L’homme d’affaires utilise un ordinateur portable avec un graphique de croissance économique du monde virtuel avec un panneau d’avertissement rouge pour la prudence dans l’avertissement de la situation économique d’investissement, les risques.
Pakin Jarerndee / iStock

« Cela va être un processus. »

C’est ainsi que Andrew Kriegler, chef de la direction de l’Organisme canadien de réglementation des investissements (OCRI), a décrit la réponse réglementaire continue à la fuite de données subie par l’organisme en août. Cette réponse inclut une réévaluation des types de données recueillies par les organismes de réglementation, a indiqué Andrew Kriegler. Au terme de ce processus, l’OCRI vise à devenir « le meilleur de sa catégorie », a-t-il assuré. Andrew Kriegler a fait ces déclarations à la mi-octobre lors de la conférence annuelle de la Securities and Investment Management Association.

À la suite de la fuite de données de l’OCRI, qui a exposé des renseignements personnels de personnes inscrites, actuelles comme anciennes, les conseillers entreprennent eux aussi leur propre processus : une surveillance continue du crédit et la protection contre le vol d’identité.

Les conseillers sont toutefois loin d’être les seuls concernés. La proportion de Canadiens âgés de 15 ans et plus ayant vécu des incidents de cybersécurité, allant du pourriel à l’utilisation frauduleuse de cartes de paiement, est passée de 58 % en 2020 à 70 % en 2022, selon l’Enquête canadienne sur l’utilisation d’Internet, commanditée par Innovation, Sciences et Développement économique Canada.

En 2021, le Centre antifraude du Canada a publié un avertissement au sujet d’une hausse des signalements de fraude identitaire : « Les fraudeurs utilisent des renseignements personnels sur les Canadiens pour demander des prestations gouvernementales, des cartes de crédit, des comptes bancaires, des comptes de téléphonie cellulaire, ou même pour prendre le contrôle de comptes de médias sociaux et de courriel », indique le site du Centre. « Il est important que les Canadiens prennent des mesures pour sécuriser leurs renseignements personnels et financiers, et sachent quoi faire en cas de fraude identitaire. »
<di

Que doivent faire les particuliers après une fuite de données ?

  1. Renforcer ses accès : Modifier tous ses mots de passe et activer l’authentification multifacteur
  2. Protéger son identité financière : Utiliser un service de surveillance du crédit, ajouter des alertes à la fraude, et geler le dossier de crédit (pour les résidents du Québec)
  3. Surveiller la fraude « à long terme » : Surtout lorsque des mots de passe ou des données d’identification personnelle (courriel, numéro de compte bancaire, numéro de passeport) sont compromis. Le vol d’identité survient souvent 12 à 36 mois après une fuite : demandes de crédit non autorisées, changements dans les comptes bancaires ou auprès de l’Agence du revenu du Canada, échanges de carte SIM, factures ou comptes que vous n’avez pas ouverts.
  4. Attention à l’hameçonnage ciblé : Les renseignements volés servent à créer des arnaques hyper-personnalisées, amplifiées par l’IA.

Source : Darace Rose

Selon Darace Rose, cofondateur et chef de la direction de l’entreprise de cybersécurité Oppos, à Mississauga (Ontario), une fuite de données représente « le début d’un risque d’identité à long terme ».

Lorsque les personnes sont avisées d’une fuite, elles doivent « renforcer » leur empreinte numérique, « l’étape la plus importante après une fuite », souligne Darace Rose. Cela inclut la mise à jour des mots de passe, en commençant par le courriel. Il recommande l’utilisation de phrases de passe plutôt que des mots de passe utilisant des informations personnelles comme la date de naissance. Il ajoute que les mots de passe doivent être mis à jour régulièrement.

Patrick Boudreau, responsable de la lutte contre la fraude chez TransUnion Canada, à Toronto, indique que l’authentification multifacteur doit être activée sur les comptes, y compris sur les comptes de médias sociaux. Il faut privilégier l’authentification multifacteur via une application dédiée, plutôt que l’authentification multifacteur par SMS, qui peut être contournée, ajoute Darace Rose.

Il est également essentiel de s’assurer qu’aucune information personnelle n’est associée aux comptes de médias sociaux. « Sur les médias sociaux… n’ajoutez jamais votre vraie date de naissance, votre adresse, votre numéro de téléphone ou votre courriel », avertit Patrick Boudreau.

Toutes ces informations figuraient parmi les données compromises de l’OCRI. D’autres informations personnelles susceptibles d’avoir été exposées incluent la taille, le poids et la couleur des yeux — des informations qui ont retenu l’attention de Julie Kuzmic, responsable de la défense des consommateurs et de la conformité chez Equifax, à Toronto. « On ne voit pas souvent ce type de données dans les fuites », observe-t-elle. La préoccupation est que, « plus une personne malintentionnée rassemble d’informations sur un individu, plus le risque augmente qu’elle puisse usurper pleinement son identité ».

Les fraudeurs peuvent appeler ou envoyer un courriel pour obtenir les renseignements manquants permettant de constituer une « identité complète », indique Patrick Boudreau. « Soyez prudent avec les appels entrants » et « hyper-vigilant » avec vos courriels, en évitant de cliquer sur des liens ou d’ouvrir des pièces jointes suspectes.

Les entreprises offrent généralement deux ans de surveillance du crédit et de protection contre le vol d’identité après une fuite, comme l’a fait l’OCRI (la date limite d’inscription est le 31 janvier). Darace Rose recommande jusqu’à 36 mois de surveillance lorsque des mots de passe ou des renseignements identifiants ont été exposés.

« Ce que les gens oublient, c’est que le vol d’identité est un crime à combustion lente », dit-il. « Vos données peuvent circuler sur les marchés criminels pendant des années. » (Il indique utiliser lui-même une surveillance continue avec l’un des bureaux de crédit.)

Les fraudeurs peuvent garder les données jusqu’à ce que les deux années typiques de surveillance gratuite soient passées, note Patrick Boudreau.

Il n’est pas indispensable de payer pour la surveillance. Il est possible d’accéder gratuitement à son rapport de crédit en ligne, avec des mises à jour mensuelles fournies par les bureaux de crédit. « Au minimum, nous recommandons à chaque consommateur de consulter son dossier de crédit une fois par an », dit-il, et d’enquêter sur toute activité inconnue.

De plus, « tout le monde au Canada peut ajouter une alerte à la fraude ou une alerte d’identité à son dossier de crédit — gratuitement », indique Julie Kuzmic. (Il s’agit du même mécanisme, le terme varie selon la province.)

L’OCRI a suggéré de placer des alertes sur votre dossier de crédit.

Selon la province, les prêteurs peuvent être tenus, ou non, de respecter l’alerte, explique Julie Kuzmic ; malgré cela, « cela semble efficace, car nous n’avons pas connaissance de cas où la personne n’a pas été contactée. »

La possibilité de geler son dossier de crédit, pour empêcher la création de nouvelles demandes en son nom, n’est pour l’instant offerte qu’au Québec. En Ontario, une nouvelle réglementation sur le gel des dossiers entrera en vigueur en juillet 2026, les bureaux de crédit disposant d’une année supplémentaire pour s’y conformer.

Selon Claudiu Popa, cofondateur et président de la KnowledgeFlow Cybersecurity Foundation, à Toronto, un organisme à but non lucratif qui milite pour la cybersécurité, ces gels statutaires compensent des limites associées à la surveillance du crédit.

Par exemple, la surveillance est réactive, et non préventive. De plus, les offres gratuites normalisent les fuites de données comme un simple désagrément, écrit-il dans un blogue. Avec des mesures comme le gel statutaire, « la responsabilité de prévenir l’utilisation abusive des données des consommateurs passe de la vigilance individuelle à la responsabilité institutionnelle et à la supervision ».

Julie Kuzmic dit s’attendre à ce que le gel des dossiers de crédit finisse par être déployé dans d’autres provinces. Cependant, harmoniser ces règles présente des défis opérationnels, notamment pour les coopératives de crédit et les petits prêteurs qui opèrent dans une seule province.

Se concentrer sur le rapport de crédit, pas sur la cote de crédit

Les rapports de crédit incluent les cotes de crédit, qui peuvent susciter de fortes émotions. « Il est très important de rappeler que les cotes de crédit ne sont pas des jugements moraux », souligne Julie Kuzmic.

Les bureaux de crédit calculent plusieurs versions d’une cote (généralement entre 300 et 900), avec des pondérations différentes. Les banques et les prêteurs utilisent leur propre méthode pour approuver des prêts en fonction de la version de cote choisie.

Ainsi, même si la cote peut fluctuer, toutes les versions se basent sur les données du rapport de crédit, explique-t-elle. « L’essentiel, c’est de surveiller les données de votre rapport, pas le chiffre de la cote. »

De plus, les consommateurs qui se trouvent dans la fourchette la plus élevée, autour de 750-760 selon la version de la cote, n’ont pas besoin d’améliorer leur score. Par exemple, un consommateur avec une cote de 780 et un autre avec 880, dans la même version, seront considérés comme identiques par un prêteur sur la seule base du score. « Ce n’est pas 780 sur 900 », illustre-t-elle.

En plus de la surveillance du crédit, la surveillance du dark web est incluse dans les services offerts par Equifax et TransUnion aux personnes touchées par la fuite de l’OCRI (d’autres fournisseurs offrent aussi ce service). La surveillance « vous avertira si vos informations sont détectées en ligne, à n’importe quel moment dans l’avenir, que ce soit en lien avec cet incident ou un autre », précise le site de l’OCRI.

Darace Rose recommande généralement la surveillance du dark web, car des mots de passe volés peuvent être réutilisés dans des attaques de type bourrage d’identifiants ou exploités au moyen de l’échange de cartes SIM. (La fuite de l’OCRI n’impliquait pas de mots de passe, et l’organisme affirme qu’il n’existe aucune preuve, pour l’instant, que les données compromises aient circulé sur le dark web.)

Avec une attaque de type échange de cartes SIM, un fraudeur demande à votre fournisseur mobile une nouvelle carte SIM à votre nom et obtient ainsi l’accès à vos comptes.

Cependant, « les télécommunicateurs se sont beaucoup renforcés au cours des 12 derniers mois, ils ne remplacent plus aussi facilement les cartes SIM », observe Darace Rose.

Fuites de données notoires

Parmi les grandes fuites de données au Canada figurent l’incident chez LifeLabs, qui a touché environ 15 millions de personnes, et celui du Mouvement Desjardins, qui a touché environ 10 millions de personnes. Les deux fuites se sont produites en 2019 et ont donné lieu à des règlements.

Equifax a été victime d’une énorme fuite de données aux États-Unis en 2017, qui a touché près de la moitié de la population américaine ainsi qu’environ 19 000 Canadiens, indique Julie Kuzmic. L’incident a mené à un règlement avec la Federal Trade Commission et d’autres organismes, incluant l’obligation de mettre en œuvre un programme de sécurité de l’information.

Equifax a depuis investi des milliards dans son infrastructure TI et améliore continuellement ses systèmes, souligne-t-elle. Elle indique aussi certaines mesures de protection : par exemple, les données des rapports de crédit sont désormais masquées, de sorte que les numéros complets ne sont pas visibles. « La logique est que, si ces informations tombaient entre de mauvaises mains, elles seraient moins exploitables », explique-t-elle.

TransUnion aux États-Unis a été touchée par une fuite cet été, impliquant un fournisseur tiers, comme le précise le site de l’OCRI. Cette fuite n’impliquait pas de rapports de crédit, selon un avis transmis aux résidents du Maine concernés.