Cybersécurité

Un fournisseur d’entraînement au combat aérien attaqué

Des pirates informatiques disent avoir volé les données d’une entreprise québécoise qui a accumulé des centaines de millions de dollars en contrats pour entraîner des pilotes des forces canadiennes, américaines et de leurs alliés. Ils menacent de les publier le 15 mai sur le web caché (dark web).

Le gang de hackers LockBit 2.0 affirme sur son blogue avoir dérobé 44 gigaoctets d’information appartenant à Top Aces et menace de les diffuser le 15 mai en soirée.

Top Aces multiplie les contrats d’entraînement au combat avec les armées canadienne, américaine et allemande.

L’entreprise de Dorval dit toutefois qu’elle est toujours à la recherche de traces de l’intrusion. « On fait affaire avec une firme externe qui nous aide avec ça », dit la porte-parole Erin Black.

Sa filiale américaine a déposé une plainte auprès du FBI, selon nos informations.

Erin Black précise que l’entreprise n’a trouvé aucune demande de rançon. Lockbit est un gang de piratage au rançongiciel, qui crypte habituellement les données de sa cible après les avoir volées. Il dépose du même coup une demande de paiement sur le serveur touché pour redonner accès aux informations.

Plus importante flotte de chasseurs privée

Top Aces, fondée en 2000 par d’anciens pilotes militaires, offre des services d’entraînement au combat. L’entreprise dit détenir la plus importante flotte privée d’avions de chasse.

En 2019, l’US Air Force a accordé à Top Aces une partie d’un contrat de 6,4 milliards US pour entraîner ses pilotes au combat dans 12 bases. Pour ces exercices, qui incluent des simulations d’opérations contre l’armée russe, la société a acheté d’Israël une flotte de 29 avions F-16 usagés.

En 2017, Top Aces a aussi décroché un contrat de 480 millions avec la Défense nationale canadienne pour des services d’entraînement au combat. Le contrat, renouvelable, pourrait atteindre d’ici 2031 la valeur totale de 1,4 milliard.

La Caisse de dépôt et placement du Québec est un important actionnaire de l’entreprise. Dans son dernier rapport annuel, son placement privé dans la société de portefeuille qui détient Top Aces est évalué à entre 50 et 100 millions.

Les Forces canadiennes sont incapables de déterminer l’effet que pourrait avoir la cyberattaque sur la sécurité de leurs données et de leurs opérations.

« Nous ne sommes pas sûrs s’il y a un impact et si la fuite contient des informations qui nous appartiennent, dit le porte-parole de l’armée, Daniel Le Bouthillier. On vérifie auprès de nos gens de l’informatique. »

Il croit que peu de renseignements sensibles sont susceptibles d’avoir fait l’objet d’une fuite par Top Aces.

Probablement pour l’argent

Dans une déclaration en février dernier, des pirates de LockBit ont expliqué que « la plupart » de ses membres étaient des citoyens d’anciens pays de l’URSS, « comme des Russes et des Ukrainiens ». Le gang ajoutait toutefois que ses programmeurs proviennent aussi de la Chine, des États-Unis, du Canada et de la Suisse.

Consulté par La Presse, un expert en cybersécurité pense que le piratage n’a probablement rien à voir avec la guerre en Ukraine.

« Il n’y a aucune raison de croire que les attaques de LockBit sont motivées par autre chose que l’argent, dit Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft. Ça ne veut pas dire que les données volées n’aboutiront pas entre les mains d’autres acteurs, y compris possiblement des gouvernements hostiles. »

En février, LockBit a dit être « apolitique » et assuré qu’il ne s’engagerait « sous aucune circonstance » dans des attaques contre des infrastructures critiques ou dans des conflits internationaux.

Un des plus grands gangs de cyberpirates

Le gang, actif depuis la mi-2019, est aujourd’hui l’un des plus actifs au monde. Selon la page de son blogue dans le web caché qu’a visitée La Presse, il compte toutefois peu de grandes organisations parmi ses victimes.

Comme la plupart des groupes de pirates, les concepteurs du rançongiciel font affaire avec des « affiliés » qui utilisent leur programme pour infiltrer les réseaux de leurs cibles, voler leurs données et les crypter. Puis, ils exigent une rançon pour leur en redonner l’accès.

Les mesures de sécurité arrivent parfois à bloquer les cybercriminels avant la destruction des données, sans avoir pu en empêcher le vol. Dans de tels cas, les victimes ignorent tout de la fuite, jusqu’à ce que les rançonneurs rendent leur méfait public, comme ils viennent de le faire sur leur blogue.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.