TransUnion Canada
affirme que les renseignements personnels d’environ 37 000 Canadiens ont
peut-être été compromis entre juin et juillet.
L’agence
de surveillance du crédit explique que l’accès aux données résultait de
l’utilisation frauduleuse des authentifiants de connexion en ligne d’un
de ses clients d’affaires.
TransUnion
précise avoir averti les personnes dont les informations ont pu être
consultées, ainsi que les commissaires à la protection de la vie privée. PAS DE CYBERATTAQUE
Même
si l’enquête est en cours, TransUnion soutient que l’accès non autorisé
n’est pas le résultat d’une intrusion ou d’une défaillance de ses
systèmes ou de ceux de ses clients. Le type d’informations personnelles
touchées n’a pas été révélé.
L’incident fait suite à de nombreuses atteintes à la sécurité des données ces dernières années, notamment à une violation de grande envergure chez Equifax,
une agence de surveillance du crédit rivale, où de l’information sur
143 millions de clients dans le monde avait été compromise.
Les
fraudeurs peuvent dormir tranquilles. Une enquête de Radio-Canada
révèle qu'il est encore possible et facile de commander des cartes de
crédit à l'insu des membres de Desjardins, même s'ils sont inscrits au
service d'Equifax.
« C'est
un petit peu épeurant, dit Maude Moreau-Bélanger après avoir participé à
un test organisé par Radio-Canada. Je suis très déçue. »
Pour notre enquête, nous avons fait appel à des volontaires. Ils devaient être des membres de Desjardins, victimes du vol de données et inscrits au service d'Equifax.
Chacun a fait une demande de carte de crédit à son nom
sur le site web d'une banque et a attendu de voir si l'outil de
surveillance de crédit allait les alerter.
Résultat : sur cinq personnes, une seule a reçu une alerte d'Equifax (une demande de carte à la BMO Banque de Montréal).
La carte de crédit que j'ai reçue m'alloue quand même un gros montant. Je réalise que n'importe qui aurait pu la remplir.
Maude Moreau-Bélanger
Photo : Radio-Canada
Maude
Moreau-Bélanger s'était inscrite à Equifax le 9 juillet. Elle a reçu sa
carte de crédit Visa Banque Royale par la poste le 25 juillet sans
jamais recevoir d'alerte.
Sur son site web, Equifax mentionne
pourtant que ses clients seront alertés pour toute interrogation de
nouvelle carte, toute tentative d'ouverture d'un nouveau compte, tout
changement aux comptes existants ou encore tout changement de nom ou
d'adresse.
Un autre de nos volontaires, Mathieu Legault, s'est
rendu compte que le service d'Equifax ne suffisait pas pour se prémunir
contre la fraude.
Il s'est inscrit à l'outil de surveillance de crédit
offert par Desjardins le 3 juillet. Le 28 du même mois, il a commandé en
ligne une carte de crédit American Express Mariott Bonvoy, qu'il a
reçue par la poste trois jours plus tard. Et il n'a pas été alerté par
Equifax.
Mathieu Legault
Photo : Radio-Canada
Je me pose des questions sérieuses. C'est quoi le service que Desjardins m'offre et en quoi ça me protège?
Après trois jours de sollicitations, Equifax n'a pas encore répondu à nos questions.
La couverture offerte par Desjardins est incomplète
Le président du Bureau canadien du crédit Sylvain Paquette
Photo : Radio-Canada
La
clé pour comprendre les failles dans la protection offerte aux membres
de Desjardins, c'est l'existence d'un autre service de surveillance de
crédit : TransUnion.
« Toutes les banques font affaire avec les deux, explique
le président du Bureau canadien du crédit, mais certaines vont
privilégier TransUnion pour prendre leur décision de crédit. C'est ce
qui explique pourquoi des clients vont faire des demandes de cartes de
crédit et ne recevront pas d'alerte d'Equifax. »
Les banques vont souvent
préférer TransUnion parce que l'information qu'elle détient remonte
jusqu'à 1990, donc ça permet d'aller fouiller plus loin dans le passé du
client et de donner une meilleure décision de crédit.
Le Bureau canadien du crédit constate que, ces derniers
temps, les fraudeurs passent en priorité par des cartes de crédit
faisant affaire avec TransUnion ou des firmes en ligne qui font des
prêts de quelques centaines de dollars sans enquête de crédit.
Desjardins toujours en négociation avec TransUnion
Capture d'écran du site web de TransUnion
Photo : TransUnion
Desjardins
affirme qu'Equifax couvre 70 % du marché canadien. Pour une protection
complète, les 2,9 millions de ses membres victimes du vol de données
devraient donc aussi bénéficier du service de TransUnion. C'est
d'ailleurs ce qu'avait promis le PDG de Desjardins, le 3 juillet, sans donner de nouvelles depuis.
TransUnion n'a pas souhaité faire de commentaire et nous a
dirigés vers Desjardins. Cette dernière n'a pas voulu accorder
d'entrevue. « Nous sommes toujours en discussion avec TransUnion », a
écrit dans un courriel la porte-parole Chantal Corbeil.
En attendant, Desjardins mentionne que ses membres
peuvent déjà consulter leur dossier de crédit TransUnion par
l'intermédiaire de l'application « Ma cote de crédit », accessible par
AccèsD.
Le service, qui n'est pas facile à trouver, n'envoie pas d'alerte aux membres.
En date du 6 août, 728 832 membres de Desjardins
s'étaient inscrits au service d’Equifax, ce qui représente 27 % des
personnes concernées par la fuite de renseignements personnels.
La société de crédit américaine Equifax, qui offre le service de
protection aux membres du Mouvement Desjardins victimes de la fuite de
données, a été piratée en 2017.
Depuis, des actions collectives ont été autorisées par différents tribunaux, entre autres au Canada.
L’acte de piratage avait touché des millions de données
personnelles. Des noms, des adresses, des numéros de carte de crédit et
des numéros d’assurance sociale avaient été dérobés. Equifax affirmait
alors que les malfaiteurs avaient accédé à ses systèmes informatiques
par une application.
En mars dernier, on peut lire dans des articles de médias que la
Cour suprême du Canada avait refusé d’entendre l’appel d’Equifax, qui
souhaitait bloquer l’action collective du Montréalais Daniel Li. La
compagnie demandait alors que le dossier soit mis sur la glace le temps
qu’un jugement tombe ailleurs au pays.
La demande d’action collective déposée en Ontario en 2017 réclamait 550 millions $ en dommages pour les Canadiens.
Amende
Au cours des dernières années, de nombreuses poursuites, notamment
au Canada, en Grande-Bretagne et aux États-Unis, ont été déposées
contre l’entreprise spécialisée dans la protection d’identité et
l’évaluation de la cote de crédit.
En Grande-Bretagne, l’Information Commissioner’s Office (ICO) a
condamné Equifax à une amende de 500 000 livres (841 000 $ CAN)
concernant ce dossier.
Seulement au pays de l’Oncle Sam, ce sont 143 millions de
personnes qui auraient été touchées. Du côté d’Equifax Canada, on
chiffrait à 19 000 le nombre de victimes.
En 2017, le président directeur général, Richard Smith, avait
remis sa démission dans la foulée de ce scandale lié au piratage
informatique.
