Enquête

Cyberattaque au Collège Montmorency Une foule de données sensibles sur le dark web

PHOTO OLIVIER JEAN, LA PRESSE

Le Collège Montmorency, à Laval

Des dizaines de milliers de fichiers contenant des données confidentielles du Collège Montmorency sont offerts gratuitement sur le dark web. Problèmes psychiatriques d’employés, enquêtes disciplinaires, notamment sur des allégations d’inconduite sexuelle, accusations de plagiat… Depuis la cyberattaque du 11 mai, les dirigeants de l’établissement sont restés muets sur ses conséquences. La Presse a mesuré l’ampleur des dommages.

Publié le 8 sept. 2022

Hugo Joncas La Presse

Lisez Fuite de données du Collège Montmorency : la Commission d’accès à l’information n’a pas été informée

Des élèves et des employés laissés dans le noir

PHOTO OLIVIER JEAN, LA PRESSE

Coralie Bouchard, élève au Collège Montmorency et victime de la fuite de données confidentielles

En avril, Coralie Bouchard a dû fournir au Collège Montmorency ses informations personnelles pour recevoir une bourse d’excellence sportive de 250 $. Aujourd’hui, son numéro d’assurance sociale, sa date de naissance, son adresse et son numéro de cellulaire se retrouvent sur le web caché (dark web), aux côtés de données confidentielles sur des centaines d’élèves et d’employés du cégep.

« Le Collège ne m’a pas avertie de ça. Si vous ne me l’aviez pas dit, je ne le saurais pas encore. Je vais en parler avec mes parents : eux autres sont plus au courant de ce qu’il faut faire », a dit l’élève de deuxième année en techniques de physiothérapie. Elle était mineure au moment de la cyberattaque ayant frappé l’établissement lavallois, en mai dernier.

Les données incluent aussi une foule d’informations autrement plus compromettantes : détails sur des problèmes psychiatriques d’employés, rapports d’enquêtes internes, dont au moins une sur des inconduites sexuelles alléguées, listes d’élèves accusés de plagiat… Même les allocations de dépenses et le numéro de carte de crédit du directeur Olivier Simard se retrouvent sur le blogue des pirates dans le web caché.

Même si elles sont moins embarrassantes pour sa réputation, les données personnelles exfiltrées comme celles de Coralie Bouchard, des « renseignements identifiants », peuvent aider des voleurs d’identité dans leurs méfaits. De quoi inquiéter la jeune femme : « J’ai déjà eu une fraude dans mon compte Desjardins. »

Les cybercriminels affirment qu’ils détiennent 8000 gigaoctets de données. Depuis le 15 juillet, leur site invite la direction à les contacter pour éviter « la fuite complète » des fichiers volés sur leur blogue. Ils ont déjà publié des dizaines de milliers de documents du Collège.

La Presse a choisi de ne pas nommer le groupe ayant mené l’attaque pour éviter de faciliter la tâche aux cybercriminels.

Allégations d’inconduite sexuelle

Parmi les documents les plus sensibles, le dossier disciplinaire d’un professeur toujours employé du Collège mentionne une enquête sur des allégations d’inconduite sexuelle formulées anonymement sur un réseau social. Les fichiers incluent le résumé d’un interrogatoire qu’il a subi et un courriel intitulé « Conclusion de l’enquête ». Il précise qu’« aucun élément n’est porté » au dossier du professeur. « Nous comprenons que […] vous n’avez aucun souvenir de la situation dénoncée et qu’il vous est donc impossible d’y répondre », indique le message.

La Presse ne nomme pas l’enseignant en question parce qu’il n’a fait face à aucune accusation et que rien ne permet de déterminer si les allégations étaient fondées ou non.

Joint au téléphone après un cours, le professeur, qui a plongé dans une dépression après ces évènements, s’est étonné de ne pas avoir été mis au courant de cette fuite. « Ce qu’on m’a dit là-dessus, c’est que ça devait rester confidentiel. »

Informations médicales

La fuite contient également de nombreuses informations médicales sur des employés.

« Madame prend des antidépresseurs, soit Salopren depuis 2015 », indique par exemple un avis du Bureau d’évaluation médicale du ministère du Travail, de l’Emploi et de la Solidarité sociale, qui se retrouve dans les documents du Collège ayant fuité.

D’autres dossiers mentionnent des « troubles anxieux généralisés », une « dépression majeure récurrente » et un « diagnostic de nature psychologique ».

Dossiers liés à la CNESST

Des informations d’employés concernant la Commission des normes, de l’équité, de la santé et de la sécurité du travail (CNESST) sont aussi disponibles. Un dossier concerne les cinq années de démarches d’une employée pour obtenir des paiements après un accident de travail. Il contient tous les détails sur sa commotion cérébrale, ses migraines et ses examens neurologiques. Avant-dernière note dans une chronologie de son cas : « En attente d’une évaluation psychiatrique. »

Partie du cégep, elle n’a pas reçu la communication générale avertissant la communauté « que certaines données se trouvant sur les serveurs informatiques du Collège auraient été exfiltrées ».

« C’était de leur devoir de m’appeler, dit l’ex-employée, que La Presse a choisi de ne pas nommer. Ça aurait été la moindre des choses. »

Le dossier d’un professeur de géographie qui bénéficie de l’assurance invalidité après un grave accident de vélo se retrouve lui aussi sur le web caché. Il comprend son adresse, son salaire, sa date de naissance, son numéro de cellulaire et de nombreux détails médicaux.

Joint par La Presse, Denis Bruneau se dit « très choqué » que le Collège ne l’ait pas mis au courant de cette fuite.

On a eu une communication banale à tout le monde, non personnalisée. Je n’ai jamais eu de nouvelles me concernant directement.

Denis Bruneau, professeur de géographie au Collège Montmorency

Les informations qui ont fuité incluent des listes de centaines d’employés mentionnant leur salaire, leurs coordonnées complètes et leur état civil.

De nombreux dossiers de relations de travail, comme des suivis détaillés de griefs, se retrouvent également parmi ces informations.

Des centaines d’élèves concernés

Le site des rançonneurs contient aussi des fichiers contenant des informations sensibles sur des centaines d’élèves. Après l’attaque en mai dernier, la porte-parole Marylin Doucet avait pourtant affirmé que le Collège n’avait « aucune preuve à l’effet que les renseignements personnels relatifs aux étudiantes et aux étudiants auraient été compromis ».

Les pirates ont notamment mis en ligne une liste d’élèves accusés de plagiat et une autre énumérant les élèves ayant eu des litiges avec des professeurs.

Les syndicats en « gestion de crise »

Les représentants des divers syndicats d’employés du Collège ont appris l’ampleur de la fuite d’informations à travers les questions de La Presse mercredi.

PHOTO OLIVIER JEAN, LA PRESSE

Amélie Therrien, présidente du Syndicat des enseignantes et enseignants du Collège Montmorency

« Je trouve ça extrêmement inquiétant, dit Amélie Therrien, présidente du Syndicat des enseignantes et enseignants du Collège. On est vraiment en gestion de crise. »

Avant de prendre une position précise, elle attend d’en savoir plus sur ce que la direction savait exactement concernant la gravité et la nature de la fuite.

PHOTO OLIVIER JEAN, LA PRESSE

Marc Meilleur, président du syndicat des employés de soutien du Collège Montmorency

Même point de vue au syndicat des employés de soutien. « Ça réagit fort : des gens se rendent compte que des informations médicales ont été exfiltrées, dit Marc Meilleur, président du syndicat. Ça aurait été intéressant d’avoir l’information ! »

Toujours pas de réponses claires

Selon un expert en cybermenaces, les pirates ont probablement encore d’autres renseignements volés en banque et ils font pression sur le Collège en en publiant une partie.

« Selon nos données, près de 60 % des organisations victimes de rançongiciel ont opté pour négocier avec les attaquants », dit Alexis Dorais-Joncas, de la firme de sécurité Proofpoint.

Joint par La Presse, le directeur général Olivier Simard s’est engagé à rappeler, mais ne l’a finalement pas fait.

Par ailleurs, le Collège, qui se dit « transparent et proactif », n’a toujours pas précisé si, oui ou non, l’imposante équipe de sécurité qu’il a déployée avait pris connaissance de l’ensemble des données exfiltrées.

« Nous avons été informés récemment qu’une quantité importante de données auraient été compromises, c’est-à-dire publiées sur le web, écrit la porte-parole Marilyn Doucet dans un courriel. À ce moment et comme nous l’avons fait depuis le 11 mai, nous avons rapidement communiqué cette information à notre communauté et également rappelé qu’il était encore temps de se prévaloir des services de protection de crédit. »

Malgré nos demandes répétées, toutefois, le Collège n’a pas fait parvenir à La Presse le contenu précis du courriel envoyé dans la dernière semaine d’août.

Une semaine

Période pendant laquelle le Collège Montmorency a complètement déconnecté son réseau. Plusieurs systèmes sont toujours débranchés, quatre mois après l’attaque.

8000 gigaoctets

Quantité d’information dérobée selon les cybercriminels (l’équivalent de 250 clés USB de 32 Go)

Organisations qui viennent en aide au Collège Montmorency

Centre opérationnel de cyberdéfense du gouvernement du Québec
Équipe Bouclier de la Fédération des cégeps
Ministère de la Cybersécurité et du Numérique
KPMG

8300

Nombre d’élèves au Collège Montmorency

1300

Nombre d’employés au Collège Montmorency

La vérificatrice générale a sonné l’alarme en 2019

PHOTO OLIVIER JEAN, LA PRESSE

Le Collège Montmorency, à Laval

Parmi les dizaines de milliers de documents volés au Collège Montmorency, les pirates ont publié des lettres que le bureau de la vérificatrice générale du Québec (VGQ) avait fait parvenir à la direction dans le cadre d’un audit confidentiel sur le cégep. La correspondance aborde justement de sérieux problèmes en matière de… cybersécurité.

L’une des remarques du chien de garde de l’État s’avère presque prémonitoire.

« Nous avons constaté qu’un plan de mesures d’urgence existe, mais que ce dernier ne tient pas compte de la continuité du management de la sécurité de l’information, mentionne la correspondance de la directrice d’audit Renée Lambert, datée de novembre 2019. Cette situation augmente le risque de perte de données sensibles advenant une situation défavorable ou un sinistre. »

Après l’attaque au rançongiciel en mai dernier, le Collège a dû déconnecter son réseau au grand complet durant une semaine.

Une politique vieille de 17 ans

Dans sa lettre, Renée Lambert relevait aussi que la politique de cybersécurité du Collège datait de 2002 et n’était pas communiquée aux employés et aux élèves.

Nous avons constaté qu’il n’y a pas eu d’activité de sensibilisation formelle des utilisateurs à l’égard de la sécurité de l’information durant l’exercice financier.

Extrait d’une lettre de l’auditrice de la vérificatrice générale du Québec

De quoi faciliter la tâche des pirates, si le Collège ne corrigeait pas cette lacune avant qu’ils ne frappent, dit un expert en cybermenaces.

« L’absence de sensibilisation, c’est certainement un facteur potentiel. C’est hyper important : le courriel, c’est le vecteur d’attaque par excellence », dit Alexis Dorais-Joncas, expert en cybermenaces pour la firme de sécurité Proofpoint.

Les cyberpirates arrivent régulièrement à s’introduire dans les réseaux informatiques en bernant des utilisateurs à l’aide de courriels ou de pièces jointes infectées.

Alexis Dorais-Joncas ajoute que l’audit « est une bonne chose en soi » : il a peut-être aidé le Collège à corriger certaines lacunes qui ont pu atténuer la gravité de l’attaque.

Mots de passe faibles

Dans sa lettre au Collège, Renée Lambert note aussi que les paramètres des mots de passe pour accéder aux différents serveurs ne respectaient pas les normes. Elle soulignait par ailleurs qu’en 2018-2019, le Collège n’avait fait réaliser aucune évaluation indépendante de la sécurité du réseau.

Dernière lacune soulevée : bien que l’établissement reçoive des paiements par carte de crédit, il ne respectait toujours pas la norme Payment Card Industry Data Security Standard.

Audit « discrétionnaire »

La vérificatrice peut déclencher de façon « discrétionnaire » des audits financiers confidentiels sur les centres scolaires, les cégeps et le système de santé. C’est ce qu’elle a fait avec le Collège Montmorency.

Pourquoi ? « On ne dévoile pas les motifs qui font qu’on va dans une institution plutôt qu’une autre », répond la porte-parole de la VGQ, Line-Sylvie Perron.

Elle signale que les travaux de la vérificatrice dans le cadre de ces audits confidentiels doivent en principe rester secrets.

« Le rapport que vous avez entre les mains, c’est un rapport qui ne peut pas être divulgué sans l’autorisation du Vérificateur général », dit-elle.

Pas de chance : La Presse a pu constater que plusieurs documents portant sur l’audit de la VGQ sont en ligne sur le blogue des pirates.

Le rapport final de l’auditrice s’y trouve également. Il ne fait cependant pas allusion aux critiques soulevées au sujet de la sécurité informatique.

Le Collège n’a pas répondu aux questions de La Presse sur le sujet.

Actualités En continu

Grand Montréal

Campagne de sensibilisation pour cyclistes Des « problèmes de comportement » à corriger

Une vaste campagne de sensibilisation à l’intention des adeptes du vélo se prépare à Montréal, afin de les inciter à respecter davantage le Code de la sécurité routière. Le tout survient au moment où le cas d’une fillette récemment heurtée par un cycliste ayant omis de respecter les feux d’arrêt d’un autobus a provoqué une onde de choc.

Publié à 0h00
Justice et faits divers

Meurtre à Ormstown Une femme souriante et appréciée du voisinage

Une jeune femme souriante, appréciée et qui aimait faire des bonhommes de neige avec sa fille : c’est le portrait que brossent, sous le choc, les voisins d’Amanda Caza, poignardée mercredi dans son domicile, possiblement par son père. Alain Caza a été accusé de meurtre au deuxième degré, jeudi.

Mis à jour hier à 22h40
Justice et faits divers

« Convoi de la liberté » Le procès se penche sur les publications de Pat King sur les réseaux sociaux

(Ottawa) L’organisateur du « Convoi de la liberté », Pat King, s’est vanté de son rôle dans l’occupation du centre-ville d’Ottawa en 2022 et a incité les manifestants à klaxonner, violant ainsi une ordonnance du tribunal, révèle une série de vidéos publiées sur les réseaux sociaux pendant les évènements.

Mis à jour hier à 22h10
Politique

Aide aux Palestiniens Ottawa fournit 40 millions supplémentaires

(Ottawa) Le Canada fournit 40 millions pour aider les Palestiniens de la bande de Gaza, dans un contexte d’inquiétude face à ce qu’il appelle une situation humanitaire catastrophique, aggravée par une offensive terrestre israélienne à Rafah.

Publié hier à 22h08
Justice et faits divers

Estrie La victime d’une attaque de chiens à Potton obtient 460 000 $ en dédommagement

Une femme qui avait été attaquée par trois chiens lors d’une séance de jogging à Potton, en Estrie, en mars 2019, a obtenu gain de cause devant la Cour supérieure.

Publié hier à 21h55
Justice et faits divers

Policière frappée par un véhicule Deux suspect arrêtés par le SPVM

(Montréal) Le Service de police de la Ville de Montréal (SPVM) a procédé à l’arrestation de deux suspects en lien avec un vol de véhicule et des voies de fait graves survenus le 5 février dernier dans l’arrondissement montréalais de Saint-Laurent.

Publié hier à 20h50
Environnement

Charbon Les É.-U. veulent mettre fin aux nouvelles concessions dans la plus grande région productrice

(Washington) L’administration du président Joe Biden a annoncé jeudi vouloir mettre fin à de nouvelles concessions de charbon dans la région américaine qui en produit le plus, s’attirant les foudres du secteur minier et les louages des écologistes.

Publié hier à 20h48
Politique

Crise climatique Poilievre « regarderait le pays brûler » plutôt que d’agir, dit Trudeau

Le premier ministre Justin Trudeau souligne que les promesses du chef de l’opposition Pierre Poilievre de supprimer la tarification du carbone surviennent alors que le pays est aux prises avec des incendies de forêt et autres catastrophes et affirme que M. Poilievre « regarderait le pays brûler » plutôt que de poursuivre la lutte contre la crise climatique.

Publié hier à 19h38
Environnement

La Floride critiquée pour effacer les références au changement climatique

(Miami) La Maison-Blanche et des élus démocrates ont vivement critiqué jeudi une nouvelle loi en Floride, promulguée la veille par son gouverneur républicain Ron DeSantis, qui retire les références au changement climatique des textes officiels de l’État.

Publié hier à 18h47
Justice et faits divers

Incitation à la haine contre les Juifs Le DPCP ne poursuivra pas Adil Charkaoui

L’imam controversé Adil Charkaoui ne sera pas accusé d’incitation à la haine. Le Directeur des poursuites criminelles et pénales (DPCP) a déterminé que la preuve déposée par la Gendarmerie royale du Canada (GRC) était insuffisante.

Mis à jour hier à 18h08
Santé

Fin du recours aux agences Une « équipe volante publique » sera dépêchée en région

(Québec) Québec et les syndicats créent une « équipe volante publique » d’infirmières et de préposés aux bénéficiaires qui iront prêter main-forte d’abord sur la Côte-Nord et en Abitibi-Témiscamingue, où la fin du recours aux agences provoque des réductions de services.

Mis à jour hier à 18h07
Politique

Scandale ArriveCAN L’ancien président de l’ASFC ignore qui a choisi GC Strategies

(Ottawa) L’ancien président de l’Agence des services frontaliers du Canada (ASFC) ignore qui a choisi d’accorder des contrats à GC Strategies pour le développement de l’application ArriveCAN. John Ossowski s’est également défendu jeudi de s’être placé en conflit d’intérêts. Il a été payé 500 $ par le gouvernement pour préparer son dernier témoignage en comité parlementaire alors qu’il travaille pour la firme PricewaterhouseCoopers.

Publié hier à 17h33
Politique

Droits des femmes Justin Trudeau dénonce les positions des conservateurs du Nouveau-Brunswick

(Caraquet) Le premier ministre Justin Trudeau a attaqué jeudi le premier ministre du Nouveau-Brunswick et d’autres dirigeants conservateurs du pays, dénonçant la position du gouvernement provincial sur l’avortement, les jeunes des communautés LGBTQ et le changement climatique.

Publié hier à 17h15
00:29

Insolite

Le premier repas des fauconneaux de l’UdM

Deux premiers fauconneaux ont émergé de leur coquille jeudi à l’Université de Montréal, dans le cadre de la meilleure téléréalité en ville.

Publié hier à 17h09
Justice et faits divers

Communauté du triangle évolutif Fraude pyramidale de 100 000 $ : condamnée à 15 mois de prison à domicile

(Saint-Hyacinthe) La fraude pyramidale refuse de mourir. Elle prolifère toujours sous forme de « cercle de dons » ou de « triangle évolutif ». Une figure de proue d’une telle communauté de 2000 membres a été condamnée jeudi à 15 mois de prison à domicile pour avoir empoché plus de 100 000 $ sur le dos de victimes naïves.

Publié hier à 16h36
Actualités

Israël et le Hamas en guerre Le Canada sanctionne quatre colons israéliens « extrémistes » en Cisjordanie

(Ottawa) La ministre des Affaires étrangères, Mélanie Joly, a annoncé jeudi, trois mois après s’être engagée à le faire, que le Canada imposait des sanctions à des colons israéliens « extrémistes » en Cisjordanie qui commettent des actes de violence à l’encontre de civils dans ce territoire palestinien occupé par Israël.

Mis à jour hier à 16h27