•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Plus de 28 millions de Canadiens victimes de violation de données en un an

L'ombre d'un pirate informatique est projetée sur un fond de chiffres, des 0 et des 1.

Depuis le 1er novembre 2018, les entreprises et les organisations canadiennes doivent déclarer toute brèche de sécurité aux autorités fédérales.

Photo : Reuters / Kacper Pempel

Desjardins, Capital One, LifeLabs. Si les cyberattaques et les fuites de renseignements personnels vous semblent de plus en plus fréquentes, ce n’est pas qu’une vague impression.

Le Commissariat à la protection de la vie privée du Canada recense près de 700 cas jusqu’à présent cette année. C’est nettement plus que les 177 atteintes à la vie privée qui lui ont été signalées en 2018 et que les 97 cas de 2017.

Les fuites de données sont-elles réellement plus nombreuses ou sont-elles simplement déclarées plus souvent aux autorités? Les deux, estime l’expert en cybersécurité Steve Waterhouse.

On déclare de plus en plus par obligation légale, mais il y a aussi de plus en plus de pirates qui s’adonnent à aller exploiter les vulnérabilités des systèmes.

Steve Waterhouse, expert en cybersécurité

Depuis le 1er novembre 2018, les entreprises et les organisations canadiennes sont tenues de déclarer aux autorités fédérales toute atteinte à la sécurité des données touchant des renseignements personnels où il y a un risque réel de préjudice grave pour leurs membres ou leurs clients.

Les nouvelles règles obligent aussi ces organisations à aviser les individus concernés et à conserver un registre de toutes les atteintes à la protection des données qu’elles ont subi.

Un homme regarde au loin l'enseigne de Capital One sur un édifice.

Capital One a été victime d’un important vol de données qui a touché 106 millions de ses clients nord-américains, dont 6 millions de Canadiens.

Photo : Associated Press / Jeff Chiu

Une hausse vertigineuse, selon le Commissariat

Dans la première année depuis la mise en œuvre de ces nouvelles obligations, le Commissariat à la protection de la vie privée du Canada a reçu 680 déclarations d'atteintes, six fois ce qu'il a reçu au cours de la même période un an plus tôt. Dans un récent rapport (Nouvelle fenêtre), le chien de garde qualifie cette augmentation de vertigineuse.

Ces brèches de sécurité, qui comprennent les fuites chez Desjardins et Capital One, touchent plus de 28 millions de Canadiens. Le Commissariat affirme toutefois que des personnes pourraient avoir été touchées plus d'une fois.

Questionné par Radio-Canada, le Commissariat a refusé de divulguer les entreprises ciblées par des cyberattaques, ce qu'il fera toutefois s'il est jugé que c'est dans l’intérêt public de le faire.

Membre du Mouvement Desjardins, l’Ontarien Dillon Orr s’est vu offrir un abonnement de cinq ans au service de surveillance du crédit d’Equifax.

Mais en voyant cette protection remise en question cette semaine, il se dit très content de ne pas s’y être inscrit. En effet, la section sécurisée du site d’Equifax comporterait des logiciels pisteurs (trackers) qui récoltent des données personnelles de clients de l’agence, selon l'expert en cybermétrie Stéphane Hamel.

C’est sûr que c’est inquiétant. Moi, je suis du monde qui croit que nos informations sont déjà partout.

Dillon Orr, client chez Desjardins
Un jeune homme aux cheveux frisés et portant des lunettes est éclairé sur une scène sombre.

Originaire de la région de Windsor, Dillon Orr est client chez Desjardins depuis son enfance.

Photo : Facebook : Dillon Orr / Crédit : Nicolas Biaux

Possiblement exposée plus d’une fois

Charlotte Bédard est à la fois cliente de la Caisse Alliance en Ontario, affiliée au Mouvement Desjardins, et du laboratoire biomédical LifeLabs, qui a annoncé mardi avoir été ciblé par une cyberattaque exposant les informations de 15 millions de clients.

C’est inquiétant, mais je suis un peu tannée, aussi. Qu’est-ce qui va arriver d’autre? Qu’est-ce qui s’en vient?

Charlotte Bédard

Dans un avis envoyé aux membres, la Caisse Alliance précise que les informations fournies à Desjardins par la Sûreté du Québec ne lui permettent pas de savoir si ses membres sont touchés. Les clients ont droit à la même protection que ceux du Mouvement Desjardins, protection qui inclut un accès gratuit au service d’Equifax.

Ce n’est pas du tout rassurant, affirme l’Ontarienne, qui se dit d’autant plus méfiante des entreprises qui exigent des renseignements personnels, tels que son numéro d’assurance sociale.

Ça me donne plus de travail, parce que là je dois aller vérifier pour m’assurer qu’il n’y a pas d’autres choses qui se font sortir à mon nom, que je n’ai pas d’autres cartes de crédit à mon nom et que ça n’affecte pas ma cote de crédit, dit-elle.

Charlotte Bédard.

Charlotte Bédard croit avoir été victime d’au moins deux brèches de sécurité cette année.

Photo : Radio-Canada

D’autres clients de LifeLabs ont déjà intenté des recours collectifs contre l’entreprise, en Colombie-Britannique et en Ontario, comme c’est le cas aussi contre Desjardins au Québec.

Le secteur de la santé particulièrement vulnérable

Des experts en sécurité informatique sonnent l’alarme après la cyberattaque ciblant LifeLabs, qui a accepté de débourser une rançon aux pirates, sans garantie qu’ils n’aient plus accès aux informations des clients.

De nombreux hôpitaux et établissements de santé au Canada ont été victimes d'atteinte à la sécurité des données cette année. C’était le cas notamment en Alberta récemment lorsqu’un disque dur externe contenant des informations médicales de quelque 650 patients a été volé.

En janvier, une vingtaine d’hôpitaux du Nord-Est de l’Ontario ont été victimes d’un virus informatique qui a bloqué l’accès aux dossiers médicaux des patients et forcé l’annulation de certains traitements de chimiothérapie et de radiothérapie.

Ces exemples ne sont d’ailleurs pas comptabilisés dans les chiffres du Commissariat à la protection de la vie privée puisque ces cas relèvent plutôt de ses homologues provinciaux.

On peut lire, en anglais, un message laissé par un rançongiciel, demandant un paiement pour avoir accès à des documents, sous menace de les effacer de manière permanente.

Le rançongiciel Ryuk a été utilisé cet automne pour verrouiller des dossiers médicaux dans trois hôpitaux ontariens.

Photo : Radio-Canada / Thomas Daigle

David Masson, directeur de la sécurité des entreprises chez Darktrace, affirme que les pirates ciblent souvent ces établissements de santé puisqu’ils affectent peu de ressources, qu'une fraction minime de leur budget, à la sécurité de leurs systèmes informatiques.

Les pirates les voient comme des proies faciles, sachant qu’ils auront de la difficulté à protéger leurs réseaux.

David Masson, directeur de la sécurité des entreprises, Darktrace

L’expert en cybersécurité Steve Waterhouse estime qu’avoir payé la rançon démontre un manque de stratégie adéquate du côté de LifeLabs pour répondre à de telles cyberattaques. Il s'agit de la deuxième du genre pour le laboratoire canadien en six ans.

C’est un éveil collectif à travers le pays, dit-il.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Économie