Des fraudeurs pourraient avoir eu accès aux renseignements personnels et financiers d'un certain nombre de clients.
Deux des plus grandes banques canadiennes préviennent que des
"fraudeurs" pourraient avoir eu accès aux informations personnelles et
financières de jusqu'à 90 000 clients.
La Banque de Montréal
a indiqué lundi que
des fraudeurs avaient communiqué avec l'institution dimanche en
prétendant détenir les renseignements personnels de moins de 50 000
clients, sans préciser de genre de données il s'agissait. La banque
croit que la cyberattaque a été commise à l'extérieur du Canada.
"Nous menons une enquête approfondie", a affirmé le porte-parole Paul Gammal dans une déclaration transmise lundi par courriel.
"Nous avons pris connaissance d'affirmations non vérifiées selon
lesquelles les données personnelles et financières de clients auraient
pu être consultées par un fraudeur et une menace a été formulée pour le
rendre public", a-t-il expliqué. La banque n'a pas précisé si
l'agresseur avait demandé de l'argent.
Plus tôt lundi, Simplii Financial, les services bancaires directs de la Banque CIBC,
a prévenu que des "fraudeurs" pouvaient avoir eu accès électroniquement à certains renseignements personnels et de comptes d'environ 40 000 clients de la banque virtuelle.
Simplii Financial a pris connaissance du problème potentiel dimanche
et a mis en place des mesures de sécurité supplémentaires, telles que le
contrôle renforcé des fraudes en ligne, a-t-elle indiqué lundi, en
précisant qu'elle travaillait avec les autorités compétentes.
Nous prenons cette
allégation au sérieux et nous avons pris des mesures afin d'améliorer
nos processus de surveillance et de sécurité.Michael Martin, premier vice-président Simplii Financial
M. Gammal a précisé que les deux incidents semblaient être reliés. La
Banque Royale, la Banque Scotia et la Banque TD ont déclaré que rien ne
leur laissait croire qu'elles avaient été touchées par le problème.
La Banque de Montréal et la CIBC ont toutes deux déclaré qu'elles
communiqueraient avec les clients et ont recommandé à ceux-ci de
surveiller leurs comptes et de contacter leur institution financière
pour toute activité suspecte.
"Nous enquêtons pour déterminer la validité des revendications et le
type de renseignements auxquels (les fraudeurs) auraient pu avoir
accès", a déclaré le porte-parole de la CIBC, Tom Wallis, dans une
déclaration transmise par courriel.
Le ministre des Finances, Bill Morneau, s'est entretenu avec les
dirigeants des institutions concernées, selon la porte-parole du
ministère, Jocelyn Sweet.
"Nous surveillons de près la situation avec le Bureau du surintendant
des institutions financières", a-t-elle déclaré dans un communiqué
envoyé par courriel. "La situation est étudiée par les institutions, en
collaboration avec les forces de l'ordre."
Le Commissariat à la protection de la vie privée avisé
Le Commissariat à la protection de la vie privée a indiqué lundi que les deux banques l'avaient avisé du dossier.
"Nous travaillons avec les organisations pour mieux comprendre ce qui
s'est passé et ce qu'elles font pour atténuer la situation", a déclaré
la porte-parole Valerie Lawton dans un courriel.
"À ce stade, nous sommes en contact avec les entreprises, mais nous n'avons pas ouvert d'enquête formelle."
Simplii a indiqué que les clients victimes de fraude en raison du
problème recevraient 100 pour cent de l'argent perdu du compte bancaire
affecté. La banque virtuelle a ajouté qu'"actuellement, rien n'indique
que les clients utilisant les services bancaires de CIBC auraient été
touchés".
La CIBC a lancé Simplii en novembre, en absorbant les comptes de
quelque deux millions de titulaires de comptes financiers "Le Choix du
Président" (PC Financial). La CIBC fournissait déjà les services
bancaires de base à PC Financial depuis près de 20 ans, mais elle a
conclu en août un accord avec la société mère de PC, Loblaw, pour se
séparer.
Les vols de données potentiels signalés lundi par Simplii et la
Banque de Montréal sont les plus récents incidents de cybersécurité
impliquant des Canadiens.
L'automne dernier, le service de surveillance de crédit Equifax a
informé le public que des pirates avaient eu accès aux données
personnelles de 145,5 millions de clients américains et de 19 000
Canadiens. En janvier, Bell Canada a averti certains de ses clients que
leurs renseignements personnels, tels que leur nom et leurs adresses de
courriel, avaient été consultés illégalement lors d'une violation de
données.
En novembre, la société de covoiturage Uber a déclaré que les pirates
avaient volé des noms, des adresses électroniques et des numéros de
téléphone mobile à des millions d'utilisateurs. Uber a précisé en
décembre que 815 000 Canadiens avaient peut-être été touchés dans le
cadre de la violation de données à l'échelle mondiale.
Les nouvelles règles fédérales en matière de violation de données,
qui exigeraient notamment la déclaration obligatoire des incidents,
doivent entrer en vigueur le 1er novembre.
Les règlements exigent que les organisations déterminent si une
violation de données présente un risque pour toute personne dont
l'information est en cause, puis qu'elles avisent le commissaire fédéral
à la vie privée et les personnes touchées "aussi tôt que possible".
Précédemment, les entreprises qui étaient piratées pouvaient alerter le
public au moment qu'elles jugeaient opportun.
REF.:
