Six millions de Canadiens touchés par le piratage de données chez Capital One

TORONTO — Un énorme piratage de données chez le géant américain des cartes de crédit Capital One Financial a compromis les données personnelles d’environ six millions de Canadiens et exposé un million de numéros d’assurance sociale, ce qui en fait l’une des plus grandes atteintes à la sécurité de l’histoire du Canada.

L’incident, qui a touché environ 106 millions de détenteurs de cartes de crédit en Amérique du Nord, a été annoncé lundi par Capital One Financial après l’arrestation de la pirate informatique présumée.

À LIRE AUSSI : Vol de données de 106 millions de clients chez Capital One

Paige A. Thompson, qui utilise le pseudonyme en ligne «Erratic», a été inculpée d’un chef de fraude et d’abus informatique devant la cour de district à Seattle. Mme Thompson a comparu pour la première fois devant le tribunal et devra rester en détention en attendant une audience prévue jeudi.

Des agents du FBI ont commencé à suivre Mme Thompson en ligne après avoir été informés par Capital One d’une possible infraction en juillet.

Le Commissariat à la protection de la vie privée du Canada a affirmé avoir été en contact avec Capital One au sujet de l’incident et que les deux entités «discutaient».

«Compte tenu du nombre de personnes touchées et de la nature de l’incident, cela soulève certainement de graves problèmes de confidentialité», a expliqué la porte-parole Anne-Marie Cenaiko dans un communiqué.

Au Canada, où Capital One fournit des cartes de crédit MasterCard au réseau de magasins de Costco et à celui de la Compagnie de la Baie d’Hudson, environ un million de numéros d’assurance sociale ont été compromis.

Le piratage a également compromis les données d’environ 100 millions de clients américains, dont environ 140 000 numéros d’assurance sociale et 80 000 numéros de comptes bancaires liés.

La plupart des informations obtenues concernaient des consommateurs et des petites entreprises ayant demandé une carte de crédit entre 2005 et le début de 2019, a indiqué l’émetteur de cartes de crédit dans un communiqué. Les informations régulièrement collectées comprenaient les noms, adresses, codes postaux, numéros de téléphone, dates de naissance et revenus.

Capital One a précisé que les personnes concernées seraient avisées par l’entremise de «divers canaux». Toutes les personnes touchées recevront également un service gratuit de surveillance du crédit et une assurance contre le vol d’identité, y compris les Canadiens, a confirmé une porte-parole de l’entreprise.

Costco et La Baie avares de commentaires

La Compagnie de la Baie d’Hudson (HBC) n’a pas immédiatement répondu aux demandes de commentaires. Selon le site Web du détaillant, il n’est pas obligatoire de fournir un numéro d’assurance sociale (NAS) lors d’une demande de carte de crédit, mais «votre NAS nous permet de vous distinguer d’autres personnes dont les renseignements sont similaires aux vôtres et accélère le processus d’examen de votre demande».

Un porte-parole de Costco Canada a redirigé toutes les questions de La Presse canadienne vers Capital One. Son formulaire de demande de carte de crédit en ligne demande également un NAS à titre facultatif.

La brèche de sécurité chez Capital One est l’une des plus grandes à avoir touché les Canadiens. Six millions de personnes représentent une portion importante de la population du pays, a estimé David Masson, directeur de la sécurité d’entreprise pour la firme de cybersécurité Darktrace.

Le ministre fédéral des Finances, Bill Morneau, a affirmé mardi qu’il avait demandé au Bureau du surintendant des institutions financières (BSIF) d’enquêter sur la faille et de veiller à ce que des «mesures appropriées» soient prises pour protéger les Canadiens.

«Nous sommes très préoccupés par la brèche inacceptable à Capital One. [...] Les Canadiens touchés doivent contacter Capital One immédiatement. Nous travaillons fort sur ce dossier», a déclaré le ministre Morneau sur le réseau social Twitter. Il a ajouté que le ministre de la Sécurité publique, Ralph Goodale, était également en contact avec ses homologues américains à ce sujet.

Le régulateur des services financiers «surveille la situation de près», a pour sa part affirmé le porte-parole du BSIF, Colin Palmer. «Lorsque de tels incidents se produisent, le BSIF reste en contact étroit avec l’institution financière afin de s’assurer que tout est mis en œuvre pour régler la situation le plus rapidement possible», a-t-il précisé dans une déclaration transmise par courriel.

Capital One a affirmé qu’il était peu probable que les informations aient été utilisées à des fins frauduleuses, mais M. Masson a souligné qu’une fois que les données avaient quitté les canaux sécurisés, n’importe quel partage était possible.

«Si ces informations se sont trouvées ailleurs, il est maintenant possible pour quelqu’un d’autre d’utiliser exactement les mêmes informations pour obtenir une carte de crédit, un compte bancaire, un prêt, une hypothèque, un instrument financier. C’est pourquoi c’est si sérieux. Dans le monde entier, ce type de données est pratiquement une monnaie qui peut être achetée et vendue, en particulier sur le Web caché.»

Le 19 juillet, Capital One Financial a été informée par une tierce partie que les données de ses clients étaient apparues sur le site d’hébergement de code GitHub, qui appartient à Microsoft. La compagnie de McLean, en Virginie, a indiqué avoir immédiatement averti le FBI.

Série d’incidents

Outre les données relatives aux demandes de carte de crédit, telles que les numéros de téléphone, les adresses de courriel, les dates de naissance et les revenus déclarés, la pirate a également été en mesure d’accéder aux scores de crédit, aux limites et soldes de crédit, ainsi qu’à des fragments d’informations sur des transactions survenues sur un total de 23 jours en 2016, 2017 et 2018.

«Bien que je sois reconnaissant que le malfaiteur ait été arrêté, je suis profondément désolé de ce qui s’est passé», a affirmé le chef de la direction de Capital One, Richard Fairbank, dans un communiqué. «Je m’excuse sincèrement pour l’inquiétude que cet incident doit causer aux personnes touchées et je m’engage à y remédier.»

La faille de sécurité n’est que le dernier d’une série de piratages de données qui ont touché les Canadiens récemment.

Le Mouvement Desjardins a révélé en juin un vol de données qui a entraîné la fuite de noms, adresses, dates de naissance, numéros d’assurance sociale et autres informations confidentielles appartenant à environ 2,7 millions de personnes et à 173 000 entreprises.

En mai, l’opérateur de téléphonie sans fil Freedom Mobile a confirmé avoir été victime d’une brèche de sécurité, mais a précisé que le nombre de clients potentiellement exposés à cette violation s’élevait à 15 000. Des chercheurs chez vpnMentor, qui ont découvert la faille et alerté la société, ont affirmé que jusqu’à 1,5 million de clients avaient été potentiellement touchés.