(Toronto) La brèche de cybersécurité récemment survenue chez TransUnion met en relief la menace croissante des attaques de tiers et la difficulté de les empêcher.

Ian Bickis
La Presse canadienne

L’agence de surveillance du crédit a confirmé cette semaine que l’accès aux données personnelles de 37 000 Canadiens résultait de l’utilisation frauduleuse des authentifiants de connexion en ligne d’un de ses clients d’affaires.

Le chef de la direction de Cytelligence, Daniel Tobok, dit avoir observé une hausse de ce genre d’attaques, qui passent par des partenaires jugés fiables, comme un client ou un fournisseur, pour obtenir un accès aux données.

« Les criminels aiment vraiment cela parce que c’est très difficile à détecter. Il existe une utilisation normale, en tant que partenaire exploitant les services. »

Dans le cas de TransUnion, une personne a utilisé frauduleusement des authentifiants de connexion provenant de la division des prêts de la Canadian Western Bank, afin d’accéder aux informations de crédit de dizaines de milliers de Canadiens — ce que la banque pourrait potentiellement faire dans le cours normal de ses activités.

Les données de TransUnion ont été compromises entre le 28 juin et le 11 juillet, mais l’incident n’a été détecté qu’en août.

« Malheureusement, il n’y a pas beaucoup d’alarmes et de sonneries qui retentissent lorsque cela se produit », a souligné M. Tobok.

Environ le quart des cyberattaques sur lesquelles Cytelligence est appelée à se pencher sont des attaques de tiers, a-t-il précisé.

M. Tobok souligne qu’il est crucial d’utiliser des systèmes de vérification à deux facteurs pour tout type d’accès critique à la connexion.

Dans une lettre adressée aux consommateurs touchés par la brèche de sécurité, TransUnion a indiqué que les informations compromises pourraient inclure leur nom, leur date de naissance, leurs adresses actuelles et anciennes, des informations sur leurs obligations de crédit et de prêt et l’historique de remboursement de crédit. Les données compromises ne comprenaient aucun numéro de compte, mais auraient pu inclure un numéro d’assurance sociale dans certains cas.

M. Tobok souligne qu’il est difficile pour les grandes institutions de vérifier tous leurs partenaires, mais que cela devient de plus en plus important en raison de la difficulté de la détection.

« La seule façon de procéder pour TransUnion, c’est d’appliquer des règles et procédures plus strictes à leurs fournisseurs. »

Dans son dernier rapport sur la responsabilité d’entreprise, TransUnion a indiqué avoir mis en place un programme de gestion des risques pour les tiers, qui définit les directives que doivent respecter ses partenaires pour une gamme de risques, notamment les risques stratégiques, financiers et ceux liés à sécurité de l’information.

La société n’a pas fourni de détails sur le type de critères qu’elle impose aux partenaires.

M. Tobok juge en outre que les entreprises doivent en faire davantage pour former le personnel afin d’éviter que les informations d’authentification ne tombent entre de mauvaises mains. Trop souvent, les entreprises investissent dans le matériel informatique et négligent l’aspect humain de la cybersécurité.

« Tout le monde dépense de l’argent pour des pare-feu, des serveurs et de nombreuses lumières clignotantes. Malheureusement, ce n’est qu’une partie du travail. »

L’incident chez TransUnion est la plus récente des nombreuses atteintes à la sécurité des données de ces dernières années, dont celle d’Equifax en 2017, qui a révélé les informations de 147 millions de personnes, dont environ 19 000 Canadiens.

Plus récemment, Capital One a indiqué en juillet que les données de six millions de Canadiens avaient été piratées, dont environ un million de numéros d’assurance sociale. Le Mouvement Desjardins avait révélé un mois plus tôt que les données d’environ 2,7 millions de comptes avaient été dérobées.