Les Pages Jaunes a bel et bien été victime d’une cyberattaque qui a touché des données d’employés et de clients commerciaux, a confirmé l’entreprise à La Presse. Une lettre a été envoyée aux employés et ex-employés de l’entreprise mardi, soit plus d’un mois après que des données confidentielles les concernant ont fuité.

« Dès que nous avons eu connaissance de l’attaque, nous avons immédiatement lancé une enquête approfondie sur ce problème avec l’aide d’experts externes en cybersécurité pour contenir l’incident et nous assurer que nous avions sécurisé nos systèmes », a indiqué par courriel Franco Sciannamblo, vice-président principal et directeur financier des Pages Jaunes.

Samedi, La Presse révélait que les pirates Black Basta avaient revendiqué une cyberattaque contre les Pages Jaunes. Des échantillons d’informations confidentielles avaient été rendus publics sur le web caché, notamment des copies de passeports, de cartes RAMQ, d’états de compte et de permis de conduire.

En se basant sur son enquête, les Pages Jaunes ont des raisons de croire que les informations ont été volées sur des serveurs « contenant des données sur les employés de Pages Jaunes et des données limitées concernant nos clients commerciaux », a confirmé M. Sciannamblo.

Il a assuré dimanche que l’entreprise a « informé les personnes concernées et signalé cet incident à toutes les autorités réglementaires compétentes en matière de protection de la vie privée ».

Samedi, nous avions parlé avec une personne dont les données circulaient sur le web caché. Cette personne ne voulait pas parler publiquement, mais disait ne pas avoir été contactée par les Pages Jaunes au moment d’apprendre par La Presse la fuite d’information.

Informé par une lettre

Un ex-employé a indiqué avoir reçu mardi une lettre des Pages Jaunes, que La Presse a pu consulter. Cette missive est datée de vendredi dernier, soit le 21 avril, jour où les Black Basta ont revendiqué l’attaque.

« Vous recevez la présente lettre parce que vous êtes ou avez été un employé de Pages Jaunes. Nous vous informons par la présente que le 21 mars 2023, une tierce partie non autorisée a eu accès à certains serveurs de PJ concernant des renseignements au sujet de ses employés. »

Ces renseignements personnels comme des noms, courriels, adresses résidentielles, coordonnées de personnes à contacter en cas d’urgence, salaires, dates de naissance, visas de travail et numéros d’assurance sociale font partie des données qui peuvent avoir fuité, averti Franco Sciannamblo dans cette lettre.

L’entreprise n’explique pas pourquoi plus d’un mois a été nécessaire avant d’informer ses employés et ex-employés de la menace concernant leurs données personnelles.

Un arrangement a été pris pour faire bénéficier les personnes d’un abonnement de deux ans au service de surveillance de crédit myTrueIdentity de TransUnion.

« PJ accorde une grande importance à la protection des renseignements personnels et nous regrettons qu’un tel incident soit survenu », peut-on aussi lire dans la lettre.