Les banques BMO et Simplii avertissent que des attaquants pourraient avoir subtilisé les données de clients

Les banques BMO et Simplii avertissent que des attaquants pourraient avoir subtilisé les données de clients

Deux banques canadiennes, soit la Banque de Montréal (BMO) et Simplii Financial– une filiale de la (CIBC) – ont annoncé que des cybercriminels prétendent avoir utilisé une brèche de sécurité pour voler les données de jusqu’à 90 000 clients.

Deux banques canadiennes, soit la Banque de Montréal (BMO) et Simplii Financial– une filiale de la (CIBC) – ont annoncé que des cybercriminels prétendent avoir utilisé une brèche de sécurité pour voler les données de jusqu’à 90 000 clients.

Les deux institutions financières ont chacune publiée un communiqué de presse présentant la situation. Dans les deux cas, les circonstances relatées sont assez proches. Les deux entreprises expliquent avoir reçu, le dimanche 27 mai, un message provenant de cybercriminels.

« Nous prenons cette allégation au sérieux et nous avons pris des mesures afin d’améliorer nos processus de surveillance et de sécurité », a affirmé Michael Martin, premier vice-président, Simplii Financial. « Nous sommes d’avis qu’il est important que nos clients soient au courant de cette fraude potentielle afin qu’ils puissent eux aussi prendre des mesures pour protéger leurs renseignements. »

Quant à la BMO, l’entreprise souligne qu’elle communique : « façon proactive avec les clients dont les comptes pourraient avoir été touchés et nous nous engageons à les soutenir et à les aider. » L’entreprise ajoute prendre au sérieux la protection de la vie privée de sa clientèle et mettre en place des processus de sécurité.

« Nous menons une enquête approfondie», a affirmé le porte-parole Paul Gammal dans une déclaration transmise lundi.
« Nous avons pris connaissance d’affirmations non vérifiées selon lesquelles les données personnelles et financières de clients auraient pu être consultées par un fraudeur et une menace a été formulée pour le rendre public », a-t-il expliqué. La banque n’a pas précisé si l’agresseur avait demandé de l’argent.

Par ailleurs, CBC rapporte que plusieurs médias canadiens ont reçu une lettre, menaçant de vendre l’information à des criminels, à moins que les banques ne paient pas une rançon de 1 million de dollars.
« Les criminels utiliseront Simplii et les renseignements sur les clients de BMO pour faire une demande de crédit pour des produits en utilisant le numéro d’assurance sociale, la date de naissance et tous les autres renseignements personnels », peut-on lire dans la lettre.

Ce message aux médias se terminait par un échantillon des informations bancaires et de connexion d’un homme de l’Ontario et d’une femme vivant en Colombie-Britannique. Cette dernière a confirmé à CBC que l’information contenue dans le courriel, qui comprenait également les réponses à ses trois questions de sécurité, était exacte.

Les institutions fédérales sont aussi impliquées pour faire face à cette brèche de sécurité. Ainsi, le ministre des Finances, Bill Morneau, s’est entretenu avec les dirigeants des institutions concernées, selon la porte-parole du ministère, Jocelyn Sweet. « Nous surveillons de près la situation avec le Bureau du surintendant des institutions financières », souligne-t-elle. « La situation est étudiée par les institutions, en collaboration avec les forces de l’ordre. »

Le Commissariat à la protection de la vie privée a de plus indiqué lundi que la BMO et Simplii l’avaient avisé du dossier. «Nous travaillons avec les organisations pour mieux comprendre ce qui s’est passé et ce qu’elles font pour atténuer la situation», a déclaré la porte-parole Valerie Lawton par courrier électronique. «À ce stade, nous sommes en contact avec les entreprises, mais nous n’avons pas ouvert d’enquête formelle.»

Radio-Canada souligne que les services de la banque virtuelle Simplii ne sont pas offerts au Québec. Ainsi, rien n’indique pour l’instant que des clients de la CIBC sont touchés.

Les clients des deux entreprises devraient, comme c’est toujours le cas suite à une brèche de sécurité, adopter certaines mesures de sécurité particulières, notamment :

  • surveiller leurs comptes pour repérer des signes d’activité inhabituelle;
  • modifier l’ensemble des mots de passe qui pourraient avoir été compromis (raison de plus d’utiliser des informations d’identifications uniques pour chaque compte ou service!);
  • se méfier des tentatives d’hameçonnage par courrier électronique ou par téléphone;
    • En cas de doutes, contacter directement l’entreprise visée.

Discussion