Capital One devra rendre des comptes, dit Morneau

Les mesures d’aide aux victimes du vol de données personnelles pourraient coûter 150 millions à Capital One.
Photo: Johannes Eisele Agence France-Presse Les mesures d’aide aux victimes du vol de données personnelles pourraient coûter 150 millions à Capital One.

Ottawa entend faire toute la lumière sur le piratage des données personnelles de 6 millions de Canadiens détenteurs de cartes de crédit Capital One.

« Nous sommes très préoccupés par la brèche inacceptable à Capital One, a déclaré mardi, sur le réseau social Twitter, le ministre des Finances, Bill Morneau. J’ai demandé au [Bureau du surintendant des institutions financières] de mener une enquête et de veiller à ce que les mesures appropriées soient prises », a-t-il ajouté, précisant qu’on avait aussi mis son collègue à la Sécurité publique, Ralf Goodale, sur le coup.

La déclaration faisait suite à l’annonce, en début de soirée lundi, selon laquelle 100 millions d’Américains et 6 millions de Canadiens, tous détenteurs de cartes de crédit de Capital One Financial, avaient été victimes d’un vol de données dont la responsable présumée venait tout juste d’être arrêtée.

Fournisseur au Canada notamment des cartes de crédit MasterCard des chaînes de magasins de Costco et La Compagnie de la Baie d’Hudson, Capital One gardait ses données chez la compagnie Amazon, où la pirate informatique présumée, Paige Thompson, 33 ans, avait déjà travaillé. Les données compromises sont les noms, adresses, codes postaux, numéros de téléphone, les courriels, les dates de naissance, les revenus et, pour un million de Canadiens, les numéros d’assurance sociale.

« Je suis sincèrement désolé des préoccupations tout à fait compréhensibles que cet incident peut occasionner aux personnes touchées et je suis fermement engagé à prendre les bonnes mesures », a déclaré le président et chef de la direction de l’institution financière américaine, Richard Fairbank.

« Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que l’individu ait utilisé les renseignements à des fins frauduleuses ou qu’il les ait disséminés, a dit de sa pirate Capital One dans un communiqué. Cependant, nous poursuivons notre enquête. »

Une fois que des données ont été sorties des canaux sécurisés, n’importe quel partage est possible, a toutefois observé David Masson, directeur de la sécurité d’entreprise pour la firme de cybersécurité Darktrace. « Si ces informations se sont trouvées ailleurs, il est maintenant possible pour quelqu’un d’autre d’utiliser exactement les mêmes informations pour obtenir une carte de crédit, un compte bancaire, un prêt, une hypothèque, un instrument financier. »

Photo: Sean Kilpatrick La Presse canadienne Le ministre des Finances, Bill Morneau

Toutes les personnes touchées par la fuite d’information chez Capital One « seront informées de la situation de différentes façons », a indiqué la compagnie qui met en garde ses clients contre les appels téléphoniques et les courriels d’arnaqueurs. Les personnes concernées se verront offrir gratuitement des services de surveillance de leur crédit et une assurance couvrant les coûts d’un éventuel vol d’identité.

Capital One n’est pas la seule, mais a été l’une des premières institutions financières aux États-Unis à avoir choisi de confier la garde de ses données à une firme spécialisée extérieure (infonuagique). L’annonce, mardi, de sa faille de sécurité a provoqué un important remous dans plusieurs institutions financières où l’on était pressé de comprendre ce qui était allé de travers, a rapporté le Wall Street Journal. « Cependant, je ne crois pas que cela change leur intention d’aller vers l’infonuagique », y observait un expert.

Le problème, dans le cas de Capital One, comme dans de nombreuses autres affaires, semble moins tenir au fait de garder ou non les données à l’intérieur des murs physiques de l’entreprise qu’au fait que la pirate venait de l’intérieur de la compagnie, explique Anne-Sophie Letellier, chargée de cours à l’Université du Québec à Montréal et membre de l’OBNL Crypto.Québec. « Ce genre d’événement va fatalement se multiplier, prévient-elle. Mais cela aiderait si on se demandait plus souvent, comme entreprise et comme individu, si l’on a besoin de demander et de donner toutes ces informations personnelles. »

Capital One, Equifax, Desjardins…

Capital One estime que ses mesures d’aide aux victimes pourraient lui coûter jusqu’à 150 millions et refuse de discuter des possibles amendes qui pourraient lui être infligées, a rapporté mardi le Wall Street Journal.

La semaine dernière, la firme américaine d’évaluation de crédit Equifax a convenu avec les autorités américaines de verser environ 175 millions en amendes et jusqu’à 500 millions en frais d’assurances et autres dédommagements à ses 147 millions de clients victimes en 2017 du vol de leurs données personnelles. Au Canada, où la fuite de données a fait 19 000 victimes et où les règles en la matière sont beaucoup moins sévères, le Commissariat à la protection de la vie privée du Canada n’a pu obtenir mieux que l’engagement de la compagnie à se prêter, tous les deux ans, à un examen de ses mesures de sécurité.

Toutefois, cela n’a pas empêché le ministre Morneau de montrer les dents sur Twitter, mardi, faisant valoir que Capital One devra rendre des comptes à un régime canadien de protection de la vie privée qu’il qualifie de renforcé. « Tout manquement à se conformer pourrait entraîner des pénalités importantes. »

Jusque-là, le record de la plus importante fuite de données personnelles pour une institution financière au Canada était détenu, depuis peu, par le Mouvement Desjardins. La coopérative financière a révélé, en juin, le vol des noms, des adresses, des dates de naissance et, parfois même, des numéros d’assurance sociale d’environ 2,7 millions de membres et 173 000 entreprises. Après avoir d’abord offert aux victimes une assurance en cas de vol d’identité ainsi que les services de surveillance du crédit d’Equifax pour une année, puis pour cinq ans, Desjardins a annoncé qu’il assurerait lui-même tous ces services et pour l’ensemble de ses membres.

« Les banques se contenteront toujours de faire le strict minimum de ce qu’exigent les autorités financières et la réglementation à ce chapitre est minimale », dit Steve Waterhouse, chargé de cours en sécurité de l’information à l’Université de Sherbrooke. Si Desjardins en a fait plus, c’est en raison de son rapport particulier à sa clientèle et de son importance au Québec. »

Avec La Presse canadienne

1 commentaire
  • Gilles Bonin - Inscrit 31 juillet 2019 06 h 31

    La question:

    Capital One va-t-il prendre, au minimum, les mêmes dispositions que Desjardins pour protéger des fraudes possibles? Pendant que La Presse cherche des poux à Desjardins pour tout et rien - allez voir ses «Exclusif» depuis deux ou trois semaines, on ne parle que de possible enquête (voir M. Morneau) dans le cas du gros américain Capital One - tenez la dernière serait que le vol n'a pas été utilisé... mais «on continue l'enquêe»?!?!?!?!?!? Et le projet du gouvernement Legault de remettre 80% de ses données à l'entreprise privée semble continuer son petit bonhomme de chemin - bon, admettons, que nos données en possessions du gouvernement qu'il soit municipal, provincial ou fédéral ne sont certainement pas mieux protégées. En fait, j'ai comme l'impression que personne, je dis bien personne, n'est capable de garantir quoi que ce soit sinon qu'un jour ou l'autre les données seront volées, piratées, etc... Vers le monde du n'importe quoi comme normalité.