Des pirates informatiques ont extrait les informations de 15 millions de clients de l’entreprise de laboratoire LifeLabs, en Ontario et en Colombie-Britannique, lors d'une cyberattaque, le 1er novembre.

Selon LifeLabs, les voleurs se sont emparés de leurs noms, adresses, courriels, noms d’utilisateur, mots de passe, numéros de carte d’assurance maladie ainsi que certains examens en laboratoire.

LifeLabs est le plus grand fournisseur de services de laboratoire au Canada. L’entreprise possède quatre divisions principales, soit LifeLabs, LifeLabs Genetics, Rocky Mountain Analytical et Excelleris.

La cyberattaque fait l’objet d’une enquête coordonnée des commissariats à la vie privée de l'Ontario et de la Colombie-Britannique pour en déterminer l'étendue et les circonstances qui ont mené à la brèche.

Une attaque de cette ampleur est troublante. Brian Beamish, commissaire à la protection de la vie privée de l’Ontario

« Les cyberattaques sont un phénomène criminel croissant. Les délinquants du web deviennent de plus en plus sophistiqués. Les institutions publiques et les organisations dans le secteur de la santé sont ultimement responsables d’assurer que toute information personnelle en leur possession est en sécurité en tout temps », a indiqué Brian Beamish, commissaire à la protection de la vie privée de l’Ontario.

Le commissaire britanno-colombien, Michael McEvoy, a pour sa part affirmé « être profondément préoccupé. La violation de la confidentialité des informations personnelles de santé peut être accablante pour les personnes affectées ».

Une rançon a été payée

Les commissariats évalueront les mesures que LifeLabs aurait dû prendre pour éviter un tel incident. Ils espèrent terminer l’enquête dès que possible.

LifeLabs a informé les commissaires que les pirates ont demandé une rançon, qu'elle a payée afin de récupérer l'accès aux données.

Elle a informé les autorités qu’une très petite partie de ses clients se trouvent en dehors de l'Ontario et de la Colombie-Britannique. LifeLabs souligne que les données des clients ayant visité un de ses laboratoires ou qui ont reçu un service de LifeLabs Genetics et de Rocky Mountain Analytical sont contenues dans sa base de données.

Dans une déclaration à l’intention de ses clients, l’entreprise dit « avoir pris plusieurs mesures pour protéger l’information de ses clients. Elle a retenu les services de consultants « de classe mondiale » en cybersécurité afin de recevoir de l'assistance pour la restauration des données et pour renforcer la sécurité de ses systèmes informatiques. Les consultants offriront leur soutien durant l’enquête.

LifeLabs assure également avoir renforcé ses systèmes pour prévenir les intrusions à l’avenir.Elle a mis à disposition de ses clients des services de protection pour le vol d’identité et une assurance pour protéger contre la fraude.

« Nous insistons sur le fait que les firmes de cybersécurité qui nous conseillent croient que les risques de la cyberattaque pour les clients sont faibles », écrit la compagnie dans un communiqué.

Elle ajoute qu’un balayage du web caché et d’autres endroits en ligne n’a pas permis de retrouver les données des clients dans cette affaire.

L’importance d’une stratégie de réponse

Steve Waterhouse, expert en cybersécurité, pense que le recours au paiement d’une rançon démontre un manque de stratégie adéquate pour répondre à de telles attaques informatiques.

« C’est chose courante lorsqu’il y a absence de stratégie. Dans la majorité des cas où il y a eu un paiement de rançon, c’est parce qu’il a été évalué qu’il coûterait trop cher reproduire les données [...] plutôt que de payer la rançon et de retrouver l’accès rapidement aux données », explique-t-il.

Il croit que les informations de 15 millions de personnes auront une grande valeur sur le marché noir des données : « Les rançonneurs évaluent la valeur en fonction du volume qu’ils sont capables d’offrir sur le marché. »

Il encourage les dirigeants d’entreprise à revoir fréquemment leurs dispositifs de cybersécurité. « On va généralement déterminer la fréquence de vérification à partir de la nature de l’information », mentionnant que plus une information est sensible, plus il sera important de revoir régulièrement la sécurité.

Avec les informations de Marc-Antoine Bélanger