L’ampleur de la cyberattaque dont a été victime BRP se précise. Des informations personnelles ont été volées, tandis que les concessionnaires tapent du pied.

Des informations personnelles concernant des cadres, des détails d’accords avec des fournisseurs, ainsi que des ententes de confidentialité font partie des informations dérobées chez le manufacturier de produits récréatifs BRP à la suite de la cyberattaque survenue il y a deux semaines. N’importe qui peut désormais accéder à ces renseignements sur le web clandestin (dark Web).

Selon les informations diffusées mardi par les exploitants du rançongiciel RansomExx, c’est environ 30 gigaoctets de documents — plusieurs dizaines de milliers de fichiers — qui ont été volés. On retrouve entre autres des copies de passeports, de visas de séjour temporaire et de curriculum vitæ. Des fichiers qui contiennent les détails de contrats avec des fournisseurs ainsi que des ententes de confidentialité signées avec des entreprises comme Briggs & Stratton ont aussi été mis en ligne.

« C’est quand même une bonne quantité de données », souligne au bout du fil Stéphane Auger, vice-président chez Équipe Microfix, spécialisée dans les technologies de l’information, en soulignant que la plupart des fichiers étaient de « petite taille » (documents Word, Excel, PDF…).

Les données personnelles d’au moins quatre personnes identifiées comme des cadres au sein du constructeur des Ski-Doo, Sea-Doo et Can-Am ont été compromises. Deux ont quitté l’entreprise, selon leur profil LinkedIn. Les autres sont toujours employés de la multinationale.

« Vous comprendrez que je ne commenterai pas, mais je suis très bien encadré par BRP, c’est tout ce que je peux vous dire », a répondu l’un des deux cadres lorsque joint au téléphone par La Presse, sans préciser s’il était au courant de la diffusion d’une image de son passeport.

Pas de clients

La semaine dernière, la multinationale de Valcourt, qui compte plus de 20 000 employés et 11 usines dans six pays, s’était limitée à dire que son enquête était « toujours en cours » et qu’elle n’avait « aucune preuve que les renseignements personnels de ses clients auraient été touchés ».

Il n’y avait pas un mot à propos des renseignements de ses employés.

« Ce qui me dérange le plus dans la liste des fichiers volés, ce sont les données de passeport, de permis de conduire », explique M. Auger, ajoutant que cela pouvait ouvrir la voie à des vols d’identité.

PHOTO TIRÉE DE LINKEDIN

Stéphane Auger, vice-président chez Équipe Microfix

Dans la liste des fichiers dérobés, l’expert a également repéré des curriculum vitæ — une vingtaine —, dont certains qui remontent au début des années 2000. Il y a des risques même pour ces personnes, estime M. Auger.

En fin d’après-midi, mardi, BRP a indiqué que « les quelques employés qui auraient pu être touchés par l’incident » avaient été « personnellement contactés » par l’entreprise.

« Les ressources appropriées (des services de surveillance de crédit) ont été mises à leur disposition », a écrit une porte-parole, Mélanie Montplaisir.

RansomExx s’est retrouvé sous les projecteurs en 2020 dans le cadre de cyberattaques médiatisées visant des agences gouvernementales et d’autres entreprises privées. Généralement, le groupe derrière le rançongiciel publie les données volées à ses victimes lorsqu’elles refusent de verser une somme d’argent.

En redémarrage

Aucun représentant de l’entreprise n’a accordé d’entrevue depuis la cyberattaque. La plus récente mise à jour remonte au 15 août dernier, lorsque l’entreprise a annoncé le redémarrage de quatre sites, dont celui de Valcourt. La reprise des activités devait suivre dans les autres usines.

PHOTO DAVID BOILY, ARCHIVES LA PRESSE

Les activités de l’usine de Valcourt ont été partiellement paralysées par la cyberattaque survenue le 8 août dernier.

« La vaste majorité des activités de production ont repris selon notre plan », a écrit Mme Montplaisir.

Cette cyberattaque à l’endroit de l’une des plus importantes multinationales survient alors que de nouvelles dispositions à la Loi sur la protection des renseignements personnels dans le secteur privé au Québec entreront en vigueur dans un mois.

À compter du 22 septembre, il y aura une obligation de divulguer, à la Commission d’accès à l’information du Québec ainsi qu’aux personnes concernées, une fuite de renseignements.

Malgré les perturbations provoquées par la cyberattaque, BRP prétend qu’il n’y aura aucune incidence sur les prévisions de son exercice financier. La confiance des investisseurs ne semble pas avoir été ébranlée. À la Bourse de Toronto, mardi, le titre a clôturé à 100,49 $, en hausse de 27 cents, ou 0,27 %.

Avec la collaboration d’Hugo Joncas, La Presse