« Ce ne sont pas [les régulateurs] qui font face aux clients », rapporte « Pat Doe », pseudonyme du président et chef de la conformité d’un courtier ontarien. La publication a accepté de ne pas identifier le dirigeant ni la firme, celle-ci devant prochainement faire l’objet d’un audit réglementaire.

« Ce ne sont pas eux qui risquent de perdre un client, ajoute-t-il. En ce moment, ce n’est pas facile d’être conseiller et d’avoir ces conversations. »

Le 14 janvier, l’OCRI a indiqué qu’environ 750 000 investisseurs canadiens ont été touchés par la brèche, détectée le 11 août à la suite d’une attaque d’hameçonnage. Le 9 septembre, l’organisme confirmait que des renseignements personnels de personnes inscrites avaient été piratés.

Les données compromises pourraient inclure des dates de naissance, des numéros de téléphone, des revenus annuels, des numéros d’assurance sociale, des numéros de pièces d’identité gouvernementales, des numéros de compte d’investissement et des relevés de compte. Ces données provenaient des travaux d’enquête, d’évaluation de la conformité et de surveillance des marchés de l’OCRI.

Manque d’information pour les courtiers

Les courtiers ne disposent pas d’une liste complète des clients touchés, ce qui complique les discussions proactives.

« Les régulateurs nous ont fourni le minimum d’information possible pour gérer la perte d’une quantité importante de données et ces données appartiennent à nos clients », explique Geoff Whitlam, président de Research Capital.

Natasa Morfesis, vice-présidente principale, conformité des courtiers et chef de la conformité chez Worldsource Wealth Management, explique que dans certains cas, notamment les examens de surveillance des marchés, les données ne permettent pas d’identifier avec certitude le courtier concerné.

L’OCRI a précisé qu’elle ne transmettrait pas aux firmes la liste des personnes touchées.

Ainsi, une lettre pourrait concerner un ancien compte détenu auprès d’un autre courtier réglementé par l’OCRI.

Dan Hallett, de HighView Financial Group, souligne l’incertitude sur la période visée : « Est-ce l’an dernier ? Il y a cinq ans ? Dix ans ? »

Pourquoi l’OCRI détenait-elle ces données ?

Certains clients s’interrogent sur la nature des documents compromis.

Geoff Whitlam note que la date de naissance, par exemple, « n’apparaît pas sur les relevés de compte ni dans les données de surveillance des marchés ». Les clients veulent savoir pourquoi et comment l’OCRI détenait ces renseignements.

Dans une déclaration écrite, l’OCRI indique que ses dossiers sont soumis à des obligations légales et réglementaires de conservation, variables selon le type d’information. L’organisme affirme avoir mis en place des politiques internes et s’être engagé à les revoir à la lumière de l’incident.

Lettres de notification source de confusion

Certains clients craignent que les lettres soient elles-mêmes frauduleuses.

Une offre de deux ans de surveillance du crédit a même été perçue par certains comme une possible arnaque.

Des conseillers ont aussi signalé des erreurs d’adressage ou des ambiguïtés, notamment pour des comptes conjoints ou des successions.

Les conseillers ne peuvent pas inscrire leurs clients à la surveillance du crédit en leur nom, puisque chaque lettre contient un code unique. Ils peuvent seulement encourager les clients à appeler le numéro indiqué, une réponse jugée « froide » par certains professionnels.

Pression sur les conseillers

Plusieurs conseillers hésitent à envoyer une communication de masse, afin d’éviter de provoquer une panique inutile.

Brenda Potter Phelan, de Investia Financial Services, dit craindre de paraître « indifférente ou mal informée » si des clients reçoivent une lettre sans avoir été contactés par elle.

Jason Pereira, associé chez Woodgate Financial, privilégie une approche réactive. « Rejoindre toute ma clientèle créerait une inquiétude inutile », estime-t-il.

Il rappelle que les atteintes à la protection des données sont devenues monnaie courante. « Peu importe l’institution, grande banque ou courtier indépendant, l’OCRI est un organisme national », souligne-t-il.

Conseils aux clients

Malgré les frustrations, plusieurs conseillers recommandent l’inscription aux services gratuits de surveillance du crédit.

Dan Hallett, qui a lui-même reçu une lettre en tant qu’ancien inscrit, dit que l’inscription lui a apporté « une certaine tranquillité d’esprit » et qu’aucune activité suspecte n’a été détectée jusqu’à présent.

En attendant davantage de transparence, les conseillers continuent d’assumer le rôle de soutien émotionnel et pédagogique auprès de leurs clients, même lorsqu’ils ne disposent pas de toutes les réponses.

Elle a précisé que le suspect a été localisé et arrêté le 6 novembre dernier grâce à une opération commune entre les autorités espagnoles, la SQ et Interpol, qui avait émis à son endroit une «Notice rouge» pour faciliter sa localisation à l’international.

Juan Pablo Serrano figurait parmi les fugitifs les plus recherchés au Québec.

Il demeurera détenu en Espagne le temps que soient amorcées les procédures d’extradition en vue de son retour au Canada, où il devra répondre à plusieurs chefs d’accusation en vertu du Code criminel, soit fraude de plus de 5000 $, vol d’identité et trafic de renseignements identificateurs.

Dans un communiqué de presse, la SQ a souligné «la collaboration essentielle des autorités espagnoles, d’Interpol et des partenaires nationaux et internationaux, dont U.S. Secret Service Ottawa Field Office et Madrid Resident Office, qui ont contribué au succès de cette opération».

Des conseillers informés par l’OCRI que leurs renseignements ont été compromis dans la brèche, découverte le 11 août, rapportent que leurs données circulent désormais sur le dark web.

Par exemple, un conseiller indique que, dès son inscription aux services d’atténuation des risques offerts par l’OCRI en réponse à l’incident, il a reçu une alerte d’Equifax l’avertissant que son adresse courriel professionnelle était utilisée sur un site de négociation frauduleux.

L’OCRI offre deux ans de services d’atténuation des risques, soit de la protection contre le vol d’identité et de la surveillance des bureaux de crédit, en collaboration avec TransUnion et Equifax.

Le fait que des données mal acquises semblent déjà circuler renforce l’urgence pour les personnes touchées de s’inscrire aux services de protection proposés. L’ampleur de l’incident, qui touche toutes les firmes (passées et présentes) membres de l’OCRI, et la nature sensible des données en jeu exigent que les représentants prennent des mesures de protection immédiates.

Parmi les données potentiellement exposées, on trouve :

• les noms, adresses, adresses courriel,
• dates de naissance, caractéristiques physiques (couleur des cheveux et des yeux, taille, poids),
• des numéros de passeport,
• des informations financières personnelles exigées lors de l’inscription (divulgation sur les valeurs mobilières et les produits dérivés, solvabilité financière, activités extérieures),
• ainsi que des notes issues d’enquêtes réglementaires, et des divulgations civiles ou criminelles.

Comme certaines de ces données vont au-delà des informations habituellement visées lors d’une cyberattaque, certains représentants s’inquiètent de la réponse de l’OCRI, jugée potentiellement insuffisante.

L’OCRI défend toutefois les mesures en place. Dans une foire aux questions publiée sur son site web, l’organisme affirme que « ce [qu’elle offre] en matière d’atténuation des risques est considéré comme une pratique exemplaire ».

Concernant les numéros de passeport compromis, l’OCRI indique qu’il n’est pas nécessaire de remplacer les documents, mais recommande de signaler immédiatement toute utilisation frauduleuse aux autorités. Cela dit, il n’est pas clair comment un représentant pourrait savoir que son numéro de passeport est utilisé à mauvais escient, ce type d’abus ne figure pas sur un rapport de crédit.

Il reste donc à voir si d’autres répercussions découleront de cette attaque.

Le précédent de l’OCRCVM en 2013

En 2013, le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité à la suite de la perte d’un ordinateur portable contenant des renseignements personnels sur des investisseurs. Une action collective avait alors été intentée, sans succès.

En 2021, la Cour supérieure du Québec a rejeté la demande de recours collectif. Elle jugeait que :

• les inconvénients subis (stress, inquiétude, désagrément) ne justifiaient pas une indemnisation,
• il n’y avait pas de preuve d’utilisation frauduleuse des données,
• l’organisme avait réagi avec diligence,
• et aucun dommage punitif ne s’imposait.

Cela dit, la brèche de l’OCRI est d’un autre ordre. Il ne s’agit pas d’un simple oubli humain, mais bien d’une cyberattaque externe, ce qui pose des questions plus profondes sur la cybersécurité des organismes de réglementation.

Ce piratage survient quelques mois seulement après que les autorités provinciales de réglementation ont délégué davantage de responsabilités à l’OCRI, notamment en matière d’enregistrement des représentants.

Dans le cadre de cette délégation, les autorités avaient promis de renforcer leur surveillance de l’OCRI. En vertu de son ordonnance de reconnaissance, l’OCRI devait assurer la sécurité et l’intégrité des données de ses systèmes, et signaler toute atteinte majeure à la sécurité aux régulateurs provinciaux.

Un bilan « positif » avant l’attaque

Dans leur plus récente évaluation, les autorités provinciales ont conclu que les systèmes informatiques de l’OCRI respectaient les exigences prévues dans son cadre de reconnaissance. Ce rapport, publié en juillet par les Autorités canadiennes en valeurs mobilières (ACVM), concluait que les systèmes critiques et les partenariats technologiques externes de l’OCRI étaient en règle, bien qu’une préoccupation ait été soulevée concernant la transmission de certaines données (non personnelles) via des serveurs situés aux États-Unis, pratique qui devait cesser en juillet.

Depuis la découverte de la brèche, les ACVM surveillent les démarches de l’OCRI. « Même si l’OCRI mène la réponse à l’incident, les ACVM continuent à superviser ses actions dans le cadre de notre rôle de surveillance. L’OCRI nous informe régulièrement des mesures prises et des progrès de son enquête », selon Ilana Kelemen, conseillère principale des communications et relations avec les parties prenantes aux ACVM.

Les ACVM ont aussi procédé à une vérification de leurs propres systèmes pour détecter d’éventuelles anomalies et aucune activité suspecte n’a été détectée.

À noter : la Base de données nationale d’inscription n’a pas été touchée par la brèche, selon les constats actuels.

Bien que l’OCRI n’ait pas signalé l’incident au Commissaire à l’information et à la protection de la vie privée de l’Ontario (IPC), ce dernier a contacté la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir plus d’information.

Les OAR comme l’OCRI ne sont pas tenus de signaler les atteintes à la vie privée à l’IPC, mais les institutions provinciales, comme la CVMO, doivent le faire en cas de risque important de préjudice.

Or, les données compromises ont été recueillies en vertu des pouvoirs délégués par la CVMO à l’OCRI.

Quatre autres suspects ont été arrêtés, a annoncé la SQ jeudi. Il s’agit de Jean-Loup Masse-Leullier, 32 ans, François Baillargeon-Bouchard, 35 ans, Laurence Bernier, 29 ans, et Charles Bernier, 31 ans.

Ils font face à des accusations, notamment de fraude, de vol d’identité et de trafic de renseignements identificateurs.

Ces arrestations, dans le cadre de l’enquête Portier, sont liées au « vol et la revente de renseignements personnels des 9,7 millions de membres et clients du Mouvement Desjardins ».

« Amorcé en juin 2019, le projet Portier visait à retracer les individus ayant volé, utilisé et distribué à des fins frauduleuses les listes de données nominatives », peut-on lire dans le communiqué de la SQ.

Trois suspects n’ont pas encore été localisés. Des mandats d’arrestation ont été émis contre eux.

« Le projet Portier a permis de mettre en lumière la manière dont les suspects ont obtenu les renseignements personnels, de quelles façons ces renseignements personnels ont ensuite été transigés entre les suspects et comment ces listes ont été vendues à des individus malveillants opérant plusieurs stratagèmes de fraude », a expliqué un porte-parole de la SQ, Benoît Richard, jeudi à Québec.

« Le projet Portier a aussi emmené la SQ à travailler sur plusieurs autres projets d’enquête. Certains de ces projets d’enquête sont déjà devant les tribunaux alors que d’autres sont toujours en cours », a-t-il ajouté.

Mercredi, le Service de police de Laval (SPL) a annoncé l’arrestation de trois autres suspects également liés à ce vol de données.

Deux rapports accablants

En décembre 2020, deux rapports accablants au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger en 2019, dont près de 7 millions de Québécois, concluaient que Desjardins n’avait pas respecté plusieurs obligations que lui imposait la Loi sur la protection des renseignements personnels dans le secteur privé.

Le rapport de la Commission d’accès à l’information du Québec soulignait que la coopérative avait « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés ».

Sébastien Boulanger-Dorval, qui est à l’origine de la fuite, travaillait au sein de l’équipe marketing au siège social de Desjardins.

Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, soulignait le rapport de la Commission d’accès à l’information.

Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.