Le Conseil municipal de Saint-Jean, au Nouveau-Brunswick, a permis de découvrir plus de détails sur une brèche de sécurité rendue publique par la municipalité en décembre 2018. La ville révélait alors que l’identité, l'adresse et les données de cartes de crédit de plus de 6000 de personnes ayant réglé une contravention pour stationnement pourraient avoir été compromises dans une brèche d’envergure touchant au moins 47 villes utilisant le service de paiement en ligne Click2Gov.
Stephanie Rackley-Roach, directrice intérimaire du rendement de la Ville de Saint-Jean, présentait en effet une mise-à-jour au sujet de cette brèche de sécurité aux membres du Conseil de ville lundi le 28 janvier dernier. Cette présentation revenait sur les grandes lignes de l’incident et incluait des recommandations pour renforcer la sécurité informatique de la municipalité.
Selon un rapport de Gemini Advisory, publié le 18 décembre 2018, une vulnérabilité non détectée, et donc non corrigée, aurait permis à des attaquants de subtiliser les numéros de cartes de crédit d’utilisateur du service de paiement en ligne et de les monétiser sur le marché noir. Le rapport souligne que « 294 929 dossiers de paiement avaient été compromis, ce qui aurait permis à des criminels de gagner au moins 1,7 million de dollars. » On y souligne de plus que 46 villes américaines, en plus de Saint-Jean, N-B, avait été affectées. La municipalité canadienne a été interpelée initialement par un article publié par IT World Canada, faisant suite à ce rapport. La municipalité a dès lors demandé une investigation plus poussée pour évaluer la situation.
Cette investigation a révélé l’injection du code malveillant le 2 mai 2017, et un dernier accès des attaquants au 11 décembre 2018. Selon cette analyse, les citoyens de la municipalité pourraient avoir été affectés s’ils ont payé une contravention de stationnement sur le site en ligne de la ville entre le 1 mai 2017 et le 16 décembre 2018.
La municipalité met en place de nouvelles mesures pour assurer la cybersécurité des citoyens. Un nouveau fournisseur de service a été désigné. Néanmoins, d’ici à ce que les nouvelles mesures de sécurité soient implantées, le paiement de contraventions en ligne est interrompu. Les paiements par téléphone, en personne ou par la poste sont toujours disponibles.
Comme le soulignait Rackley-Roach, « La question n’est pas si une ville subira une cyberattaque, mais quand. » Plusieurs municipalités et organisations au Canada et aux États-Unis ont d’ailleurs été aussi victimes de cyberattaques au cours des derniers mois. Pour faire face à cette menace, Saint-Jean a dressé une liste de propositions d’actions stratégiques à mettre en place en 2019. Ces actions stratégiques s’orientent autour de diverses mesures :
- Évaluation des risques et menaces;
- Antivirus plus performant;
- Pare-feu robuste et SIEM (Gestion des informations de sécurité et des événements);
- Expertise en cybersécurité améliorée;
- Formation des employés;
- Cyberassurance;
- Plan de recouvrement.
Comme le rapportait Global News, le maire Don Darling semblait partagé entre la frustration devant le déficit d’informations transmis à l’époque par l’entreprise CentralSquare Technologies et la confiance envers le travail des experts en sécurité informatique de la ville.
Il affirmait au sujet de cette brèche : « [Pourquoi] il nous fallait découvrir par le biais d'un article serait des questions que j’adresserais avant d'aller de l'avant. Pourquoi ne nous a-t-on pas prévenus? », Il ajoutait : « Je pense que nous avons un personnel très compétent. Je crois qu'ils s'en sont occupés très activement en cette difficile période de l'année, à la fin de décembre (et tout au long des vacances). »
Les personnes qui ont payé une contravention en ligne à la municipalité de Saint-Jean ou l’une des 46 municipalités américaines touchées par cette brèche de sécurité devraient vérifier attentivement l’ensemble des transactions, afin de vérifier si des activités frauduleuses s’y déroulent. Les citoyens concernés devraient aussi contacter l’institution financière émettrice de leur carte de crédit. Les mesures habituelles en cas de brèche de sécurité, qui ont été précédemment couvertes sur ce blogue, s’appliquent aussi.