Fuite d’information massive chez l’entreprise Goodfellow
D’anciens employés de l’entreprise Goodfellow ont appris par notre Bureau d’enquête que leurs informations médicales piratées sont disponibles sur le dark web.
• À lire aussi: La ligne Info-Santé victime des pirates
Des cybercriminels ont publié des centaines de documents confidentiels volés au producteur de bois d’œuvre de Delson, en Montérégie.
Parmi les données dérobées se trouvent des relevés bancaires de l’entreprise, des informations sur des litiges en cours, et même des résultats de tests sanguins menés pour détecter la présence de drogue dans le sang de candidats à l’emploi.
Le gang NetWalker a diffusé ces données après les avoir détruites sur les serveurs de l’entreprise, fin septembre.
Les informations incluent aussi des dizaines d’enquêtes préembauche qu’a menées la firme Garda.
Les pirates ont également publié sur le dark web des demandes de prestation d’assurance mentionnant des maladies et des blessures qui ont affecté des salariés, ainsi que des relevés de paye et des dossiers disciplinaires.
Pas au courant
Notre Bureau d’enquête a contacté certains employés affectés. Parmi ceux qui ont quitté l’entreprise, aucun n’était au courant de la fuite.
« Je ne savais même pas qu’ils avaient encore de l’information sur moi après plus d’un an », dit Sébastien Boisvert, un ancien représentant aux ventes qui a quitté Goodfellow en 2019.
Les résultats du test sanguin qu’il a passé avant son embauche se retrouvent en ligne et il est étonné que l’entreprise ne l’ait pas alerté.
Inscrite en Bourse, Goodfellow a déclaré la cyberattaque dans son dernier rapport de gestion le 15 octobre, sans donner de détails.
« J’ai été transparent avec mes employés. Ils sont au courant », assure le PDG, Patrick Goodfellow.
L’entreprise de 800 employés a refusé de payer la rançon aux cyberpirates, selon nos informations, préférant reconstruire son réseau. « Tout progresse bien en ce moment », assure le patron.
Difficile à chiffrer
Patrick Goodfellow se dit incapable d’évaluer le coût de l’opération.
« C’est très subjectif, juge-t-il. Combien de commandes on a pu perdre parce que le système a été compromis ? Est-ce que certaines marchandises ont été mal expédiées à cause de ça ? »
Même si la loi ne l’y oblige pas encore, Goodfellow a averti la Commission d’accès à l’information du Québec de l’incident.
« C’est toujours très préoccupant, ce genre de fuites, dit la porte-parole Isabelle Gosselin. C’est la vie privée des gens qui est en jeu, et il peut aussi se produire d’autres atteintes aux droits fondamentaux, comme l’atteinte à la réputation. »