugo Joncas La PresseLes pirates du groupe russophone Conti se spécialisent dans les attaques au rançongiciel. Ils volent habituellement les données ciblées avant de les endommager en les cryptant. La victime doit ensuite payer une somme d’argent si elle veut les récupérer et éviter qu’elles ne se retrouvent en ligne.
Goodwin assure avoir rétabli la situation, mais l’agence ignore à quelles informations les pirates ont pu accéder, et s’ils les ont bel et bien exfiltrées.
« On a reçu un message qui menaçait de sortir des données, explique Nathalie Goodwin, l’une des associées de l’agence. Ils sont allés chercher des informations sur nos serveurs. »
Une employée a noté que quelque chose n’allait pas le matin du 8 octobre en voulant consulter les horaires de comédiens sur le site. La page s’est affichée en chinois.
L’équipe a alors pris contact avec son consultant informatique, qui a réalisé que le mot de passe pour accéder aux serveurs avait été modifié. Il a compris que l’agence était victime d’une attaque informatique et a débranché les systèmes.
Cette action rapide a permis à Goodwin de limiter les dommages.
« Il restait cette menace qui planait sur un certain nombre de données d’entreprise qu’ils allaient publier si on ne les contactait pas, ce qu’on n’a pas encore fait », explique Nathalie Goodwin.
L’équipe de cybercriminalité de la police de Montréal a contacté l’agence pour s’assurer qu’elle était au courant de l’attaque, ce qui était bien le cas.
« Tous nos clients et nos employés ont été dûment avisés, comme il se doit, et informés des mesures à prendre personnellement », assure Nathalie Goodwin.
Selon les vérifications qu’a fait faire l’agence, les pirates seraient passés par le logiciel de courriels Outlook de Microsoft.
Données vraisemblablement volées
Les cybercriminels qui ont frappé Goodwin ont probablement déjà volé des informations sur le serveur ciblé, note Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft.
« Comme plusieurs autres gangs, Conti vole les données de sa victime avant de déployer le rançongiciel qui crypte les fichiers, dit-il. Si elle ne paie pas, ou pas assez vite, Conti publie les données volées sur son site. »
Selon un rapport récent de la Cybersecurity & Infrastructure Security Agency (CISA) américaine, le gang est devenu ces derniers mois l’un des plus actifs dans le rançongiciel, avec « plus de 400 attaques » à son actif à la fin du mois de septembre.
C’est Conti qui a servi à mener la grave attaque ayant paralysé le système de santé irlandais en mai, comme l’explique cet article du quotidien Le Monde.
La CISA, tout comme un autre rapport de l’Agence française de la sécurité des systèmes d’information, classe Conti dans la catégorie « ransomware-as-a-service » : un rançongiciel en location. Le programme est ainsi offert pour d’autres gangs qui l’utilisent afin d’extorquer leurs propres cibles.
Au Québec, Conti a servi à attaquer les Hurons de Wendake et le distributeur d’équipements électriques Guillevin International en 2020, puis la MRC Antoine-Labelle, dans les Laurentides, en août.
Informations à vendre
Quatre jours après l’attaque de Goodwin, le 12 octobre, l’agence s’est retrouvée sur le site du « cartel », tel que Conti se désigne lui-même.
Juste en haut de la page, le gang lance un avertissement à ses « clients » (lire « victimes ») qui ne le contactent pas après une attaque. « Si vous êtes un client qui a décliné l’offre et que vous ne trouvez pas vos données sur le site du cartel ou que vous ne trouvez pas de fichiers sensibles, ça ne veut pas dire que nous vous avons oublié, ça veut seulement dire que les données ont été vendues et que nous les avons ensuite retirées de l’accès gratuit ! », indique son site en anglais.
Pour l’instant, dans la page consacrée à Goodwin, le gang n’affiche que des coordonnées professionnelles d’employés et les informations de base sur l’agence.
Nathalie Goodwin dit qu’elle « ne voudrai[t] pas avoir à tomber dans le piège de payer une rançon ». « Je ne pense pas que ça soit une bonne chose de le faire. »
Les autorités américaines lui donnent raison et « déconseillent fortement » de céder. « Payer une rançon risque d’enhardir les pirates » et « ne garantit pas que les fichiers de la victime seront récupérés », souligne le rapport de la CISA.
Juste à côté du texte sur Goodwin, le site de Conti mentionne d’autres victimes récentes et offre gratuitement des données volées en téléchargement.
C’est le cas par exemple d’une des toutes dernières victimes du gang, JVCKenwood. Conti a commencé à publier des dizaines de fichiers volés à l’entreprise japonaise d’électronique en septembre.
