Des cyberpirates ont compromis les données de la « majorité » des 10 000 clients de la Financière des professionnels lors d’une intrusion en avril. L’entreprise offre des services de planification fiscale et financière à des clients aisés : médecins, dentistes, pharmaciens, notaires et architectes.

Hugo Joncas
Hugo Joncas La Presse

« Dès les premières alertes, nos systèmes de vigie ont pu bloquer tous les accès aux serveurs pour limiter la portée de l’intrusion », dit Sonia Bergeron, directrice des communications de la Financière (FDP). « Notre enquête nous révèle néanmoins qu’il y aurait eu exfiltration partielle de données. »

Bref, les cybercriminels ont pu dérober une partie de l’information confidentielle qu’abrite le serveur visé. Les données potentiellement compromises incluent le numéro d’assurance sociale des clients, leur date de naissance, leurs coordonnées, de même que « certaines informations bancaires » comme des numéros de comptes et de cartes de crédit, ainsi que des numéros de comptes clients auprès de la FDP. Ces informations sont d’autant plus sensibles que les clients de la Financière touchent des revenus importants.

Annoncée près de trois mois plus tard

La Financière a commencé seulement le 17 juin à avertir les victimes potentielles de la fuite. « Avant d’alerter tous les clients de la situation, nous devions comprendre la nature de l’incident pour avoir une image complète des évènements afin de fournir le niveau de détail nécessaire aux individus », explique Sonia Bergeron.

Un délai plutôt normal, étant donné les vérifications qui s’imposaient, selon Nicolas Vermeys, spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal. « Ce n’est pas déraisonnable d’évaluer les dommages avant d’aviser les clients, pour ne pas créer de panique ou de peur injustifiée, dit-il. Établir qu’il y a eu une atteinte, ça peut prendre un certain temps. »

PHOTO ANDRÉ PICHETTE, ARCHIVES LA PRESSE

Nicolas Vermeys, spécialiste en sécurité de l’information à la faculté de droit de l’Université de Montréal

Patrick Mathieu, cofondateur du Hackfest et chef de la cybersécurité offensive chez LogMeIn, est d’accord, mais il trouve que ce travail devrait se faire plus rapidement. « Une enquête de plus de deux mois, c’est long », déplore-t-il.

La Financière refuse de dire combien de personnes sont touchées exactement. « On préfère ne pas s’étendre là-dessus, mais ça touche une bonne partie de la clientèle », dit Sonia Bergeron.

La FDP fait affaire notamment avec la firme d’audit KPMG pour établir l’étendue des dommages. Jusqu’ici, elle n’a pas trouvé de traces de documents dérobés à la Financière sur l’internet.

Dans tout le processus d’analyse effectuée par des experts externes, y compris dans le cadre de la surveillance du dark web [l’internet caché], nous n’avons pas obtenu de preuve voulant que les renseignements personnels de nos clients aient été utilisés à mauvais escient à la suite de ces incidents.

Sonia Bergeron, directrice des communications de la Financière des professionnels

La porte-parole indique que l’intrusion était « de type rançongiciel ». Elle n’a toutefois pas pu préciser à La Presse de quelle façon l’organisation était en mesure de l’affirmer. La Financière dit que ses données n’ont pas été cryptées, comme c’est le cas habituellement dans les attaques au rançongiciel.

Le vice-président à la gestion de l’information et de la technologie, André Daoud, n’a pas répondu à nos demandes d’entrevue par téléphone ou courriel.

À la Fédération des médecins spécialistes du Québec, l’un des actionnaires de la Financière, la porte-parole Anne-Louise Chauvette refuse de dire quand l’organisation a été mise au parfum de la fuite potentielle. La relationniste a elle-même appris la nouvelle « la semaine dernière », avant les clients de l’entreprise.

« Oui, il y a eu des accès [aux données de clients de la FDP], mais ce n’est pas dramatique, assure-t-elle. Ç’a été contrôlé, les clients ont été joints et des mesures ont été mises en place. Il n’y aurait pas eu de conséquences, seulement un vol possible d’identité. »

La Financière n’a pas répondu à la question de La Presse sur le moment auquel elle a avisé ses actionnaires de la fuite.

L’organisation offre la « double protection » du dossier de crédit à tous ses clients pour les protéger contre les conséquences possibles de cette cyberattaque, avec Equifax et TransUnion.

Hameçonnage

La Financière a aussi subi en février une première attaque à l’hameçonnage ayant touché « moins de 10 » boîtes courriel. « Nous avons réussi à bloquer l’attaque tout de suite », assure Sonia Bergeron. Les deux attaques sont totalement indépendantes, dit-elle.

La FDP n’a pu préciser non plus le type de maliciel impliqué dans cet incident.

L’hameçonnage est une technique qui consiste à envoyer un lien ou un fichier joint infecté à une cible en le faisant passer pour du contenu légitime. Si la personne visée mord à l’appât, un programme infecté s’installe sur son ordinateur et tente typiquement de se transmettre ensuite à d’autres ordinateurs. La Presse a voulu savoir combien de clients de la FDP avaient ainsi pu être touchés par cette attaque à l’hameçonnage, mais n’a pas obtenu de réponse.

Avec Francis Vailles, La Presse