Des conseillers informés par l’OCRI que leurs renseignements ont été compromis dans la brèche, découverte le 11 août, rapportent que leurs données circulent désormais sur le dark web.

Par exemple, un conseiller indique que, dès son inscription aux services d’atténuation des risques offerts par l’OCRI en réponse à l’incident, il a reçu une alerte d’Equifax l’avertissant que son adresse courriel professionnelle était utilisée sur un site de négociation frauduleux.

L’OCRI offre deux ans de services d’atténuation des risques, soit de la protection contre le vol d’identité et de la surveillance des bureaux de crédit, en collaboration avec TransUnion et Equifax.

Le fait que des données mal acquises semblent déjà circuler renforce l’urgence pour les personnes touchées de s’inscrire aux services de protection proposés. L’ampleur de l’incident, qui touche toutes les firmes (passées et présentes) membres de l’OCRI, et la nature sensible des données en jeu exigent que les représentants prennent des mesures de protection immédiates.

Parmi les données potentiellement exposées, on trouve :

• les noms, adresses, adresses courriel,
• dates de naissance, caractéristiques physiques (couleur des cheveux et des yeux, taille, poids),
• des numéros de passeport,
• des informations financières personnelles exigées lors de l’inscription (divulgation sur les valeurs mobilières et les produits dérivés, solvabilité financière, activités extérieures),
• ainsi que des notes issues d’enquêtes réglementaires, et des divulgations civiles ou criminelles.

Comme certaines de ces données vont au-delà des informations habituellement visées lors d’une cyberattaque, certains représentants s’inquiètent de la réponse de l’OCRI, jugée potentiellement insuffisante.

L’OCRI défend toutefois les mesures en place. Dans une foire aux questions publiée sur son site web, l’organisme affirme que « ce [qu’elle offre] en matière d’atténuation des risques est considéré comme une pratique exemplaire ».

Concernant les numéros de passeport compromis, l’OCRI indique qu’il n’est pas nécessaire de remplacer les documents, mais recommande de signaler immédiatement toute utilisation frauduleuse aux autorités. Cela dit, il n’est pas clair comment un représentant pourrait savoir que son numéro de passeport est utilisé à mauvais escient, ce type d’abus ne figure pas sur un rapport de crédit.

Il reste donc à voir si d’autres répercussions découleront de cette attaque.

Le précédent de l’OCRCVM en 2013

En 2013, le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité à la suite de la perte d’un ordinateur portable contenant des renseignements personnels sur des investisseurs. Une action collective avait alors été intentée, sans succès.

En 2021, la Cour supérieure du Québec a rejeté la demande de recours collectif. Elle jugeait que :

• les inconvénients subis (stress, inquiétude, désagrément) ne justifiaient pas une indemnisation,
• il n’y avait pas de preuve d’utilisation frauduleuse des données,
• l’organisme avait réagi avec diligence,
• et aucun dommage punitif ne s’imposait.

Cela dit, la brèche de l’OCRI est d’un autre ordre. Il ne s’agit pas d’un simple oubli humain, mais bien d’une cyberattaque externe, ce qui pose des questions plus profondes sur la cybersécurité des organismes de réglementation.

Ce piratage survient quelques mois seulement après que les autorités provinciales de réglementation ont délégué davantage de responsabilités à l’OCRI, notamment en matière d’enregistrement des représentants.

Dans le cadre de cette délégation, les autorités avaient promis de renforcer leur surveillance de l’OCRI. En vertu de son ordonnance de reconnaissance, l’OCRI devait assurer la sécurité et l’intégrité des données de ses systèmes, et signaler toute atteinte majeure à la sécurité aux régulateurs provinciaux.

Un bilan « positif » avant l’attaque

Dans leur plus récente évaluation, les autorités provinciales ont conclu que les systèmes informatiques de l’OCRI respectaient les exigences prévues dans son cadre de reconnaissance. Ce rapport, publié en juillet par les Autorités canadiennes en valeurs mobilières (ACVM), concluait que les systèmes critiques et les partenariats technologiques externes de l’OCRI étaient en règle, bien qu’une préoccupation ait été soulevée concernant la transmission de certaines données (non personnelles) via des serveurs situés aux États-Unis, pratique qui devait cesser en juillet.

Depuis la découverte de la brèche, les ACVM surveillent les démarches de l’OCRI. « Même si l’OCRI mène la réponse à l’incident, les ACVM continuent à superviser ses actions dans le cadre de notre rôle de surveillance. L’OCRI nous informe régulièrement des mesures prises et des progrès de son enquête », selon Ilana Kelemen, conseillère principale des communications et relations avec les parties prenantes aux ACVM.

Les ACVM ont aussi procédé à une vérification de leurs propres systèmes pour détecter d’éventuelles anomalies et aucune activité suspecte n’a été détectée.

À noter : la Base de données nationale d’inscription n’a pas été touchée par la brèche, selon les constats actuels.

Bien que l’OCRI n’ait pas signalé l’incident au Commissaire à l’information et à la protection de la vie privée de l’Ontario (IPC), ce dernier a contacté la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir plus d’information.

Les OAR comme l’OCRI ne sont pas tenus de signaler les atteintes à la vie privée à l’IPC, mais les institutions provinciales, comme la CVMO, doivent le faire en cas de risque important de préjudice.

Or, les données compromises ont été recueillies en vertu des pouvoirs délégués par la CVMO à l’OCRI.

L’article Faille de sécurité de l’OCRI : les conseillers s’inquiètent est apparu en premier sur Finance et Investissement.

Quatre autres suspects ont été arrêtés, a annoncé la SQ jeudi. Il s’agit de Jean-Loup Masse-Leullier, 32 ans, François Baillargeon-Bouchard, 35 ans, Laurence Bernier, 29 ans, et Charles Bernier, 31 ans.

Ils font face à des accusations, notamment de fraude, de vol d’identité et de trafic de renseignements identificateurs.

Ces arrestations, dans le cadre de l’enquête Portier, sont liées au « vol et la revente de renseignements personnels des 9,7 millions de membres et clients du Mouvement Desjardins ».

« Amorcé en juin 2019, le projet Portier visait à retracer les individus ayant volé, utilisé et distribué à des fins frauduleuses les listes de données nominatives », peut-on lire dans le communiqué de la SQ.

Trois suspects n’ont pas encore été localisés. Des mandats d’arrestation ont été émis contre eux.

« Le projet Portier a permis de mettre en lumière la manière dont les suspects ont obtenu les renseignements personnels, de quelles façons ces renseignements personnels ont ensuite été transigés entre les suspects et comment ces listes ont été vendues à des individus malveillants opérant plusieurs stratagèmes de fraude », a expliqué un porte-parole de la SQ, Benoît Richard, jeudi à Québec.

« Le projet Portier a aussi emmené la SQ à travailler sur plusieurs autres projets d’enquête. Certains de ces projets d’enquête sont déjà devant les tribunaux alors que d’autres sont toujours en cours », a-t-il ajouté.

Mercredi, le Service de police de Laval (SPL) a annoncé l’arrestation de trois autres suspects également liés à ce vol de données.

Deux rapports accablants

En décembre 2020, deux rapports accablants au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger en 2019, dont près de 7 millions de Québécois, concluaient que Desjardins n’avait pas respecté plusieurs obligations que lui imposait la Loi sur la protection des renseignements personnels dans le secteur privé.

Le rapport de la Commission d’accès à l’information du Québec soulignait que la coopérative avait « manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés ».

Sébastien Boulanger-Dorval, qui est à l’origine de la fuite, travaillait au sein de l’équipe marketing au siège social de Desjardins.

Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, soulignait le rapport de la Commission d’accès à l’information.

Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.

L’article Fuites de données chez Desjardins : plusieurs suspects arrêtés est apparu en premier sur Finance et Investissement.