Cinq semaines après Desjardins, au tour de Capital One d’être plongée dans la tourmente. Comme 6 millions de Canadiens sont au nombre des 106 millions de détenteurs et soumissionnaires de cartes de crédit de la banque américaine touchés par le vol de données, le ministre des Finances du Canada, Bill Morneau, demande au Bureau du surintendant des institutions financières (BSIF) d’ouvrir une enquête. 

Isabelle Massé Isabelle Massé
La Presse

Fanny Lévesque Fanny Lévesque
La Presse

« Nous sommes très préoccupés par la brèche inacceptable à Capital One. J’ai demandé au BSIF de mener une enquête et de veiller à ce que les mesures appropriées soient prises », a écrit le ministre Morneau sur Twitter.

Le ministre des Finances a rappelé que la banque américaine était également soumise « au régime fédéral canadien de protection de la vie privée » et que « tout manquement » pourrait « entraîner des pénalités importantes ». 

Il a réitéré ses préoccupations lors de son passage hier à Cambridge, en Ontario. « Nous devons d’abord approfondir cet enjeu [du vol de données personnelles]. Deuxièmement, nous enquêterons sur ce qui s’est passé et troisièmement, nous devons demeurer vigilants parce qu’il y aura toujours des criminels qui tenteront de voler ce genre de données », a-t-il dit.

PHOTO SEAN KILPATRICK, ARCHIVES LA PRESSE CANADIENNE 

Bill Morneau, ministre des Finances du Canada

Notre travail consiste à protéger les Canadiens, pas seulement ici, mais aussi à l’étranger, pour s’assurer que cette situation ne se reproduise pas.

Bill Morneau, ministre des Finances du Canada

« J’ai été en contact avec les leaders de Desjardins et je le serai avec ceux de Capital One. Le travail [pour une meilleure protection] est déjà amorcé », a ajouté le ministre. 

Le ministre de la Sécurité publique et de la Protection civile, Ralph Goodale, se trouvait hier à Londres pour une rencontre des Five Eyes – une alliance de services de renseignements de cinq pays. Il a discuté avec le procureur général des États-Unis, William Barr, et a offert « tout le soutien nécessaire » de la Gendarmerie royale du Canada au travail d’enquête du FBI.

Des excuses de Capital One

Comme Guy Cormier, président et chef de la direction de Desjardins, Richard Fairbank, de Capital One, s’est rapidement excusé auprès de ses millions de clients touchés par le vol de données qu’aurait commis l’Américaine Paige Thompson, arrêtée par le FBI. 

« Je suis soulagé que l’auteur ait été appréhendé, mais je suis profondément désolé de ce qui est arrivé », a fait savoir le fondateur et PDG de la banque américaine dans un communiqué. 

PHOTO MICHAEL TEMCHINE, ARCHIVES THE NEW YORK TIMES

Richard Fairbank, fondateur et PDG de Capital One

Je suis sincèrement désolé des préoccupations tout à fait compréhensibles que cet incident peut occasionner aux personnes touchées, et je suis fermement engagé à prendre les bonnes mesures.

Richard Fairbank, PDG de Capital One

Le crime a été constaté 10 jours plus tôt, et a été dévoilé publiquement lundi soir. L’institution a aussitôt mis en ligne de nombreuses informations indiquant la nature du délit et réitérant son appui aux clients touchés. Dans son site, elle détaille le type de données volées (cotes de crédit, limites de crédit, soldes) et le nombre de clients touchés. Un million de numéros d’assurance sociale des détenteurs canadiens de cartes de crédit sont notamment « compromis ». 

L’entreprise assure que toutes les personnes touchées seront informées. 

La division canadienne de l’entreprise a également mis en place un numéro de téléphone pour les clients inquiets. « Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que l’individu ait utilisé les renseignements à des fins frauduleuses ou qu’il les ait disséminés, selon Capital One. Cependant, nous poursuivons notre enquête. » 

Service gratuit de surveillance de crédit

Déclinant la demande d’entrevue de La Presse, Capital One a néanmoins fait savoir par courriel que la surveillance de crédit et une assurance pour le vol d’identité seraient accessibles gratuitement pour tous les Canadiens touchés par l’incident. 

« Les détails exacts de cette aide seront communiqués à une date ultérieure », a écrit Suma Boby, directrice des communications externes pour le Canada de Capital One. Hier, le site financier MarketWatch avançait que deux ans de surveillance seraient offerts gratuitement.

Capital One affirme par ailleurs disposer de systèmes antifraudes « ultra-perfectionnés qui surveillent constamment [ses] systèmes et [ses] cyberdéfenses pour cerner toute activité inhabituelle et protéger [ses] clients contre tout acte non autorisé ». 

L’institution précise qu’elle ne téléphonera pas à ses clients au sujet de l’incident. 

« [On] ne demande pas de renseignements sur des cartes de crédit, des comptes ou des numéros d’assurance sociale par téléphone ou courriel. Si vous avez fourni des renseignements personnels au téléphone ou cliqué sur des liens dans un courriel frauduleux […], appelez-nous immédiatement pour signaler que les renseignements sur votre compte ont été compromis, ouvrez une session des services bancaires en ligne de Capital One et changez votre mot de passe, vérifiez si vos comptes présentent des transactions ou activités frauduleuses et mettez à jour et exécutez le logiciel antivirus de votre ordinateur. » 

Le détaillant Costco, dont Capital One est le fournisseur de cartes de crédit, n’a pas commenté la situation hier, dirigeant les questions vers la banque. L’entreprise a affirmé « être en contact constant avec Capital One depuis le moment où [elle a] reçu la nouvelle ». HBC (La Baie), un autre partenaire, soutient que d’après l’information transmise par Capital One, « rien n’indique en ce moment que ce problème aura des conséquences sur [ses] affaires ».

Le BSIF en contact avec Capital One

Tant le BSIF que le Commissariat à la protection de la vie privée ont indiqué avoir été avisés de la situation et être en communication avec les dirigeants de Capital One. 

« Lorsqu’un incident du genre survient, le BSIF maintient des contacts étroits avec l’institution financière afin de garantir que toutes les mesures nécessaires soient prises pour redresser la situation le plus rapidement possible, indique l’organisme indépendant dans un courriel. Une fois la situation prise en main, le BSIF se penchera sur l’incident et ses causes et tentera de déterminer si les systèmes, les mesures de contrôle et les processus de gestion du risque de l’institution ont été respectés. »

— Avec Marie-Eve Fournier, La Presse, et La Presse canadienne 

Amazon blâme Capital One 

C’est Amazon Web Services, la division d’infonuagique du géant Amazon où a travaillé Paige A. Thompson, qui hébergeait les données volées à Capital One. Amazon a toutefois rejeté tout le blâme sur son client, responsable de l’application qui a donné accès aux données à la pirate. Est-ce une erreur d’héberger des données bancaires sur des serveurs externes, plutôt qu’à l’interne ? De façon générale, ça ne cause pas vraiment de problème, selon l’expert en sécurité Pierre-Guy Lavoie, de la firme de consultants en sécurité informatique Sekcore. « Ce n’est pas moins sécuritaire, ce n’est pas plus sécuritaire, c’est juste un contexte différent. Ce sont les processus et les tests que l’on fait qui sont importants. À partir de là, que ce soit sur le nuage ou non, s’il y a de la négligence ou des oublis, ça revient au même. » 

— Jean-François Codère, La Presse

Que doivent faire les clients canadiens de Capital One ?

Un numéro de téléphone 

La division canadienne de Capital One a fait savoir que les clients inquiets et qui ont des questions peuvent téléphoner au 1 833 727-1234.

Un site internet 

Capital One invite les clients canadiens à consulter une page de son site internet qui détaille la fraude et répond aux questions potentielles de ses clients. Elle promet de mettre à jour cette page régulièrement.

Des alertes 

Les clients de Capital One peuvent déposer une alerte sur leur dossier de crédit chez les agences d’évaluation Equifax et TransUnion. « Mais attendez d’avoir reçu un avis de Capital One à l’effet que vos données ont été compromises, avertit Sylvain Paquette, du Bureau canadien du crédit. Ça peut être long avant de recevoir un tel avis, qui sera une lettre envoyée par la poste. » On peut déposer une alerte sur TransUnion à ocs.transunion.ca. C’est gratuit pour 12 mois ou 5 $ pour six ans. « Mais cette pratique est discutable, puisqu’en vertu de la loi, l’inscription d’un tel message est censée être gratuite. Donc renouvelez aux 12 mois votre alerte. »

Une vigilance accrue 

Les clients de Capital One doivent faire preuve de vigilance. « Informez-vous sur les façons potentielles de fonctionner des fraudeurs, conseille Sylvain Paquette. Ne répondez pas à des appels ni courriels ni textos demandant des renseignements personnels. » Capital One recommande d’ailleurs à ses clients « de surveiller leurs comptes au cas où ils verraient des transactions inhabituelles ou suspectes qu’ils ne reconnaissent pas, et de téléphoner le plus tôt possible au numéro indiqué au dos de leur carte Capital One ou sur leur relevé de compte. »

En cas d’hameçonnage 

En cas d’hameçonnage, Capital One invite les clients à consulter des conseils sur les façons de détecter des communications frauduleuses sur son site.