Un dispensaire en ligne a été piraté par un hackeur qui exige 1000 $ en bitcoins

Un dispensaire de cannabis basé en Alberta a été piraté par une personne qui a menacé de rendre publiques les photos de pièces d’identité des clients si on ne lui versait pas 1000 $ en bitcoins.

JJ Meds vend du cannabis par la poste à quiconque est âgé de 19 ans ou plus par l’entremise de son site web. L’un des propriétaires du dispensaire, Jay, a dit à VICE que l’entreprise a reçu le 4 mars à environ 10 heures un courriel de herbapproach@protonmail.com disant : « J’ai trouvé une faille de sécurité critique dans votre site (jjmeds.com) qui permet à un utilisateur de maintenir la page hors ligne à distance. C’est un problème très sérieux qui aura certainement des conséquences sur vos ventes si quelqu’un décide de l’exploiter. » L’auteur termine en demandant une réponse. N’en ayant pas reçu une immédiatement, il a envoyé un deuxième courriel. Cette fois, il annonçait que les photos de pièces d’identité des clients de JJ Meds seraient affichées sur internet s’il ne recevait pas 1000 $ en bitcoins dans les 48 heures suivantes.

Le courriel, que VICE a pu lire, avait pour objet : « Faille de sécurité critique — LISEZ MAINTENANT JJMEDS! »

Il disait : « J’ai accès à chaque image téléversée sur jjmeds.com. Envoyez-nous 1000 $ en bitcoins dans les 48 prochaines heures, sinon nous rendrons publiques les pièces d’identité de tous vos clients sur Reddit/presque tout internet, y compris la GRC. »

Le courriel contenait aussi un lien vers des captures d’écran de pièces d’identité de clients que le hackeur avait obtenues.

« Vous avez trahi la confiance de vos clients pendant très longtemps en ne supprimant pas ces données, poursuivait le hackeur. Je vous conseille de payer, autrement vos clients ne vous feront plus jamais confiance. Pensez à votre avenir et prenez la bonne décision. Je m’attends à recevoir de vos nouvelles très bientôt. »

Mais, avant que les 48 heures se soient écoulées, le hackeur avait créé un fil Reddit disant : « JJMEDS VEND VOS PIÈCES D’IDENTITÉ SUR LE MARCHÉ DU WEB PROFOND », accompagné de liens vers des captures d’écran de pièces d’identité d’une quinzaine de clients, et a publié dans un groupe sur Discord, une app de discussion utilisée par les gameurs.

« Cette personne affirme qu’il a travaillé pour nous, que nous lui devons 5000 $, qu’il rendra publique toute l’information s’il n’obtient pas les 5000 $ », a dit à VICE Jay. La personne dit aussi avoir 16 ans.

Jay, qui ne veut pas que son nom de famille soit mentionné parce qu’il dirige un dispensaire illégal, dit que c’est un « mensonge éhonté » et que tous les employés ont commencé à travailler pour JJ Meds l’an passé et n’ont pas quitté leur emploi. De plus, jamais aucun mineur n’a travaillé pour l’entreprise. Et même s’il avait voulu payer la rançon, il n’aurait pas pu : « Je ne sais pas comment ça marche, les bitcoins », admet-il.

Il ajoute que JJ Meds a aussitôt fermé son site web et supprimé définitivement toutes les photos de pièce d’identité. Il a aussi embauché un expert en sécurité pour éliminer le logiciel malveillant de son site et travaille à déplacer son site sur un serveur plus sécuritaire. Selon l’expert, des codes malveillants ont été ajoutés au site permettant de pirater des plug-ins et d’accéder aux répertoires verrouillés.

Il croit que la ou les personnes derrière ce piratage ont des motifs personnels. « Pour 1000 $, quelque chose cloche. On dirait que c’est quelqu’un qui est en colère contre nous. »

Jay explique que JJ Meds demande une pièce d’identité à titre de protection contre les arnaqueurs qui pourraient faire des commandes et ensuite les contester, et à cause des conséquences juridiques d’avoir vendu du cannabis à un mineur. En vertu du projet de loi légalisant le cannabis, une personne reconnue coupable d’avoir vendu du cannabis à un mineur s’expose à jusqu’à 14 ans de prison.

« Les pièces d’identité sont une forme de preuve qu’on a pris une mesure raisonnable pour éviter de vendre à un mineur. On ne garde aucune copie des pièces d’identité dans nos ordinateurs ou dans le nuage », assure Jay.

Il dit aussi que les derniers jours ont été « très durs ».

« Je n’ai pas réussi à vraiment dormir », dit-il. Il fait remarquer que son entreprise ne fait pas des tonnes d’argent, contrairement à certains dispensaires, en partie parce que ses prix sont bas. JJ Meds vend une once de cannabis 99 $, ce qui est beaucoup en dessous de la fourchette de prix habituels, avec un minimum de 150 $. Il dit qu’il faudrait de la chance pour que l’entreprise franchisse le seuil de 100 000 $ en profits, que se partagent trois copropriétaires et le personnel.

« On ne sait pas si on peut continuer de cette façon parce que, soudainement, on nous a ouvert les yeux d’une façon très brutale. »

Suivez Manisha Krishnan sur Twitter.