Cyberattaque à la Banque Nationale: des pirates font du chantage sur Telegram avec des données clients

Une bande de pirates a pénétré les serveurs de la Banque Nationale et menace de divulguer les informations des clients dans un jeu macabre où la publication des données dépend du nombre de «j’aime» reçus sur Telegram. 

La banque a affirmé au Journal qu’«aucune donnée client n’a été compromise», mais a aussi mandaté une firme externe de cybersécurité pour confirmer l’étendue des dégâts.

Le contenu des données dérobées n’est pas connu. Les pirates de «Scattered LAPSUS$ Hunters» n’ont publié aucun aperçu des informations bancaires prétendument volées, exhibant plutôt des captures d’écran de systèmes Oracle et Citrix compromis sur la plateforme du média social Telegram.

Cette bande de pirates a pris son envol le mois dernier grâce à la fusion de trois organisations cybercriminelles: Scattered Spider, ShinyHunters et LAPSUS$, combinant l’expertise technique des premiers avec la notoriété du dernier.

«Ce n’est pas un bluff», pense Stéphane Auger, expert en cybersécurité chez Équipe Microfix.

Cibles prestigieuses

Des attaques contre Marriott Hotels (216 GB de données, incluant les transactions bancaires), L’Oréal, Banco Santander (30 millions de clients) et plusieurs ministères gouvernementaux ont été revendiquées depuis 30 jours.

«C’est un groupe sérieux», observe le spécialiste Auger.

Ce modus operandi d’extorsion publique effraie Nandakishore Harikumar, fondateur de la plateforme de renseignement FalconFeeds qui est responsable d’une enquête détaillée sur le groupe publiée le 12 août.

• Écoutez aussi cet épisode balado tiré de l'émission de Francis Gosselin, diffusée sur les plateformes QUB et simultanément sur le 99.5 FM Montréal :

Le groupe «a fait de multiples revendications alarmantes visant des entreprises et des institutions critiques», écrit l’entrepreneur en cybersécurité, ce qui crée un chaos où chaque cyberattaque est un spectacle.

Le patron de FalconFeeds suit les activités du groupe depuis ses débuts et note que leur sophistication dans la mise en scène de preuves peut forcer des réponses d’incident coûteuses, même sans compromission technique réelle.

Vérité ou bluff

«Ce qui est crucial pour la Banque Nationale, c’est de savoir à quel point c’est vrai», valide Stéphane Auger.

La banque n’a pas précisé au Journal si elle avait informé ses clients potentiellement affectés, invoquant les «meilleures pratiques en matière de cybersécurité» pour justifier le manque de détails techniques sur l’incident.

«Si requis, nous collaborons toujours avec les autorités compétentes», précise le porte-parole Merick Séguin, sans confirmer si la Commission d’accès à l’information du Québec (CAI) a été saisie.

• Écoutez aussi cet épisode balado tiré de l'émission de Benoit Dutrizac, diffusée sur les plateformes QUB et simultanément sur le 99.5 FM Montréal :

La loi 25 oblige les entreprises à signaler à la CAI toute atteinte aux renseignements personnels «dès que possible», une exigence que l’organisme peine parfois à faire respecter malgré des amendes pouvant atteindre 25 millions de dollars.

La CAI, déjà débordée par les signalements, a récemment admis que les délais de traitement s’étirent sur plusieurs mois.

Scattered LAPSUS$ Hunters prétend détenir plus que de simples captures d’écran: le groupe aurait obtenu un accès «shell» aux bases de données Oracle de la banque, soit une connexion à distance similaire à celle d’un administrateur système.

Pourquoi Telegram?

Telegram offre des avantages tactiques que d’autres plateformes ne procurent pas. Les messages s’autodétruisent en 24 heures, ce qui complique la collecte de preuves. La plateforme a permis à Scattered LAPSUS$ Hunters d’atteindre 7100 abonnés en 72 heures avec sa publication Banque Nationale. Quand un canal est fermé, les pirates en créent d’autres et migrent vers des groupes privés payants avec les «Telegram Stars», une cryptomonnaie intégrée. Cette devise numérique permet des transactions anonymes pour l’achat de données volées. Le risque de dommages réputationnels force les entreprises à réagir même aux revendications non vérifiées.