Mouvement Desjardins: un autre employé remercié après avoir consulté des donnée
Jean-Michel Genois Gagnon
MISE À JOUR
Le Mouvement Desjardins a de nouveau congédié, ces derniers
mois, un employé ayant consulté des renseignements personnels de «plus
de 1000 clients» sans véritable motif dans le cadre de son travail.
Cette nouvelle, qui a été rapportée au micro de Paul Arcand (98,5), mardi matin, a été confirmée au Journal par la direction de l’institution financière.
Aujourd’hui, Desjardins dit avoir complété son enquête. La
direction refuse toutefois de dévoiler le nom de cette personne, son
poste ainsi que son lieu de travail. Une plainte a été déposée aux
policiers.
Cet ex-employé aurait consulté des dossiers entre 2019 et 2021.
Tous les membres visés auraient reçu une lettre pour les avertir de la
situation.
Desjardins assure que ce travailleur détenait les autorisations
nécessaires pour consulter ce type de dossiers. On retrouvait, dans les
documents des membres visés, des dates de naissance et des coordonnées.
«Cette personne avait accès à ces données. [...] Elle pouvait les
utiliser dans le cadre de son travail, mais elle n’en avait pas besoin.
Cela contrevient à notre politique», a indiqué au Journal la
porte-parole, Chantal Corbeil, ajoutant que l’ex-employé en question a
consulté «un par un», durant ces deux années, ces dossiers et qu’il
«prenait des notes».
Aucun lien avec 2019
L’institution financière de Lévis n’a pas voulu dire depuis combien
de temps cette personne n’est plus dans l’organisation. C’est dans le
cadre du resserrement des mesures de sécurité, depuis le vol de données
de millions de membres en 2019, que Desjardins a découvert cette
pratique.
La direction affirme qu’il n’y a aucun lien entre les deux
événements. Elle n’est toutefois pas en mesure d’expliquer ce qui a
motivé cette personne à regarder ces dossiers. Il n’est pas possible de
savoir, pour le moment, si certaines données sont sorties des murs de
l’institution financière.
«C’est la police qui va faire son enquête», a répondu Mme
Corbeil. «Notre enquête a dévoilé qu’elle avait légitimement accès à
ces données, mais qu’elle ne devait pas les consulter, car elle n’avait
pas reçu de demande», a-t-elle ajouté, précisant qu’il n’y a aucun autre
suspect.
Desjardins a refusé de dire le nombre exact de personnes qui sont touchées par cette nouvelle brèche
Vol légal de données : Cette entreprise achète vos données au lieu de les collecter discrètement
par
Romain "Nemrod" Vandevelde, le
Si de nombreuses compagnies font tout leur possible pour récupérer le
maximum de données possibles des utilisateurs, SavvyShares joue la
transparence et vous propose de les acheter.
Le monde se veut de plus en plus connecté et de nombreux scandales de vols de données éclatent régulièrement. Bien évidemment, les entreprises qui fournissent des services gratuits doivent trouver des financements.
Si certaines font le choix de la publicité, qui s’avère envahissante,
d’autres revendent simplement les données collectées de leurs
utilisateurs. Un moyen simple et discret de proposer un contenu gratuit.
Face au manque d’information dans ce domaine et surtout la méconnaissance des utilisateurs, des entreprises comme Apple et sa nouvelle politique ATT mettent les pieds dans le plat et proposent de mettre l’accent sur l’information aux utilisateurs. Si cela déplait fortement à Google, Facebook et consorts, le but de cette politique n’est pas de limiter les données transmises, mais de vous informer de ce que vous transmettez.
D’un autre côté, SavvyShares pousse le concept plus loin. À défaut de limiter la fuite des données, l’entreprise propose directement de les acheter
en garantissant une utilisation sécurisée et en toute transparence sous
couvert de la California Consumer Privacy Act et de la General Data
Privacy Regulation, un organisme européen.
Un panel 2.0
SavvyShares fonctionne à la base comme n’importe quel panel d’utilisateurs existant. Le but d’un panel est d’étudier vos habitudes de consommation et en échange de votre temps, vous obtenez une forme de paiement.
Traditionnellement, les points collectés s’échangent dans un catalogue
qui contient divers articles et parfois même des chèques cadeaux qui
peuvent être utilisés librement.
Dans un panel consommateur, l’usager répond à des enquêtes et des
questionnaires pour cumuler des points. Si cet élément est quasi
constant, de nombreux panels cherchent à diversifier leurs sources de
données. L’un des plus gros panels en France s’appelle Nielsen et
propose à ses utilisateurs de scanner l’ensemble des courses effectuées
pour ensuite générer des statistiques utiles aux entreprises. Si
cela peut paraître contraignant, cette manipulation peut rapporter
plusieurs centaines d’euros de chèques cadeaux sur une année.
De son côté, Savvyshare propose une autre méthode simple et transparente pour l’utilisateur. Il s’agit d’une application qui tourne en fond sur votre smartphone et qui récupère votre activité en ligne.
L’entreprise a donc accès à votre historique de recherche, les sites
visités et le temps que vous y passez. À savoir qu’une extension pour
les navigateurs Chrome, Edge et Firefox
est aussi disponible. Il est important de noter que vous avez le
contrôle sur le partage de vos informations au travers des applications
tierces telles que les réseaux sociaux. Aucune donnée n’est collectée sans votre accord préalable.
La société vous propose donc de devenir acteur de la fuite de vos données au lieu d’être simplement victime de celle-ci.
Le gendarme financier britannique victime d'une fuite de données
Technologie : Le gendarme
financier britannique a été victime d'une fuite de données.
1 600 citoyens ont vu des données personnelles rendues publiques.
Par
Charlie Osborne
|
Modifié le
Libellés
vol d'identité, vol de donnés, hackers,
La Financial Conduct Authority (FCA), le gendarme financier
britannique, a admis ce mardi avoir laissé fuité des données contenant
des informations confidentielles appartenant à environ 1 600 citoyens
britanniques. L'organisme de surveillance financière a déclaré que
l'exposition des informations s'était produite à la suite de la
publication de données en réponse à une demande de la loi sur la liberté
d'information britannique.
Les demandes concernant cette loi peuvent être effectuées
outre-Manche pour des dossiers détenus par les autorités publiques. La
demande au cœur de la fuite de données a été faite entre le
2 janvier 2018 et le 17 juillet 2019. Lorsque ces dossiers ont été
publiés et mis à disposition sur le site web de la FCA sous la forme
d'un document, les informations confidentielles des plaignants, au
nombre d'environ 1 600 pendant cette période, ont également été rendues
publiques.
« Certaines informations confidentielles sous-jacentes peuvent avoir
été accessibles », indique l'Autorité, qui reconnaît que « la
publication de ces informations était une erreur ». Les noms, les
descriptions des plaintes, les adresses, les numéros de téléphone et
d'autres informations ont été rendues publiques, totalement ou en
partie. Aucune information financière, aucun passeport ou autre document
d'identité n'a en revanche fait l'objet de fuite, comme l'a indiqué
l'Autorité.
publicité
La FCA présente ses excuses
Celle-ci a expliqué avoir désormais retiré les dossiers et est en
train de contacter directement les victimes de ces fuites pour leur
présenter ses excuses. Le bureau du commissaire à l'information du
Royaume-Uni (ICO) a été informé de l'incident, dans lequel la faute de
fonctionnaires de l'autorité de contrôle peut être soulevée. D'autant
plus que l'autorité de contrôle avait précédemment infligé une amende de
16,4 millions de livres sterling à la chaîne de supermarchés
britannique Tesco pour laxisme des normes de sécurité à la suite d'une
cyberattaque contre les clients.
Pour rappel, l'OIC est chargée de mener des enquêtes sur les plaintes
portant sur le RGPD et d'infliger des amendes. Plus de
160 000 notifications de violation de données lui ont été transmises au
cours des 18 derniers mois. « Nous avons pris des mesures immédiates
pour que cela ne se reproduise plus », a déclaré la FCA.
« Nous avons entrepris un examen complet afin de déterminer l'étendue
des informations qui auraient pu être accessibles. Notre principale
préoccupation est d'assurer la protection et la sauvegarde des personnes
qui peuvent être identifiées à partir de ces données », a également
fait savoir l'Autorité.
Les détails de 10,6 millions de clients des hôtels MGM publiés en ligne
Sécurité : Ce qui se passe à
Vegas ne reste pas toujours à Vegas. MGM Resorts confirme qu'un
incident de sécurité a eu lieu l'été dernier et a informé les clients
touchés l'année dernière. Mais les données ont été publiées en ligne.
vol identité, vol de donnés, hackers Chintock, hackers, faille,
Les détails personnels de plus de 10,6 millions d'utilisateurs qui ont
séjourné dans les hôtels MGM Resorts ont été publiés sur un forum de
piratage cette semaine.
Outre les détails concernants les touristes et les voyageurs réguliers,
les fichiers divulgués contiennent également des informations
personnelles et de contact pour des célébrités, des PDG de du monde de
la technologie, des journalistes, des représentants du gouvernement et
des employés de certaines des plus grandes sociétés de technologie au
monde.
ZDNet a vérifié l'authenticité des données aujourd'hui, en collaboration avec le chercheur en sécurité à l’origine de Under the Breach, un service de surveillance des fuites de données qui sera bientôt lancé.
Un porte-parole de MGM Resorts a confirmé l'incident par e-mail.
publicité
Les données exposées
Selon
notre analyse, la fuite de données MGM qui a été partagé aujourd'hui
contient des informations personnelles concernant 10 683 188 anciens
clients de l'hôtel.
Les fichiers divulgués contiennent des détails tels que les noms
complets, les adresses personnelles, les numéros de téléphone, les
e-mails et les dates de naissance.
ZDNet
a contacté les anciens clients et a confirmé leur séjour à l'hôtel,
ainsi que leurs dates de passage et l'exactitude des données incluses
dans les fichiers divulgués.
Nous avons obtenu la confirmation des de voyageurs, de
journalistes assistant aux conférences techniques, de PDG assistant aux
réunions d'affaires et de représentants du gouvernement se rendant dans
les succursales de Las Vegas.
MGM Resorts déclare avoir informé ses clients l'année dernière
Une fois les données verifiées, ZDNet a également contacté MGM Resorts.
Une heure après avoir contacté l'entreprise, nous étions en
conférence téléphonique avec l'équipe de sécurité de la chaîne
hôtelière. En quelques heures, l'équipe de MGM Resorts a pu vérifier les
données et les faire remonter à un incident de sécurité passé.
Un porte-parole de MGM a déclaré à ZDNet que les données
partagées en ligne cette semaine provenaient d'un incident de sécurité
survenu l'année dernière.
"L'été dernier, nous avons découvert un accès non autorisé à un serveur
cloud qui contenait une quantité limitée d'informations de anciens
clients de MGM Resorts", a déclaré MGM à ZDNet.
"Nous sommes convaincus qu'aucune donnée financière, de carte de
paiement ou de mot de passe n'a été divulguée dans cette affaire."
La chaîne hôtelière a déclaré avoir informé rapidement tous les clients
de l'hôtel concernés conformément aux lois applicables de l'État.
Bien que nous n'ayons pas été en mesure de retrouver personnellement l'une de ces notifications, certains utilisateurs semblent avoir indiqué en ligne en avoir recue une en août de l'année dernière.
De plus, MGM Resorts nous a dit avoir retenu deux cabinets de
cybersécurité pour mener une enquête interne sur l'exposition des
serveurs l'année dernière.
"Chez MGM Resorts, nous prenons très au sérieux notre responsabilité de
protéger les données des clients, et nous avons renforcé et amélioré la
sécurité de notre réseau pour éviter que cela ne se reproduise", a
déclaré la société.
Un danger potentiel de SIM swapping et de spear-phishing
Cependant, alors que l'incident de sécurité de MGM etait passé sous le
radar l'année dernière, la publication de ce fichier de données sur un
forum de piratage très populaire cette semaine l'a portée à l'attention
de nombreux pirates.
Under the breach, la société qui a repéré cette fuite et informé
la presse, a souligné la nature très sensible de cette fuite de données.
Les données divulguées sont un trésor comprenant les coordonnées
de nombreux utilisateurs de haut niveau, travaillant pour de grandes
entreprises technologiques et des gouvernements du monde entier. Ces
utilisateurs risquent désormais de recevoir des e-mails de spear
phishing et d’être visés par des attaques de Sim Swapping, a déclaré
Under the Breach à ZDNet.
Le PDG de Twitter, Jack Dorsey, la pop star Justin Bieber, et les
responsables du DHS et de la TSA sont quelques-uns des grands noms de
Under the Breach repérés dans les fichiers divulgués.
MGM Resorts a déclaré à ZDNet que les données étaient anciennes.
Nous pouvons confirmer cette déclaration, car parmi tous les clients de
l'hôtel que nous avons appelés aujourd'hui, aucun n'est resté à l'hôtel
après 2017. Certains des numéros de téléphone que nous avons appelés ont
été déconnectés, mais beaucoup étaient également valides et la bonne
personne a répondu au téléphone.
La taille et la gravité de cet incident de sécurité de MGM
Resorts reste dérisoires par rapport à la fuite massive de données qui a touché les hôtels Marriott en 2017,
lorsque les détails de centaines de millions d'utilisateurs ont été
volés par des pirates informatiques soutenus par l'État chinois.
CyberVols, image, reconnaissance faciale, vol d'identité, vol de donnés,
Le New York Times s'est intéressé au cas inquiétant de
Clearview AI, une startup qui a créé un
outil de reconnaissance
faciale... à partir de millions d'images trouvées sur le web.
L'application, sortie
des pires scénarios de science-fiction, convainc
les utilisateurs, mais s'affranchit de plusieurs barrières légales.
Peut-elle s'installer dans les usages, alors qu'elle se confronte aux
lois américaines et au règlement européen sur les données en Europe ?
La fin justifie-t-elle les moyens ? Pour plus de 600
autorités publiques, des petites polices locales jusqu’au FBI, la
réponse est oui. Elles sont états-uniennes, canadiennes ou encore
indiennes et utilisent l’application de reconnaissance faciale de
Clearview AI, sur laquelle le New York Times
a enquêté. Créée en 2016, cette entreprise a constitué une base de
données de milliards d’images, en aspirant les données de Facebook,
Twitter ou encore YouTube. Sans aucune considération pour la
loi.
Grâce à une technologie développée en interne, elle relie ensuite les
images similaires entre elles
pour former des albums photos de
personnes aléatoires. Chaque image est reliée à sa source (Facebook, par
exemple). Un utilisateur de l’application peut donc retrouver
l’identité d’une personne, voire son adresse, s’il dispose d’une seule
photo qu’il a lui-même prise. Clearview
dispose ainsi d’une sorte de
Google Image surpuissant, qu’elle a nommé Smartcheckr. Elle le
commercialise uniquement aux « forces de l’ordre » pour l’instant, mais n’exclut pas de le rendre accessible au public. Pour l’instant, la technologie de Clearview n’est accessible qu’aux forces de l’ordre. // Source : Capture d’écran du site de Clearview
La meilleure technologie pour retrouver un criminel ?
Clearview dispose d’un avantage concurrentiel exceptionnel : son
application peut, en théorie, identifier une personne même si elle porte
un chapeau ou des lunettes, quel que soit l’angle de la
prise de vue. À
l’heure actuelle, les logiciels autorisés aux États-Unis, en Inde ou au
Canada ne contiennent que des photos officielles, c’est-à-dire des
photos au format portrait, de face, prises
pour créer des papiers
d’identité ou de lors d’arrestations. Comme tout service par abonnement,
Clearview propose une offre d’essai de 30 jours, pour convaincre ses
utilisateurs de la supériorité
de sa technologie.
« La technologie pour résoudre les crimes les plus compliqués », lit-on sur le site de Clearview AI.
La startup, qui compile aussi des images de personnes sans casier
judiciaire, permet de retrouver des criminels en tout genre : du voleur
de magasin filmé par un passant à un meurtrier filmé par une caméra de
surveillance, en passant par un fraudeur bancaire trop peu prudent. Le Times
relaie de nombreux témoignages d’utilisateurs plus que satisfaits de
l’efficacité de la technologie, dont l’utilisation a commencé sans
consultation du public.
Pourtant, le débat autour de la reconnaissance faciale émerge aux États-Unis comme en France, et laisse déjà entrevoir de fortes oppositions. Il en est de même dans de nombreux pays, à part quelques exceptions, comme la Chine, où le gouvernement se sert de la technologie pour imposer une surveillance d’État.
Pour éviter de se retrouver au centre de l’attention, Clearview a
donc opéré sous le radar : son site, très pauvre en information, n’a été
réellement lancé que début 2020, alors que son business était
déjà bien
installé.
L’aspiration illégale de données au centre de la technologie
L’entreprise construit ses bases de données à partir d’une technique bien connue, et très facile à mettre en œuvre : le web-scraping.
Le principe est simple : un logiciel aspire de façon automatique
le
contenu des pages web. Dans le cas de Smartcheckr, toutes les images
accessibles librement y passent. Profils et photos publics sur Facebook,
Instagram, LinkedIn, les sites de vos clubs de sport ou encore de votre
employeur sont autant de sources d’images pour l’application. Même si
ces sites écrivent de façon explicite dans leurs conditions générales
d’utilisation (CGU) qu’ils interdisent
cette pratique. Résultat,
alimenter constamment la base de donnée ne coûte presque rien à
Clearview, puisqu’elle se sert librement. Ces économies lui permettent
de proposer un prix d’abonnement
annuel à son service compris entre 2
000 et 10 000 dollars par an, une bouchée de pain pour sa cible de
clientèle.
Pour construire son outil, Clearview AI n’a pas hésité à piétiner le droit existant. « En Europe comme aux États-Unis, rien n’interdit le web scraping en soi. Mais assez rapidement, il se heurte à certaines règles », nous explique Sabine Marcellin, avocate spécialisée en droit du numérique
chez Aurore Légal.
5 an de prison, 500 000 euros d’amende
La juriste énumère l’immense arsenal légal français et européen qui
pourrait, sous condition d’apports de preuves, qualifier les pratiques
de Clearview : concurrence déloyale et parasitisme, extraction
non-autorisée, fraude informatique, vol d’information, violation du
contrat (ici, des CGU)… Selon les qualifications, les sanctions vont des
simples dommages et intérêts jusqu’à 5 ans de prison, accompagné de 500
000 euros d’amende. « En théorie, les procédures sont cumulables,
mais dans le cas de contentieux complexes comme celui-ci, le choix des
voies judiciaires peut être subtil », précise-t-elle. De l’autre
côté de l’Atlantique, l’arsenal légal est assez similaire, et LinkedIn a
par le passé déjà obtenu réparation pour « rupture de contrat » sur ses CGU, après qu’une entreprise a scrapé plus de 1 000 profils sur sa base de données.
Malgré tout, David Scalzo, un des investisseurs de Clearview cité par
le New York Times, ne semble pas se soucier de cette épée de Damoclès :
« Je suis arrivé à la conclusion que puisque le volume
d’informations augmente constamment, il n’y aura jamais de respect de la
vie privée. Les lois doivent déterminer ce qui est légal, mais ne
peuvent bannir la technologie. Bien sûr, ça pourrait pourrait mener à un
futur dystopique ou quelque chose du genre, mais vous ne pouvez pas le
bannir. »
Le RGPD protège l’Europe contre l’utilisation de Clearview
Si les sites sont déjà lourdement armés pour se protéger contre
Clearview devant les tribunaux aux États-Unis, les utilisateurs
disposent d’armes supplémentaires en Europe. « Puisque dans
le cas de ces images, il s’agit de données personnelles, le règlement
général européen sur la protection des données offre tout un arsenal
supplémentaire. Or, si le traitement des données est fait en Europe ou
concerne des personne situées sur le territoire européen, alors le RGPD
s’applique », rappelle Sabine Marcellin. Voici probablement une
des raisons pour lesquelles Clearview a des clients en
Inde, aux
États-Unis et au Canada, mais pas en Europe.
En France, la Cnil contrôle les usages de la reconnaissance faciale
En cas de non-respect du RGPD, les entreprises s’exposent à une
amende du plus haut montant entre de 20 millions d’euros et 4 % du
chiffre d’affaires annuel mondial de l’entreprise. « On oublie
souvent que le RGPD permet aussi des sanctions administratives qui
peuvent aller jusqu’à l’interdiction de l’utilisation des données
concernées », rajoute la juriste. De quoi anéantir pour de bon un logiciel comme celui de Clearview, en cas de condamnation.
Aujourd’hui, la reconnaissance faciale n’est pas encore inscrite dans les textes en France, mais la Cnil et ses homologues européennes veulent déjà encadrer son usage. Après le débat autour de l’application d’identification Alicem,
l’autorité française a renouvelé, dans un guide sur le sujet, la
nécessité d’obtenir sa validation pour lancer une expérimentation. Si
les forces de l’ordre françaises veulent utiliser une technologie
similaire à celle de Clearview, elles devront donc passer par la Cnil.
« C’est sûrement la plus grande différence entre les systèmes européens et américains », estime l’avocate.
Porte ouverte aux abus
En mettant son application sur le marché, Clearview AI a franchit une
barrière jusque-là respectée. Facebook, Amazon ou Google, avec leurs
compétences et leurs grands volumes de données auraient pu créer un tel
outil bien avant la startup. Mais même ces géants de la tech ont mis
l’usage de la reconnaissance faciale à des fins sécuritaires de côté.
Ils se sont contentés de créer des technologies voisines de
reconnaissance d’image, qui permettent par exemple le tag automatique
sur les publications, ou de classer les albums photos par personne.
Clearview ouvre donc la boîte de
Pandore et laisse entrevoir un futur
dystopique imaginé par la science-fiction.
Mais si l’application Smartcheckr est aussi problématique, c’est
surtout parce qu’elle n’a pas été contrôlée par une autorité tierce
indépendante. En conséquence, rien ne garantit son efficacité, ni sa
sécurité. Pourtant, les technologies de reconnaissance faciale sont
régulièrement épinglées pour leurs biais discriminatoires.
Par exemple, les risques de faux positifs pourraient être plus élevées
pour les personnes noires, déjà discriminés dans le système judiciaire
actuel.
Clearview convainc les investisseurs
Ensuite, les autorités qui utilisent la technologie peuvent
télécharger dans la base de données de Clearview des preuves
essentielles à des enquêtes confidentielles … parfois sans en avoir
conscience. Pire, si des acteurs malveillants découvraient une fuite ou
exploitaient une faille dans
les serveurs de Clearview, ils
disposeraient de tout un éventail d’outil : harcèlement, chantage,
traque, extraction de preuves… Sans contrôle extérieur, l’entreprise
pourrait enfin tout à fait manipuler les résultats qu’elle présente à la
police.
Jusqu’où ira-t-elle avant d’être épinglée par le système judiciaire ?
Vu la décontraction dans les propos des dirigeants, ils ne semblent
guère s’inquiéter. Pas d’inquiétude non plus du côté des investisseurs :
la startup a levé 9 millions de dollars en juin 2019, un montant
relativement conséquent pour un premier tour.
banques, fin $ ou fin des Banques, les banques vont manger des crouttes, faille, hackers, vol de donnés
« C’est
clairement des congédiements. Il n’y a pas d’autres façons de le
dire », commente Claude Garcia, ex-président de Standard Life et
administrateur de sociétés.
La
crise liée à la fuite de renseignements personnels au Mouvement
Desjardins entraîne le départ de deux membres de la garde rapprochée du
PDG Guy Cormier.
Denis
Berthiaume, premier vice-président exécutif et chef de l’exploitation du
Mouvement Desjardins, et Chadi Habib, premier vice-président,
technologies de l’information, ne font plus partie de l’organisation.
La
décision a été prise après « quelques mois de vérifications internes »
entourant la fuite de données révélée en juin, a indiqué la coopérative
dans un communiqué. Au final, les données personnelles des 4,2 millions
de particuliers membres de Desjardins ont été dérobées.
« La
confiance que j’accorde aux membres de mon comité de direction est
essentielle, a commenté Guy Cormier dans le communiqué de mardi. Les
événements des derniers mois m’amènent à la conclusion qu’il faut
apporter des changements dans la composition de la haute direction du
Mouvement Desjardins. »
Il
n’a pas été possible de parler à Guy Cormier pour obtenir plus de
détails sur la réorganisation de son équipe. « Nous n’accorderons pas
d’entrevue et ne ferons pas de commentaires », a fait savoir la
porte-parole Chantal Corbeil.
« C’est
clairement des congédiements. Il n’y a pas d’autres façons de le
dire », commente Claude Garcia, ex-président de Standard Life et
administrateur de sociétés. « Guy Cormier veut leur faire porter le
fardeau du problème », ajoute-t-il.
« Ils
[Denis Berthiaume et Chadi Habib] vont avoir de la difficulté à se
trouver un autre emploi de même niveau. Quand vous êtes à ce niveau-là,
les gens disent qu’ils sont bien payés, mais ils avaient de grandes
responsabilités. C’est normal qu’ils assument ces responsabilités si
effectivement ils sont responsables. Je n’ai pas de raison de douter de
la bonne foi de Guy Cormier et du conseil d’administration », affirme
Claude Garcia.
Pour
cet observateur avisé du monde des affaires, il ne fait aucun doute que
Guy Cormier a dû convaincre le conseil d’administration qu’il fallait
faire ce geste. « Car le conseil doit être certain que ce n’est pas une
façon pour lui de se sortir du trou. Il a fallu que Guy Cormier monte un
dossier pour montrer que ces deux personnes-là étaient vraiment
responsables. C’est une question de gouvernance. »
Pour Claude
Garcia, les événements des derniers mois chez Desjardins démontrent
qu’il y avait de « grosses faiblesses » au sein de l’organisation et que
de « graves erreurs » ont été commises.
Le
vol de données des clients de Desjardins aurait été commis par
l’entremise d’une simple clé USB sur laquelle on a téléchargé les
fichiers.
À
la Standard Life, dit-il, des cas de fraude « pas mal plus
sophistiqués » ont été découverts alors qu’il était dirigeant. « On
avait engagé une firme dont le mandat était de défoncer notre système.
Ils finissent toujours par défoncer. Mais une fois que c’est fait, tu en
corriges, des affaires. »
À ce compte-là, le départ de Chadi Habib n’est pas étonnant, selon lui. « Ça ne me surprend pas. »
Des dirigeants choisis par Guy Cormier
Denis
Berthiaume et Chadi Habib avaient spécifiquement été choisis par Guy
Cormier pour faire partie du comité de direction après son élection à la
tête du Mouvement Desjardins, il y a trois ans. Il avait nommé Denis
Berthiaume premier vice‐président exécutif et chef de l’exploitation
avec pour mandat de superviser l’ensemble des opérations du Mouvement.
M.Berthiaume cumulait une vingtaine d’années de service chez Desjardins.
À
titre de premier vice-président, technologies de l’information, Chadi
Habib assumait notamment le co-leadership de la transformation
numérique, un virage visant à faire évoluer les services offerts aux
membres et clients de Desjardins. Il travaillait chez Desjardins depuis
huit ans et il relevait directement de Denis Berthiaume.
L’ancien patron du Mouvement Desjardins Alban D’Amours s’est dit très surpris quand La Presse lui
a appris la restructuration. « Guy Cormier est en mesure de prendre les
mesures qui s’imposent », a-t-il ajouté sans toutefois vouloir
commenter davantage.
Réal
Bellemare, qui occupait le poste de premier vice-président exécutif
finances, trésorerie, administration et chef de la direction financière,
est désigné pour prendre la relève de Denis Berthiaume. Il assurera
aussi, par intérim, les responsabilités de premier vice-président
technologies de l’information.
Réal
Bellemare aura aussi comme responsabilité de mettre en place un Bureau
de la sécurité pour notamment mettre en œuvre des stratégies en matière
de sécurité, assurer la protection des membres et clients, de leurs
actifs et de leurs renseignements personnels, et mettre en place un
processus de reddition de comptes sur la sécurité, aligné sur les
meilleures pratiques.
Il n’a pas été possible d’obtenir des commentaires de MM. Berthiaume et Habib hier.
L’enquête
policière sur le vol de données chez Desjardins se poursuit toujours.
Les autorités n’ont toujours effectué aucune arrestation.
La crise des données personnelles en quelques dates
JEUDI 20 JUIN 2019
En conférence
de presse, le président du Mouvement Desjardins, Guy Cormier, annonce
le vol dans ses systèmes informatiques de renseignements personnels
concernant 2,9 millions de membres-clients du géant financier
coopératif.
Desjardins
avait été informé de ce vol massif de données, attribué à un employé à
l’interne, par la police de Laval à la suite de son enquête sur une
transaction suspecte qui lui avait été signalée à la fin de 2018.
VENDREDI 5 JUILLET 2019
Le
président du Mouvement Desjardins, Guy Cormier, fait part publiquement
de son insatisfaction envers la firme de dossiers de crédit Equifax, qui
a été mandatée pour fournir un service de surveillance et de protection
des dossiers de crédit des membres de Desjardins touchés par le vol de
renseignements personnels.
LUNDI 15 JUILLET 2019
Afin
de « diminuer le niveau d’inquiétude » chez les membres touchés par la
fuite de renseignements personnels, le Mouvement Desjardins bonifie les
mesures de protection contre les transactions frauduleuses par vol
d’identité parmi l’ensemble de ses 4,9 millions de membres particuliers
et de ses 300 000 membres entreprises.
LUNDI 12 AOÛT 2019
Dans
ses résultats de deuxième trimestre, le Mouvement Desjardins
comptabilise une charge spéciale de 70 millions pour couvrir les
premiers coûts liés à la fuite massive de renseignements de 2,9 millions
de membres des caisses populaires. La fuite de renseignements avait été
divulguée par Desjardins à 10 jours de la terminaison comptable de son
deuxième trimestre au 30 juin.
VENDREDI 1er NOVEMBRE 2019
À
la stupéfaction générale, le Mouvement Desjardins annonce que c’est
l’ensemble de ses 4,2 millions de membres particuliers qui ont été
victimes de la fuite de renseignements. « C’était important pour nous
d’informer nos membres le plus rapidement possible », dira le président
Guy Cormier, quelques minutes avant de prononcer un discours devant la
Chambre de commerce de Montréal.
MARDI 3 DÉCEMBRE 2019
Le Mouvement Desjardins remanie sa haute direction et justifie son geste
par le vol massif de renseignements personnels ayant touché ses
4,2 millions de membres particuliers. Denis Berthiaume, qui était numéro
deux en tant que premier vice-président exécutif et chef de
l’exploitation, ainsi que Chadi Habib, qui était premier vice-président
des technologies de l’information, partent. « La confiance que j’accorde
aux membres de mon comité de direction est essentielle », fait valoir
le président, Guy Cormier, dans un communiqué.
TransUnion Canada
affirme que les renseignements personnels d’environ 37 000 Canadiens ont
peut-être été compromis entre juin et juillet.
L’agence
de surveillance du crédit explique que l’accès aux données résultait de
l’utilisation frauduleuse des authentifiants de connexion en ligne d’un
de ses clients d’affaires.
TransUnion
précise avoir averti les personnes dont les informations ont pu être
consultées, ainsi que les commissaires à la protection de la vie privée. PAS DE CYBERATTAQUE
Même
si l’enquête est en cours, TransUnion soutient que l’accès non autorisé
n’est pas le résultat d’une intrusion ou d’une défaillance de ses
systèmes ou de ceux de ses clients. Le type d’informations personnelles
touchées n’a pas été révélé.
L’incident fait suite à de nombreuses atteintes à la sécurité des données ces dernières années, notamment à une violation de grande envergure chez Equifax,
une agence de surveillance du crédit rivale, où de l’information sur
143 millions de clients dans le monde avait été compromise.
fuite, vol d'identité, vol de donnés, banques, hackers
Après le Mouvement Desjardins, c’est au tour d’Industrielle Alliance
au Québec d’être la cible de fraudeurs. Les renseignements personnels
d’environ 3000 clients québécois ont été exposés au cours de l’été.
Selon l’assureur, la première tentative d’hameçonnage est survenue
le 20 juin. Deux autres stratagèmes similaires ont été effectués le 8
juillet et le 11 juillet.
Au total, trois représentants du réseau de vente de iA Groupe
financier au Québec ont été victimes d’hameçonnage. Il s’agirait de
trois incidents distincts aucunement liés entre eux. Une enquête a été
ouverte par la compagnie.
«Lors de chaque incident, une personne externe à l’organisation a
réussi à prendre momentanément le contrôle des boîtes de courriel d’un
représentant et a ainsi eu l’opportunité d’accéder à l’ensemble de ses
courriels», explique le porte-parole de l’organisation, Pierre Picard.
«À l’heure actuelle, rien n’indique que les données auraient été
utilisées à des fins malveillantes ni qu’elles auraient été vendues à
des tiers», dit-il
Selon l'Industrielle Alliance Groupe financier, trois des
représentants de son réseau de vente ont été victimes d'hameçonnage en
juin et juillet derniers. Les trois incidents ne sont pas liés entre
eux, mais dans chaque cas un pirate informatique a pris le contrôle de
la boîte courriel de l'employé. Il n'est pas impossible que l'auteur de
l'intrusion informatique ait pu mettre la main sur des informations
personnelles concernant certains des clients.
Selon la société, qui compte plus de 4 millions de
clients au pays et dont le siège social est à Québec, rien n'indique à
l'heure actuelle que des données aient été utilisées à des fins
malveillantes ou qu'elles aient été vendues à des tiers.
Dans une lettre envoyée le mois dernier aux clients touchés, la compagnie présente ses excuses et assure prendre la situation très au sérieux.
Des mesures additionnelles ont été rapidement mises en place pour renforcer la protection des renseignements personnels.
Industrielle Alliance propose à ses 2864 clients touchés
par l'intrusion informatique un abonnement de cinq ans au service de
surveillance de crédit et d'assurance contre le vol d'identité de
l'agence de crédit Equifax.
Elle a aussi mis à leur disposition un service à la clientèle pour répondre à leurs questions.
Des règles à revoir
Pour
l'expert en cybersécurité Steve Waterhouse, l'accumulation d'histoires
semblables à celle d'Industrielle Alliance devrait inciter les autorités
à prendre encore plus au sérieux la sécurité des données personnelles.
Steve Waterhouse, expert en cybersécurité.
Les commissaires à la vie privée du Québec et du Canada n'ont toujours pas de mordant pour faire une intervention légale, dit Steve Waterhouse, c'est-à-dire porter des accusations à partir d'enquêtes.
Les
enquêtes prennent souvent trop de temps à être réalisées pour être
capables de faire quelque chose qui a du sens ou qui peut réellement
faire un changement positif, ajoute-t-il.
Selon le ministre des Finances du Québec, Eric Girard, un projet de loi qui est en cours d’écriture devrait certainement être déposé lors de cette session parlementaire afin d’aider à résoudre le problème.
Je me suis engagé à
déposer un projet de loi pour légiférer sur les agences de crédit. […]
Je suis au travail là-dessus depuis la mi-juin.
Selon
le ministre Girard, le projet de loi encadrant les agences de notation
de crédit permettra de bloquer les tentatives de fraude.
Photo : Radio-Canada
Le
ministre souligne toutefois que la protection des renseignements
personnels est d’abord la responsabilité des entreprises concernées.
Pour sa part, le député libéral Gaétan Barrette estime
une fois encore qu’il faut saisir cette occasion pour élargir le mandat
de la commission parlementaire sur les fuites de données personnelles.
La
sécurité, ce n'est pas seulement une question physique, c'est aussi une
question de protocoles de logiciels, de structure d'organisation des
ressources humaines, et cela exige qu'on soit, nous parlementaires,
informés pour débattre de façon informée et transparente de ce sujet, a déclaré Gaétan Barrette.
Les données, qu'elles
soient au public ou au privé, c'est la même procédure et le même
environnement. En ce qui me concerne, il faut tout traiter d'un coup
maintenant.
Industrielle Alliance a signalé l'événement à l'Autorité des marchés financiers et à la Commission d'accès à l'information.
Capital
One a été la cible d'un des plus importants piratages informatiques
visant une grande banque américaine. L'institution a annoncé lundi que
les renseignements personnels de 106 millions de ses clients
nord-américains, dont 6 millions de Canadiens, avaient été dérobés par
un pirate informatique, qui a déjà été arrêté par le FBI.
D'après
le communiqué publié par Capital One Canada, le piratage a été commis
les 22 et 23 mars 2019. « Un individu extérieur a eu un accès non
autorisé [à notre réseau] et a obtenu certaines informations
personnelles », indique la banque.
Capital One, qui a confirmé le piratage le 19 juillet
dernier, deux jours après qu'un chercheur en sécurité externe lui eut
signalé une vulnérabilité du système, dit avoir colmaté la brèche
« immédiatement ».
La voleuse de données, qui a profité d'une faille dans un
serveur d'informatique dématérialisée (cloud) de la banque, aurait
principalement eu accès aux informations de consommateurs et de petites
entreprises ayant soumis une demande pour une carte de crédit entre 2005
et le début de 2019 : noms, adresses, numéros de téléphone, adresses
courriel, revenus et date de naissance, etc.
D'autres informations, comme les cotes de crédit, les
limites de crédit, les soldes et les habitudes de paiement, ont aussi
été piratées, ainsi que certaines données sur des transactions
effectuées sur un total de 23 jours de 2016 à 2018.
Au Canada, le numéro d'assurance sociale d'environ 1 million de clients a aussi été compromis.
Capital One – le cinquième émetteur de cartes de crédit
bancaire aux États-Unis – dit poursuivre son enquête, mais se fait
rassurante. « Selon l’analyse que nous avons effectuée à ce jour, nous
estimons qu’il est peu probable que l’individu ait utilisé les
renseignements à des fins frauduleuses ou qu’il les ait disséminés »,
dit-elle dans son communiqué.
« Ni les numéros de compte de carte bancaire ni les
informations pour se connecter à des comptes bancaires n'ont été volés.
Et plus de 99 % des numéros de sécurité sociale n'ont pas été
compromis », ajoute-t-elle.
La banque indique qu'elle offrira sans frais aux
Américains et aux Canadiens touchés des services de surveillance du
crédit et une assurance contre le vol d’identité. Elle ne précise pas
pour l'instant lesquels de ses clients ont été touchés. Au Canada,
Capital One émet notamment des cartes de crédit pour Costco et pour La
Baie d'Hudson.
Arrestation rapide
« Capital
One a informé rapidement les autorités compétentes du vol de données, ce
qui a permis au FBI de retrouver la trace de l'intrus », a expliqué
Brian Moran, le représentant du département de la Justice dans l'État de
Washington, dans un communiqué.
Selon la plainte déposée par le département de la
Justice, la personne accusée dans cette affaire est Paige Thompson,
domiciliée à Seattle, dans l'État de Washington.
Sous le pseudonyme Erratic, Mme Thompson s'est targuée
d'être l'auteure de cette fraude sur les réseaux sociaux. Elle y a
notamment déclaré « qu'elle détenait des informations de Capital One, et
qu'elle reconnaissait avoir enfreint la loi », peut-on lire dans la
plainte du FBI.
L'arrestation de Mme Thompson survient quelques jours
après qu'Equifax, l'agence de crédit américaine, eut été contrainte de
payer une amende de 700 millions de dollars américains pour le vol de données de plus de 150 millions de clients en 2017.
Récemment, 2,9 millions de membres de Desjardins ont aussi été victimes d'un vol de données.
Capital One : un suspect arrêté par le FBI pour le piratage d’une banque canadienne
Les données bancaires de 6 millions de canadiens et d’un peu plus de 100
millions de résidents américains sont concernées par le piratage. Le
suspect a utilisé Tor et un VPN pour camoufler ses agissements.Paige A. Thompson, 33 ans, était une ingénieure ayant travaillé dans
plusieurs secteurs informatiques et a notamment été employée pendant
deux ans pour la société Cloud Computing Company, un prestataire
informatique travaillant pour Capital One.
La banque Capital One a été victime d’un piratage d’ampleur, mais le principal suspect a déjà été appréhendé. Lundi, la banque canadienne a publié un communiqué indiquant
avoir été victime d’un piratage. L’auteur du piratage aurait accédé aux
données de la banque suite à une erreur de configuration dans l’un des
pare-feu d’application web (Web application Firewall, WAF) de la société
ayant permis d’accéder aux données personnelles des clients de la
banque. Les informations collectées par l’attaquant étaient issues des
fichiers de demande de carte bancaire des clients.
Parmi les
informations exposées, on retrouve ainsi des noms, adresses postales,
numéros de téléphone, adresses email, dates de naissance et revenus
déclarés par les clients. En plus de ces données personnelles, la banque
précise que 140 000 numéros de sécurité sociale ainsi que les numéros
de comptes de 80 000 clients ont été exposés, ainsi qu’un million de
numéros d’assurance sociale appartenant à des résidents canadiens. La
banque précise également que les informations de comptes de ses clients
(Historique de paiement, score de crédits, etc.) ont été exposées ainsi
que des historiques de transactions.
Les vols de données auraient eu lieu entre mars et avril, mais
n’ont été découverts par la banque que le 17 juillet grâce à un
chercheur en sécurité ayant alerté la société. La banque a depuis
corrigé le problème de configuration à l’origine de la fuite de donnée.
La faute aux réseaux sociaux
Dans un communiqué publié par le FBI,
on en apprend un peu plus sur le suspect interpellé par les autorités
américaines suite à ce piratage. Paige A. Thompson, 33 ans, était une
ingénieure ayant travaillé dans plusieurs secteurs informatiques et a
notamment été employée pendant deux ans pour la société Cloud Computing
Company, un prestataire informatique travaillant pour Capital One.
Thompson
était parvenue à accéder aux données et avait pris ses précautions afin
de ne pas se faire repérer, en se connectant notamment à travers le
réseau Tor et en utilisant un VPN afin de dissimuler ses traces.
Malheureusement pour elle, elle s’est un peu trop épanchée sur les
réseaux sociaux et a notamment publié plusieurs informations volées sur
le réseau social Github ainsi que sur plusieurs channels Slack, où un
chercheur en sécurité a repéré les informations et contacté la banque
concernée. REF.:
Comme c’est généralement le cas aux Etats-Unis suite à un
piratage informatique, une plainte en recours collectif (class action) a été
déposée dans la foulée de l’affaire Capital One. La semaine dernière, la banque
canadienne révélait avoir été victime d’une
attaque informatique au cours de laquelle les données personnelles (noms, adresses
postales, numéros de téléphone, adresses email, dates de naissance, revenus
déclarés) de 106 millions de clients ont été exposées. Une plainte déposée en
Californie vise non seulement Capital One mais également Github.
La plateforme
d'hébergement de code source est accusée de négligence. Le pirate, qui a été
appréhendé avant que l’affaire ne soit rendue publique, a publié des
informations sur son attaque via GitHub, ce qui conduit les plaignants à
estimer que “les décisions de la direction de GitHub (...) ont permis que les
données piratées soient publiées, affichées, utilisées et/ou autrement
disponibles." Les informations étaient disponibles sur le site entre le 21
avril et la mi-juillet. GitHub est accusé d’avoir enfreint la loi fédérale sur
les écoutes (Wiretap Act).
Des porte-parole de Capital One et de GitHub ont déclaré à
nos confrères de ZDNet.com que les données téléchargées sur GitHub par le
pirate ne contenaient aucune information personnelle. (Eureka Presse)
