•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données : des fournisseurs disent que la Régie des alcools ne les a pas prévenus

Des bouteilles de vins dans un magasin d'alcool.

La Régie des alcools et des jeux de hasard de la Saskatchewan a publié une mise à jour de son enquête sur son site web le 22 mars.

Photo : Radio-Canada / Neil Cochrane/ICI Radio-Canada

Radio-Canada

Des fournisseurs de la Régie des alcools et des jeux de hasard de la Saskatchewan (SLGA) affirment que le gouvernement ne les a jamais avertis que leurs données avaient été volées quand le système informatique de la SLGA a été piraté, le 25 décembre dernier.

Un homme qui s'est nommé Jason Walmart a récemment appelé CBC en affirmant qu’il faisait partie de l’organisation qui a mené cette cyberattaque contre la SLGA.

Nous avons téléchargé toutes les informations privées et les renseignements sensibles, a-t-il affirmé à CBC lors d’un entretien téléphonique enregistré. Nous avons 1,5 téra-octet d’informations confidentielles.

Après cet appel, une personne utilisant le nom de Dr Clement Goyette a envoyé à CBC un lien vers un dossier contenant plus de 500 mégaoctets de dossiers de la SLGA, tels que des dossiers bancaires, des budgets, des contrats, des données sur les employés et des ententes avec des fournisseurs.

Le pirate a déclaré qu’il avait contacté CBC parce que le gouvernement refuse de négocier. Nous avons tenté de [...] démarrer des négociations. Ils nous ont dit qu'ils ne se souciaient pas de ce problème, a-t-il dit.

Un formulaire d’autorisation de cartes de crédit au nom de Manmohan Minhas figure parmi les documents fournis par le pirate.

Manmohan Minhas est le propriétaire de Minhas Sask, qui se dit la distillerie, la brasserie et l’entreprise vinicole la plus importante de la province.

Le document comprend les informations de la carte de crédit corporative de M. Minhas, ainsi que sa signature. Le pirate a aussi fourni un autre formulaire que Minhas Sask a soumis au gouvernement fédéral.

Contacté par CBC, Manmohan Minhas a affirmé ne jamais avoir été informé que ses informations personnelles avaient été détournées lors de la cyberattaque de la SLGA.

« Oh boy! C’est la première fois que j’en entends parler.  »

— Une citation de  Manmohan Minhas, propriétaire de Minhas Sask

Cela m’inquiète beaucoup, a-t-il ajouté. Je dois vérifier mes cartes de crédit pour ces derniers mois.

La cyberattaque a eu lieu il y a plus de trois mois. Le 28 décembre, le gouvernement de la Saskatchewan a publié un communiqué de presse au sujet d’un incident de cybersécurité s’étant produit à la SLGA le jour de Noël.

Le communiqué précisait que la SLGA avait lancé une enquête et qu’aucun élément ne laissait croire que la sécurité des clients, des employés ou d’autres données personnelles avaient été compromises.

La Régie est le principal distributeur et la seule agence pouvant accorder des permis de vente d’alcool dans la province. Elle réglemente aussi les jeux de hasard et la vente de cannabis.

CBC a parlé avec un autre fournisseur dont les données confidentielles ont été volées lors de la cyberattaque, selon les documents fournis par le pirate informatique.

Le fournisseur a requis l’anonymat par crainte de possibles conséquences pour son commerce.

La SLGA ne lui a pas dit que les informations de sa carte de crédit avaient été compromises, affirme-t-il.

Je suis assez furieux, et déçu par le manque de transparence. Je sens qu’ils n’ont pas été entièrement honnêtes quant à l'envergure de la violation des données.

Une mise à jour sur le site web

Le 22 mars, la SLGA a publié sur son site web une mise à jour de son enquête. Elle écrivait alors croire qu’une tierce partie non autorisée pouvait avoir eu accès ou avoir pris des informations personnelles de clients réglementés.

La corporation de la Couronne ajoutait que les informations personnelles de registrants aux jeux de hasard, de demandeurs de permis d’alcool et de demandeurs de permis de cannabis avaient été compromises.

Elle précisait aussi que les informations qu’elle collecte comprennent des noms, des adresses, des numéros de téléphone, et, dans certains cas, des dates de naissance, lieux de naissance, numéros de permis de conduire, dossiers criminels, informations médicales, noms antérieurs [par exemple dans les cas où les noms de famille ont changé après un mariage – NDLR], et caractéristiques physiques.

Je me fous de ce qu’ils mettent sur leur site web, a déclaré le fournisseur. Ils devraient contacter les gens directement.

Les réponses de la SLGA

Dans un courriel à CBC, la SLGA affirme avoir contacté des employés et anciens employés directement après la cyberattaque pour leur dire que leurs informations pouvaient avoir été compromises.

La Régie affirme avoir immédiatement offert un service de surveillance de crédit aux employés.

Le courriel ne dit pas si la SLGA a prévenu ses clients et ses fournisseurs quant à une possible violation de leurs données personnelles ni si l’offre de surveillance de crédit a été étendue à d’autres personnes.

La SLGA dit qu’elle sait que des criminels ont eu accès à ses informations mais ne sait pas précisément ce qui a été pris ni ce que les pirates ont fait de ces informations.

Nous n’avons aucune information selon laquelle il y aurait eu un mauvais usage de ces données, écrit la SLGA.

Selon un analyste de la firme de cybersécurité Emsisoft, Brett Callow, la réponse de la SLGA est déconcertante, surtout compte tenu du fait qu’elle n’a pas contacté toutes les personnes dont les données pourraient avoir été volées.

« Comment peuvent-ils savoir que la carte de crédit d’un client n’a pas été mal utilisée s’ils n’ont pas informé le client? »

— Une citation de  Brett Callow, analyste de la firme de cybersécurité Emsisoft

Selon lui, puisque la SLGA ignore en bonne partie quelles données ont été compromises lors de la cyberattaque, elle aurait dû agir en fonction du pire scénario.

S’ils ne peuvent identifier l’envergure de l’attaque et s’ils ne savent pas quelles informations ont été volées et quelles informations ne l’ont pas été, ils ont le devoir d’agir avec précautions et de s’assurer que les gens savent que leurs informations peuvent avoir été compromises, dit-il.

Avec les informations de Geoff Leo

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !