Des renseignements médicaux sur des membres de la GRC, des recrues de la SQ et des employés de HEC Montréal font partie des données piratées au Groupe Santé Medisys inc., une filiale de Telus.
« Les membres de la Gendarmerie royale du Canada [GRC] qui sont affectés ont été notifiés par Medisys », dit Caroline Duval, porte-parole de la police fédérale, qui a ouvert une enquête sur la cyberattaque.
Elle dit ne pas pouvoir préciser combien d’employés ont vu leurs données personnelles compromises et à quel service ils appartiennent « pour des raisons de confidentialité ».
Un registre fédéral indique toutefois que Medisys a remporté un contrat de 435 000 $ pour fournir des services médicaux et psychologiques aux membres des Services spéciaux fédéraux et internationaux.
Cette division de la GRC envoie des agents à l’étranger lors de missions de paix internationales de police. Medisys est tenu de leur fournir ses services à Montréal, Québec, Ottawa, Toronto, Edmonton et Vancouver.
Des membres de la Sûreté du Québec (SQ) font également partie des victimes du piratage. Le corps de police fait affaire avec Medisys pour « les examens préembauche », précise le porte-parole Hugo Fournier.
L’attaque touche aussi 130 employés de HEC Montréal, à qui la firme fournit un service de bilan de santé annuel.
« L’enquête a révélé qu’une copie de certains de vos renseignements personnels sur la santé a été extraite de nos serveurs entre le 26 et le 30 août 2020 », mentionne la lettre qu’a reçue un cadre de l’école de gestion.
Un risque faible ?
L’entreprise a annoncé mercredi dernier avoir payé une rançon pour récupérer les données personnelles et médicales de 60 000 de ses clients.
« Selon les experts en cybersécurité, le risque de divulgation dans ces circonstances est faible », selon son communiqué.
Mais les spécialistes sont sceptiques.
« Je ne vois pas comment ils peuvent confirmer que l’information n’est plus entre les mains des voleurs. Des copies, c’est simple à effectuer », dit Patrick Mathieu, cofondateur du Hackfest.
Des renseignements médicaux ou psychologiques seraient « alléchants pour des bandits », ajoute Steve Waterhouse, ex-officier de sécurité informatique à la Défense nationale.
Des informations sensibles pourraient servir à faire pression sur des enquêteurs, illustre-t-il.
« Il va falloir que les policiers fassent un peu plus de surveillance pour les protéger. »
Sarah Daoust-Braun