Accueil > Actualités

Au cœur de l’attaque informatique

 

Le 19 octobre dernier, la STM était frappée par la plus importante attaque informatique de son histoire. Dans notre numéro d’octobre, nous avons rendu hommage aux centaines d’employés des Technologies de l’information (TI) qui ont permis à l’entreprise d’y faire face. Cette fois, nous donnons la parole à un employé qui a été aux premières loges de l’attaque: Pierre-Alexandre Day, analyste principal – Sécurité à la section Sécurité de l’information.

Pierre-Alexandre Day

Un passionné d’informatique

D’abord, taisons une rumeur qui a circulé à travers la STM: Pierre-Alexandre n’est pas un ancien pirate informatique. Il a toutefois une passion infinie pour l’informatique, et ce, depuis longtemps: il a touché pour la première fois à un ordinateur vers l’âge de trois ans! «C’était vers le milieu des années 1990, aux débuts de l’Internet. Mes parents racontent que dès l’âge de quatre ou cinq ans, je configurais les appareils pour ma famille! J’ai eu mon premier ordinateur vers sept ans et rapidement, j’ai su que j’allais étudier dans le domaine.»

Après une technique en TI au cégep, Pierre-Alexandre a étudié en Génie informatique à l’École de technologie supérieure (ÉTS). Sa solide formation en matière de réseaux et de serveurs lui a servi de base pour sa spécialité, la sécurité informatique. «Ce qu’on apprend en sécurité informatique à l’école est souvent bien théorique. C’est une branche de l’informatique qui a de multiples ramifications; le savoir qu’on peut y acquérir est sans fin. Il faut constamment se mettre à jour, par le biais de formations, de conférences et de recherches.»

Une attaque sans précédent

Le réseau informatique de la STM subit régulièrement des attaques de toutes sortes. Depuis son arrivée en 2016, Pierre-Alexandre a donc été témoin de centaines, voire de milliers d’attaques informatiques, mais rien comme celle du 19 octobre dernier. «Les courriels sont le principal vecteur de transmission de virus ou de logiciels malveillants. Nous avons un très bon système de protection, mais aucun système ne peut tout bloquer. Il y a des gens qui consacrent beaucoup d’efforts pour passer entre les mailles du filet, et ensuite effectuer du rançonnage.»

Photo: Monika Skolimowska/dpa

«Ce qui est donc arrivé le 19, c’est que le courriel malveillant est venu d’un compte personnel, ce qui fait qu’il n’a pas été traité tout de suite par notre système de protection. Lorsque ce dernier a vu que quelque chose n’allait pas et a commencé à bloquer des postes, des serveurs étaient déjà touchés. Sans cet avertissement de notre système de protection, tous les autres postes auraient pu être infectés, incluant ceux des quelque 400 employés du TI, qui auraient perdu tous leurs outils pour réparer la panne.»

«Dès qu’on a vu une dizaine de postes bloqués par le système, on a commencé à investiguer. Puis, ce furent des centaines de postes, mais à ce moment, on avait déjà déclenché l’alerte. Dès le début de notre enquête, on a vu que des serveurs étaient touchés. On a compris qu’il s’agissait d’une attaque immense qui testait toutes les composantes de notre réseau, une après l’autre. Tout s’est fait si rapidement qu’on pouvait penser que le pirate connaissait très bien notre réseau, alors qu’il l’a possiblement attaqué au hasard.»

La réplique des TI

«Dès que des serveurs sont tombés, on a perdu des applications et bien entendu, on a commencé à recevoir des questions des usagers. Mais c’était le branle-bas de combat aux TI bien avant! Toutes les équipes se sont réunies: Sécurité, Infrastructures, Applications… On a rassemblé toute l’information et on a préparé notre réplique. Pour éviter toute propagation, on a décidé de fermer tous les serveurs, sans que cela affecte les opérations bus et métro.»

«Quand on effectue une enquête, il y a plusieurs éléments importants à trouver, dont la note de rançon. Celle-ci a été localisée sur un serveur par l’équipe des Infrastructures. Parmi les autres éléments-clés, il y a ce qu’on appelle le patient zéro, le poste où tout a commencé, afin de comprendre comment s’est déroulée l’attaque. Ça, c’est notre équipe qui l’a trouvé. Avec 3 000 postes bloqués, c’était comme chercher une aiguille dans une botte de foin!»

Les aspects positifs de l’attaque

D’ici quelques semaines, l’attaque informatique du 19 octobre ne sera plus qu’un mauvais souvenir. Bien sûr, on a eu très chaud et la crise a demandé beaucoup de temps, d’efforts et d’argent à l’entreprise. Mais elle a également prouvé que la STM peut compter sur une véritable armée prête à défendre jour et nuit son réseau informatique. C’est d’autant plus rassurant que d’autres attaques informatiques de cette nature sont à prévoir, qu’on le veuille ou non.

Laissons le mot de la fin à Pierre-Alexandre Day: «La Sécurité informatique est une équipe parmi bien d’autres aux TI. Beaucoup de gens ont travaillé très fort au rétablissement du réseau après la panne. On a pu compter sur des gestionnaires qui ont été de véritables leaders durant cette crise. La STM est parfois décrite comme une entreprise où l’on travaille en silos, mais durant l’attaque informatique, tout le monde s’est serré les coudes pour y faire face.»

Cliquez ici pour lire notre communiqué du 18 novembre dernier, qui apporte d’autres précisions sur l’attaque informatique.

Partager