Dell améliore ses mesures de sécurité et de traitement des plaintes à la suite d’atteintes à la vie privée et d’une enquête du Commissariat
Conclusions en vertu de la LPRPDE no 2020-003
Le 9 juillet 2020
Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
Description
Après avoir reçu un appel de « fraude de soutien technique », deux clients de Dell se sont plaints que leurs renseignements personnels avaient été communiqués à des fraudeurs et que Dell n’avait pas pris au sérieux leurs préoccupations au sujet d’une atteinte. Dell a découvert que deux des employés de son fournisseur de services avaient vendu des renseignements des clients à deux occasions distinctes. Dell a ensuite pris un certain nombre de mesures correctives, dont changer de fournisseurs de services, améliorer ses protocoles de sécurité afin de mieux gérer les menaces internes, et revoir ses procédures de traitement des plaintes et des atteintes à la vie privée.
Points à retenir
- Les organisations devraient enquêter de façon adéquate sur toute plainte crédible à propos d’atteintes potentielles à la vie privée.
- Lorsqu’elles évaluent la sensibilité des renseignements personnels, les organisations devraient prendre en compte le contexte en matière de risque et les préjudices potentiels pour l’individu en cas d’atteinte.
- Des mesures de sécurité solides devraient être en place pour dissuader les employés de voler des renseignements personnels, comme des contrôles d’accès rigoureux et des pratiques de journalisation et de surveillance.
Aperçu
Deux clients de Dell se sont plaints d’avoir reçu des appels de fraudeurs qui connaissaient certains renseignements personnels les concernant, y compris des renseignements sur leurs produits Dell. Les plaignants ont donc allégué que les mesures de sécurité de Dell n’étaient pas suffisantes et ont entraîné la communication inappropriée de renseignements sur les clients. Les plaignants étaient également insatisfaits de la façon dont Dell avait répondu à leurs plaintes au sujet d’une atteinte à la vie privée.
Au moment où les plaintes ont été déposées, Dell faisait appel à un fournisseur de services (le fournisseur) pour assurer la prestation du service à la clientèle dans un centre d’appels situé en Inde. Deux employés du fournisseur ont communiqué de façon inappropriée les listes de données sur les clients de Dell en juin et en novembre 2017. Dell ne sait pas quels renseignements ont été communiqués lors de l’atteinte en juin 2017, mais les renseignements personnels des deux plaignants ont été communiqués à la suite d’une atteinte survenue en novembre 2017.
Dell demeurait responsable des renseignements personnels transférés au fournisseur (principe 4.1.3) et était tenu de veiller à ce que le fournisseur en assure la protection en se dotant de mesures de sécurité appropriées correspondant au degré de sensibilité des renseignements (principe 4.7).
Nous sommes d’avis que les renseignements personnels transférés au fournisseur étaient suffisamment sensibles pour exiger un degré élevé de protection, compte tenu de la nature des renseignements personnels en cause, de l’environnement de risque et du préjudice potentiel aux personnes en cas d’atteinte. Nous avons constaté que certaines mesures de protection liées aux contrôles d’accès, à la journalisation et à la surveillance et aux contrôles techniques étaient insuffisantes compte tenu du degré de sensibilité des renseignements personnels en cause. Nous avons également constaté que Dell n’avait pas enquêté adéquatement sur les circonstances de l’atteinte survenue en juin 2017 et n’avait pas répondu adéquatement aux plaintes des clients (principes 4.7 et 4.10.4).
Dell a apporté de nombreuses améliorations pour donner suite à nos recommandations. Nous considérons donc que les plaintes sont fondées et résolues.
Plainte
- Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu des plaintes de deux personnes alléguant que Dell Inc. (Dell) ne disposait pas de mesures de sécurité suffisantes, ce qui a entraîné la communication non autorisée des renseignements personnels les concernant. Les plaignants étaient également insatisfaits de la façon dont Dell a répondu à leurs plaintes au sujet d’une atteinte potentielle à la sécurité de leurs renseignements personnels.
- Plus précisément, les deux plaignants ont allégué avoir reçu des appels téléphoniques de fraudeurs prétendant être des employés de Dell et qui avaient en leur possession certains renseignements personnels sur les plaignants et leurs produits Dell. L’une des plaignantes s’est fait berner et a donné au fraudeur un accès à distance à son ordinateur portable et lui a versé 100 $. Les plaignants estiment que les fraudeurs n’auraient pu obtenir leurs renseignements personnels qu’auprès de Dell.
- Les plaignants sont restés insatisfaits du refus apparent de Dell d’enquêter sur une possible atteinte à la vie privée après avoir porté ces problèmes à son attention.
- L’enquête a donc porté sur les mesures de protection de Dell et sur comment Dell enquête les plaintes concernant la protection de la vie privée.
Contexte
- Dell est une société multinationale de technologie et, en plus d’autres secteurs d’activité liés à la technologie, elle est sans doute mieux connue pour vendre du matériel informatique comme des ordinateurs portatifs, des moniteurs et des imprimantes à des particuliers et à des entreprises. Dell offre des garanties et des services de soutien pour ses produits.
- De 2008 à 2018, Dell a fait appel à un tiers (le fournisseur) pour fournir des services de soutien technique à ses clients. Le fournisseur est une grande société multinationale qui exploite des centres d’appels partout dans le monde, y compris en Inde, où les atteintes faisant l’objet de l’enquête sont survenues.
Arnaques ciblées de soutien technique
- Les « arnaques de soutien technique » sont un problème persistant qui afflige les gens depuis de nombreuses annéesNote de bas de page 1. Les arnaqueurs appellent des personnes et prétendent être des employés d’une entreprise donnée, faisant habituellement référence à des entreprises de technologie bien connues comme Microsoft, Google ou Apple. Les arnaqueurs tenteront alors de piéger la personne pour lui faire croire que son ordinateur présente des problèmes afin d’obtenir un paiement pour une assistance technique factice. La Federal Trade Commission (la FTC) aux États-UnisNote de bas de page 2 ainsi que certains organismes au Canada mettent en garde contre ces arnaques depuis plusieurs annéesNote de bas de page 3. Dans un billet de blogue de 2015, Dell conseillait à ses clients de prendre garde aux arnaques téléphoniques de soutien techniqueNote de bas de page 4.
- En 2016, Microsoft a publié un sondage mondial montrant que deux personnes sur trois avaient été exposées à une arnaque de soutien technique au cours des douze mois précédents et estimait que les Américains perdaient environ 1,5 milliard de dollars chaque année en arnaques liées à du soutien technique, dont 86 % provenant de l’IndeNote de bas de page 5. Microsoft a indiqué que les préjudices qui peuvent découler de ces arnaques sont souvent plus que de nature monétaire et comprennent aussi le temps perdu et le stress vécuNote de bas de page 6.
- Le problème circonscrit dans ces plaintes est une variante de l’arnaque de soutien technique où les arnaqueurs utilisent des renseignements personnels relatifs au lien entre une personne et une entreprise de technologie (p. ex. un numéro de garantie, une étiquette de service) pour convaincre la victime qu’ils représentent l’entreprise en question. Le fait de disposer de ces renseignements, que seules la victime et l’entreprise devraient généralement connaître, accroît l’efficacité de l’arnaque. Les plaignants dans cette affaire décrivent tous deux avoir reçu plusieurs appels de ce genre qui leur étaient spécifiquement destinés parce que le fraudeur possédait également certains renseignements sur leur statut de clients de Dell.
Résumé de l’enquête
Plaignante A
- La plaignante a déclaré avoir reçu un appel en juillet 2017 de la part d’une personne qui prétendait être un représentant de Dell. Selon la plaignante, la personne connaissait son nom, son numéro de téléphone et son adresse électronique. Cette personne lui a également fourni les renseignements exacts suivants sur son produit Dell : le nom de modèle de son ordinateur portable, son étiquette de service et son code de service expressNote de bas de page 7, la date d’expiration et le type de garantie rattachée à son ordinateur Dell. L’appelant lui a également donné la date de son dernier appel de service à Dell (en mai 2017).
- La personne, se faisant passer pour un employé de Dell, a indiqué que l’ordinateur de la plaignante contenait de la pornographie juvénile et qu’elle devra payer 100 $ pour le nettoyer. L’appelant a également demandé un accès à distance à son ordinateur.
- Selon la plaignante, elle était convaincue que l’appel téléphonique était légitime puisque la personne connaissait de nombreux renseignements la concernant, sur son ordinateur et sur ses interactions avec Dell. Elle a donc accordé à la personne un accès à distance à son ordinateur et versé 100 $ avec une carte iTunes d’Apple. Le fraudeur a ensuite installé un logiciel malveillant qui exigeait que l’ordinateur de la plaignante soit reformaté.
- Le père de la plaignante, qui avait acheté l’ordinateur Dell pour sa fille, a également déclaré avoir reçu deux autres appels en octobre 2017 de fraudeurs se faisant passer pour des employés de Dell qui disposaient des mêmes renseignements sur l’ordinateur de sa fille et des renseignements encore plus détaillés sur la garantie qu’il avait achetée. Dans ces cas, les appelants ont prétendu qu’il y avait des problèmes avec l’ordinateur.
- Le père de la plaignante a immédiatement informé Dell de ces appels et a demandé que Dell prévienne de toute urgence ses clients d’une possible atteinte à la vie privée. Le père de la plaignante a fait de nombreux appels au numéro de service de Dell, qui ont été traités par le fournisseur en question. À plusieurs reprises, le père de la plaignante a été informé que les systèmes de Dell étaient sécurisés et on lui a indiqué, dans un langage normalisé, la prévalence des arnaques informatiques en général. On l’a également invité à s’adresser à la FTC aux États-Unis. Par la suite, le père de la plaignante a également communiqué directement avec Dell à plusieurs reprises au sujet du problème. Cependant, selon Dell, malgré des efforts répétés, l’entreprise n’a pas été en mesure d’établir un lien entre l’appel frauduleux et les renseignements de Dell parce que, selon Dell, le numéro d’étiquette de service et d’autres renseignements fournis par le père de la plaignante étaient « inexacts ».
- Insatisfait de ce qu’il a décrit comme l’inaction de Dell à l’égard d’une atteinte potentielle, il a déposé une plainte au nom de sa fille auprès du Commissariat en août 2017. Il a également souligné que de nombreuses autres personnes dans les forums en ligne se plaignaient du même problème qui semblait sévir depuis plusieurs années.
- Alors que se poursuivaient ses communications avec le père de la plaignante, Dell a été avisée que son fournisseur avait fait l’objet d’une atteinte en novembre 2017. Plus particulièrement, Dell a découvert qu’un employé du fournisseur avait exfiltré une liste contenant des renseignements personnels sur les clients et l’avait vendue à un tiers. Dell a découvert plus tard que la liste exfiltrée comprenait le nom de la plaignante, son adresse électronique, son numéro de téléphone, son numéro d’étiquette de service et son numéro de demande de service.
- Dell a également déclaré qu’au cours de son enquête sur l’atteinte à la sécurité en novembre 2017, un deuxième employé a également admis qu’en juin 2017, il avait physiquement retiré des données et les avait vendues. Cependant, Dell a déclaré qu’elle ignorait quels renseignements personnels avaient été recueillis à ce moment-là.
- En avril 2018, Dell a envoyé un courriel aux personnes touchées par l’atteinte survenue en novembre 2017, y compris la plaignante. Le courriel indiquait que Dell [traduction] « avait déterminé que les arnaqueurs prétendant travailler pour Dell possédaient certains renseignements de base liés à l’historique de vos services Dell (comme le nom du client, l’adresse électronique, les renseignements sur le produit Dell, l’étiquette de service Dell ou l’historique de soutien Dell) ». Le courriel comprenait des conseils sur la façon dont les clients peuvent déterminer s’il s’agit d’une arnaque et sur la façon de se protéger. Toutefois, aucune mention expresse n’a été faite des atteintes à la sécurité en juin ou en novembre 2017.
- Nous notons qu’à l’heure actuelle, les dispositions de la LPRPDE relatives à la notification des atteintes n’étaient pas encore en vigueurNote de bas de page 8.
- Dell a indiqué au Commissariat que, nonobstant les atteintes en juin et en novembre 2017, elle a fait enquête sur l’affaire et n’a trouvé aucune preuve que l’appel reçu par la plaignante en juillet 2017 provenait d’une personne détenant des renseignements obtenus de Dell. De l’avis de Dell, si la plaignante a reçu ce genre d’appel, il s’agissait d’une « arnaque de soutien technique » non ciblée et aléatoire ou bien que cela signifie que les arnaqueurs ont obtenu les renseignements d’autres sources. De plus, Dell a soutenu que la plaignante « aurait dû savoir que l’appel était une arnaque » et que, malgré un certain nombre d’indices indiquant qu’il s’agissait d’une fraude (p. ex. Dell n’appelle pas ses clients de façon non sollicitée), la plaignante « s’est tout de même laissée berner ».
Plaignant B
- Le plaignant allègue qu’il a reçu plusieurs appels harcelants de personnes prétendant être des employés de Dell à partir du 1er janvier 2018. Bien que le plaignant ait indiqué qu’il était conscient que ces personnes étaient des « arnaqueurs », il était néanmoins préoccupé par la quantité de renseignements personnels que ces personnes détenaient à son sujet. À l’instar des faits rapportés par la plaignante A, les appelants pouvaient indiquer correctement son nom, son numéro de téléphone, son numéro d’étiquette de service et les détails de ses interactions antérieures avec Dell. Par exemple, le plaignant a fait remarquer que les arnaqueurs étaient en mesure de l’informer de la date précise à laquelle il avait fait un appel de service lié à un problème audio de son produit Dell.
- Le plaignant a déclaré qu’il était un technicien informatique et que les arnaqueurs l’avaient presque convaincu de coopérer avec eux en raison des renseignements dont ils disposaient. [traduction] « Je ne peux pas imaginer ce qui arriverait à une personne sans connaissance particulière en informatique. »
- Le plaignant a communiqué avec Dell au sujet de l’atteinte potentielle à la protection des données et, bien qu’il ait tenté de soumettre le problème à des échelons hiérarchiques supérieurs, Dell semblait « balayer l’affaire sous le tapis ». Il a également fait remarquer qu’en faisant des recherches sur cette question en ligne, il s’est rendu compte que de nombreuses autres personnes se plaignaient de situations semblables où des arnaqueurs possédaient certaines données liées à Dell.
- Après avoir déposé une plainte auprès du Commissariat en février 2018 et avoir donné suite à la recommandation du Commissariat, le plaignant a communiqué avec le bureau chargé de la protection de la vie privée de Dell pour lui faire part de ses préoccupations. En avril 2018, le plaignant a reçu le courriel, mentionné au paragraphe 16, envoyé par Dell à des personnes potentiellement touchées par l’atteinte à la sécurité survenue en novembre 2017.
- Dell a confirmé que les renseignements personnels du plaignant figuraient également sur la liste des clients qui a été exfiltrée lors de l’atteinte de novembre 2017.
Les atteintes de juin et de novembre 2017
- Le fournisseur a avisé Dell pour la première fois d’une atteinte à la sécurité impliquant ses employés à la fin de novembre 2017. Selon Dell, le 4 novembre 2017, le logiciel « Data Leakage Protection System » (système de protection contre les fuites de données) du fournisseur a alerté l’équipe de sécurité d’un courriel contenant une pièce jointe volumineuse « susceptible de contenir des renseignements sur des clients » envoyé à l’extérieur de l’organisation par un employé. Le fournisseur a intercepté le courriel, mais après une enquête plus approfondie sur cette atteinte, il a également découvert que l’employé en question avait à d’autres occasions envoyé par courriel à son adresse personnelle des listes de clients de façon inappropriée. Ces courriels étaient de plus petite taille et n’ont donc pas déclenché le système de protection contre les fuites de données. Dell n’a pas précisé les dates exactes de ces courriels.
- Selon Dell, ces courriels contenaient les renseignements personnels d’environ 7 883 clients canadiens de DellNote de bas de page 9. Les courriels contenaient des listes comprenant des noms, des numéros de téléphone, des adresses électroniques, des étiquettes de service de produit et des numéros de demande de service. L’employé a admis avoir vendu les renseignements à un tiers.
- Dell a également indiqué que l’employé travaillait de connivence avec un autre employé qui a également été interrogé en raison de l’atteinte à la sécurité de novembre. Cet employé a admis qu’en juin 2017, il avait également recueilli des renseignements sur les clients et les avait vendus à un tiers. Dans ce cas-ci, l’employé a déclaré avoir utilisé des moyens matériels pour retirer des listes de données des lieux. Toutefois, Dell a indiqué qu’elle n’a pas été en mesure de déterminer les moyens utilisés et qu’aucune des mesures de sécurité du fournisseur n’a été déclenchée par l’atteinte. Le fournisseur n’a pas été en mesure de récupérer les renseignements qui ont fait l’objet d’une atteinte pendant cet incident. Dell a indiqué que, par conséquent, elle ignorait quels clients étaient touchés ou la portée des renseignements personnels en cause.
- Dell a d’abord déclaré que les deux employés avaient accédé aux listes de données en question dans le cadre de leurs tâches normales. Dell a indiqué que l’un des employés était un gestionnaire et qu’il avait donc la permission de créer et d’établir des rapports, puis a précisé plus tard qu’en fait, les deux employés étaient des gestionnaires, mais que la personne qui a tenté d’exfiltrer le fichier volumineux en novembre 2017 était un gestionnaire de second niveau disposant de droits précis l’autorisant à établir des rapports avec les renseignements sur les clients de Dell. L’autre employé, qui a avoué être à l’origine de l’atteinte de juin 2017, était un gestionnaire de niveau inférieur qui n’avait que des droits d’accès en lecture limités et qui, par conséquent, aurait « eu besoin d’un complice détenant des droits d’accès élevés » pour créer des rapports contenant des renseignements sur des clients de Dell.
- Dell a indiqué qu’après le signalement de l’incident, les employés ont été suspendus et qu’à la suite d’une enquête qui s’est terminée à la fin de mars 2018, ils ont été congédiés.
Rapports sur les arnaques ciblées de soutien technique avant novembre 2017
- Dell a affirmé qu’elle est convaincue qu’il n’y a pas eu d’autres incidents d’exfiltration de données au cours des années précédant les incidents décrits ci-dessus. Elle a indiqué que son enquête avait porté sur plusieurs années antérieures et n’avait produit aucune preuve d’exfiltration. Dell a également attiré l’attention sur les accords et politiques de protection des données qu’elle avait mis en place et a déclaré qu’elle n’avait reçu « aucun avis d’incident de sécurité des données ni aucune alerte de sécurité de la part de l’équipe de sécurité de l’information (du fournisseur) au sujet d’une éventuelle exfiltration ou d’un éventuel vol par des employés (du fournisseur) ».
- En revanche, les deux plaignants ont signalé que leurs propres recherches effectuées en ligne ont révélé que des clients de Dell se plaignaient depuis 2015 d’avoir reçu des appels frauduleux semblables de personnes qui connaissaient des renseignements personnels détaillés à leur sujet et au sujet de leurs produits Dell. Notre propre examen en ligne a abouti au même constat. Par exemple, en réponse à un billet de blogue de Dell publié en décembre 2015, les auteurs de commentaires indiquaient que, dans certains cas, les arnaqueurs avaient connaissance d’appels antérieurs placés au numéro à contacter pour exercer la garantie de Dell. Comme dans le cas des incidents qui ont fait l’objet de la présente enquête, de nombreuses personnes ont déclaré qu’elles étaient convaincues que Dell avait été victime d’une atteinte à la sécurité des données en raison de la quantité de renseignements personnels que les arnaqueurs connaissaient à leur sujet, y compris les adresses de courriel, numéros de téléphone, modèles d’ordinateur et numéros d’étiquette de service.
- Un article d’Ars Technica de janvier 2016 souligne également les préoccupations relatives à une atteinte à la sécurité des données chez Dell, citant de nombreuses plaintes formulées dans des forums de soutien de Dell, et que Dell ne semblait pas répondre à ces préoccupationsNote de bas de page 10. Un article de suivi d’Ars Technica de juin 2018Note de bas de page 11 déplore que [traduction] « plus de 30 mois après avoir fait surface, une arnaque de soutien technique ciblant les propriétaires d’ordinateurs Dell continue de soulever des questions sur la façon dont les appelants connaissent les renseignements de nature délicate, y compris les numéros de série de l’ordinateur, et les noms, numéros de téléphone et adresses de courriel que les clients ont donnés au fabricant de l’ordinateur ». Un autre article de 2016 traite de l’expérience d’un autre client ayant des préoccupations semblables et de la façon dont il a tenté de les signaler à Dell; cependant, malgré une série d’appels téléphoniques, aucun des représentants de Dell avec qui il a parlé n’a offert de « transmettre son problème à échelon hiérarchique supérieur de la chaîne de traitement des plaintes »Note de bas de page 12.
- Dell a déclaré au Commissariat que lorsque les clients se sont plaints de ces préoccupations au moyen de son formulaire de plainte en ligne, l’entreprise a recueilli et analysé l’information pour trouver des pistes d’enquête. Dell a insisté sur le fait qu’elle surveillait les tendances de l’activité et les particularités des types d’arnaques et [traduction] « lorsqu’il y a eu une augmentation des activités frauduleuses dans l’industrie, Dell a fait ce qui s’imposait et a informé ses clients de ces activités frauduleuses et de la façon d’éviter d’en être victime, même si ces activités frauduleuses n’ont rien à voir avec les activités, les produits ou les mesures de sécurité de Dell. »
- Lorsque le Commissariat a demandé à Dell si elle avait reçu des plaintes ou des avis d’atteinte potentielle à la vie privée de la part de clients de Dell ou des fournisseurs de services de Dell, elle a répondu qu’elle avait reçu plus d’un millier de signalements d’appels frauduleux de la part de Canadiens depuis 2015, les signalements passant de 9 en 2015 à 667 l’année suivanteNote de bas de page 13. De plus, selon Dell, de juin à octobre 2017, il y a eu 26 signalements de clients canadiens qui ont déclaré expressément que l’appelant frauduleux disposait de renseignements sur les clients de Dell. De novembre 2017 à novembre 2018, 32 % des 402 signalements reçus par Dell mentionnaient expressément que l’arnaqueur disposait de renseignements de Dell.
Mesures de protection de Dell
- Selon Dell, afin de fournir des services de soutien technique et liés à la garantie pour le compte de Dell, les employés du fournisseur, qui étaient des agents de soutien technique, devaient avoir accès à certains renseignements sur les clients de Dell, comme leurs coordonnées, les modèles de produits Dell, des renseignements relatifs à la garantie et sur les services de soutien de produits antérieurs.
- Dell a indiqué qu’elle avait mis en place des mesures de sécurité adéquates au moment des atteintes à la sécurité de juin et de novembre 2017, y compris des obligations contractuelles prévoyant que son fournisseur assure la prestation de mesures de protection matérielles, administratives et techniques appropriées.
- Selon Dell, les renseignements sur les clients ont été consultés au moyen d’un portail sécurisé du système de gestion de la clientèle et l’accès était fondé sur le rôle et les responsabilités de l’agent de service technique. Dell a déclaré que [traduction] « les mesures de protection supplémentaires de l’accès comprennent (comprenaient) la limitation du nombre d’utilisateurs, la restriction de la disponibilité de certains renseignements personnels et la limitation du nombre de personnes qui peuvent accéder aux rapports et les élaborer ».
- Dell a aussi indiqué que le fournisseur de services a utilisé le logiciel « Data Leakage Protection System » (système de protection contre les fuites de données) qui numérise (numérisait) les courriels sortants pour y trouver des renseignements potentiellement confidentiels (p. ex. longues séries de numéros comme des numéros d’assurance sociale, des numéros de carte de crédit, etc.). Les systèmes en place ont également permis de saisir l’activité de recherche de renseignements sur des clients de Dell afin de soutenir les enquêtes judiciaires.
- Les mesures de protection matérielles comprenaient un poste de contrôle muni d’un détecteur de métal pour tous les employés du fournisseur et l’obligation pour les employés de conserver leurs effets personnels dans des casiers à l’extérieur des laboratoires actifs.
- Nous avons examiné des copies des contrats que Dell avait en place au moment de l’atteinte, y compris une « Annexe sur la protection et la sécurité des renseignements personnels » (l’Annexe) datée de mars 2009 qui faisait partie du contrat élargi entre Dell et le fournisseur. Dell nous a également fourni un accord sur la protection des données (l’APD) qui n’était pas en vigueur au moment des atteintes en cause.
- L’Annexe comprenait un addenda canadien distinct exigeant que le fournisseur [traduction] « prenne des mesures de sécurité matérielles, administratives et techniques raisonnables qui sont appropriées compte tenu de la sensibilité des renseignements afin de protéger ces renseignements personnels contre la perte, le vol et l’accès non autorisé, la communication, la copie, l’utilisation, la modification ou la destruction… »
- De plus, l’addenda canadien exigeait que le fournisseur :
- limite l’accès logique et physique aux renseignements personnels aux employés autorisés;
- s’abstienne d’imprimer, de sauvegarder, de copier ou de conserver des renseignements personnels, sauf temporairement lorsqu’ils sont nécessaires à des fins opérationnelles;
- s’abstienne de supprimer ou de transmettre des renseignements personnels sauf avec la permission de Dell et, le cas échéant, veille à l’utilisation d’une technologie de chiffrement sécurisée.
- L’Annexe exigeait également que le fournisseur mette en œuvre certains contrôles, y compris des mécanismes de contrôle d’authentification et d’accès aux données et des contrôles de sécurité et d’intégrité du personnel, y compris des vérifications des antécédents. Le fournisseur était tenu de dispenser une formation annuelle aux employés, au personnel et/ou aux sous-traitants sur la façon de se conformer aux mesures de sécurité des données matérielles, techniques et administratives du fournisseur.
- Dell a également le droit de demander une copie des normes, politiques et lignes directrices de sécurité du fournisseur relatives aux données et peut effectuer un audit, une évaluation, un examen ou une vérification des données en cours de traitement.
- L’Annexe exigeait également que le fournisseur signale les atteintes à la sécurité à Dell dans les 12 heures après en avoir pris connaissance, ce qui comprenait également l’obligation de signaler les plaintes relatives aux atteintes alléguées ou aux pratiques générales de confidentialité du fournisseur.
- Dell a également déclaré qu’elle effectuait des audits périodiques des mesures de sécurité du fournisseur afin de surveiller l’efficacité de ces mesures. Dell a déclaré avoir entrepris un audit sur place axé sur les politiques de droits d’accès, entre février et novembre 2016, dans les installations du fournisseur en Inde, où les deux employés impliqués dans les atteintes à la sécurité de juin et de novembre 2017 ont travaillé. Dell a affirmé qu’aucun problème de non-conformité important n’avait été relevé au cours de cet audit.
- Selon Dell, le fournisseur a également retenu les services d’un tiers indépendant pour effectuer une analyse judiciaire de certains systèmes destinés aux employés entre novembre 2016 et mars 2017, y compris ses systèmes destinés aux employés dans lesquels le fournisseur cherchait des traces de vol par des employés. Selon Dell, l’expert judiciaire externe n’a pas trouvé de trace de vol de données relativement à ces systèmes.
- Dell a également indiqué qu’elle avait entrepris deux autres audits sur place en avril et août 2017 dans d’autres emplacements en Inde et, encore une fois, n’avait relevé aucun problème de conformité important.
- Dell a affirmé que, malgré ces mesures de protection, elle ne pouvait empêcher un scénario où deux employés de son fournisseur de services ayant un accès autorisé restreint à un rôle approprié commettraient l’acte criminel de voler des données. Elle maintient que l’exfiltration a été détectée et atténuée rapidement.
- Néanmoins, après novembre 2017, Dell a également indiqué qu’elle avait mis en œuvre un certain nombre de modifications à ses mesures de protection, en collaboration avec le fournisseur, à la lumière des atteintes à la sécurité survenues, notamment les suivantes :
- réduire de 75 % le nombre d’utilisateurs autorisés à établir des rapports contenant des renseignements sur les clients;
- réduire le nombre de personnes qui peuvent accéder à la base de données des renseignements sur les clients à seulement trois personnes, soit une personne par quart de travail, à l’endroit où les atteintes se sont produites;
- créer deux nouvelles catégories de droits d’accès qui ne permettent pas l’accès à des renseignements propres aux clients;
- désactiver toutes les fonctions USB ou les autres appareils de stockage de données des postes de travail des employés.
- Pendant que notre enquête se poursuivait, Dell a indiqué qu’elle avait décidé de couper ses liens avec le fournisseur et qu’elle avait retenu les services de deux autres fournisseurs.
Analyse
- Dell a admis que les renseignements personnels des deux plaignants ont été compromis en novembre 2017, de même que les renseignements personnels de 7 883 autres Canadiens. Dell a également admis qu’il y avait eu une atteinte en juin 2017, mais elle affirme ne pas en connaître l’ampleur ni les renseignements personnels en cause dans cet incident antérieur.
- Bien que Dell ait contesté le fait que l’appel ciblé d’arnaque de soutien technique que la plaignante A a reçu était le résultat d’une atteinte subie par l’entreprise, nous estimons que la contestation de Dell ne reposait sur aucun fondement et qu’elle n’a aucune connaissance de la portée de l’atteinte de juin 2017. Nous ne voyons donc pas comment Dell peut affirmer que cette atteinte ne concernait pas les renseignements personnels de la plaignante, surtout lorsqu’elle admet que les mêmes renseignements sur la plaignante ont bel et bien fait l’objet d’une atteinte en novembre 2017. Dell n’a pas non plus fourni de justification convaincante quant à la façon dont l’appelant aurait eu accès à des renseignements sur des clients de Dell, y compris, par exemple, ses interactions antérieures avec Dell.
- Quoi qu’il en soit, il est clair que les renseignements personnels des deux plaignants étaient impliqués dans l’atteinte de novembre 2017 et que des renseignements personnels supplémentaires sur des clients ont également été communiqués sans autorisation en juin 2017.
- La question à trancher dans ces plaintes est donc de savoir si Dell a adéquatement protégé les renseignements personnels sous son contrôle contre toute communication inappropriée lorsqu’elle utilisait les services d’un fournisseur de services à des fins opérationnelles.
Mesures de sécurité
- Au sens de la Loi, Dell demeure responsable des renseignements personnels de ses clients pendant qu’ils sont traités par un fournisseur de services. Le principe 4.1.3 stipule qu’une organisation est responsable des renseignements personnels en sa possession ou sous sa garde, y compris des renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
- Le principe 4.7 prévoit que les organisations sont tenues de protéger les renseignements personnels au moyen de mesures de sécurité correspondant au degré de sensibilité des renseignements. Selon la LPRPDE, une évaluation valable de la sensibilité de l’information est fondée sur le contexte et comprend une analyse de l’information en cause, des risques prévisibles et des risques de préjudice pour les personnes découlant d’un accès non autorisé, de la communication, de la copie, de l’utilisation ou de la modification des renseignementsNote de bas de page 14.
- En plus du degré de sensibilité, le principe 4.7.2 stipule que la nature des mesures de sécurité variera également selon la quantité, la répartition, le format des renseignements et la méthode de conservation. Le principe 4.7.3 stipule que les organisations doivent utiliser des moyens matériels, des mesures administratives et des mesures techniques pour protéger les renseignements personnels.
- Nous sommes d’avis que les renseignements personnels que Dell a transférés à son fournisseur sont sensibles compte tenu de la nature des renseignements personnels en cause, de l’environnement à risque élevé et du préjudice potentiel aux personnes en cas d’atteinte. L’information en question comprend les noms des clients, leurs coordonnées, y compris leurs numéros de téléphone et adresses de courriel, ainsi que des détails précis concernant leurs produits Dell et leurs interactions avec les agents du soutien technique de Dell. Bien que ces renseignements combinés présentent un certain degré de sensibilité compte tenu des divers éléments de données, la sensibilité est encore plus élevée en raison de l’environnement de risque connu et des préjudices potentiels qui découlent d’une atteinte.
- Dell était bien au fait du risque accru posé par la prolifération non seulement d’arnaques de soutien technique, mais aussi d’arnaques ciblées de soutien technique où des fraudeurs se sont fait passer pour des employés et ont utilisé les renseignements personnels des clients pour tromper leurs victimes. De plus, le fournisseur de Dell exploitait ses centres d’appels en Inde, pays d’où provenaient, selon certains rapports, un grand nombre d’appels de soutien technique frauduleux. Il serait donc prévisible que des fraudeurs, qui travaillent dans ce domaine, trouvent des renseignements légitimes sur les clients de Dell extrêmement précieux et attrayants. Le fait d’avoir accès non seulement aux noms et aux coordonnées des clients réels de Dell, mais aussi aux renseignements concernant leurs produits Dell et leurs transactions récentes permettrait aux auteurs de fraudes liées à du soutien technique de mieux cibler et tromper leurs victimes dans la poursuite de leurs activités frauduleuses.
- De plus, les préjudices potentiels découlant d’une atteinte à la sécurité des renseignements personnels des clients de Dell dans ce contexte peuvent être importants et réels. La plaignante A a subi un préjudice financier, ainsi que le stress et les inconvénients liés au reformatage de son ordinateur pour s’assurer que ses dossiers privés n’étaient pas perdus. Comme le souligne le rapport de Microsoft, les arnaques de soutien technique sont une industrie lucrative d’un milliard de dollars où les victimes souffrent non seulement de préjudices financiers, mais aussi de stress et d’anxiété.
- À cet égard, nous ne sommes pas d’accord avec l’affirmation implicite de Dell voulant que la plaignante A était « à blâmer » pour avoir été victime de la fraude. Il est tout à fait compréhensible qu’une personne fasse confiance à un appelant qui a accès à des renseignements personnels que seul Dell aurait raisonnablement eus en sa possession. Quoi qu’il en soit, il est déconcertant de constater que Dell, après avoir subi au moins deux atteintes connues, a tenté de transférer ainsi la responsabilité à ses clients qui étaient les victimes innocentes de ces arnaques.
- Pour les raisons susmentionnées, nous concluons que les renseignements en cause sont particulièrement sensibles. Par conséquent, nous nous attendons à ce que Dell veille à ce que son fournisseur ait mis en place des contrôles de sécurité rigoureux pour protéger les renseignements de ses clients compte tenu de son environnement de risque.
- Dell a soutenu qu’elle avait mis en place de solides mesures de protection des données avec son fournisseur et a insisté sur le fait qu’elle n’aurait pas pu faire grand-chose pour prévenir ces atteintes par certains employés malhonnêtes de son fournisseur. Même si nous avons constaté que Dell avait mis en place un certain nombre de mesures de sécurité, le Commissariat estime qu’il y avait des lacunes dans les domaines distincts suivants : contrôle de l’accès, surveillance et journalisation, mesures techniques et enquête sur les atteintes.
Contrôles d’accès
- D’abord et avant tout, il n’est pas clair pourquoi autant d’employés ont eu la possibilité d’accéder à des rapports sur les clients détaillés contenant des renseignements personnels et de les produire. Dell a fait valoir que le fournisseur avait des contrôles d’accès fondés sur des rôles et que seuls les gestionnaires de « niveau supérieur » avaient un accès spécial pour créer des rapports à des fins opérationnelles. Pourtant, après l’atteinte de novembre 2017, Dell a confirmé avoir réduit de 75 % le nombre d’employés qui pouvaient produire des rapports contenant des renseignements sur les clients.
- En plus d’établir des rapports, il était également possible d’accéder aux rapports déjà créés. Après novembre 2017, Dell a aussi considérablement réduit la capacité de la plupart des employés d’accéder à des rapports contenant des renseignements sur les clients en créant deux nouvelles catégories de droits d’accès qui permettent l’accès à des rapports ne contenant que des renseignements qui ne permettent pas d’identifier un client. Par conséquent, nous constatons que la capacité d’accès et de création de rapports était nettement supérieure à ce qu’elle devait être.
- Par ailleurs, il n’était pas clair pourquoi Dell a permis et autorisé la production de rapports sur des clients aussi détaillés comportant de nombreux éléments de données, y compris les coordonnées des clients de Dell. Dell a peut-être estimé que ces renseignements étaient non sensibles, mais ces rapports ont été extrêmement précieux pour les auteurs de fraudes liées à du soutien technique, comme en témoigne le fait que des employés malhonnêtes avaient vendu ces listes à des fraudeurs. Il aurait fallu prendre davantage de précautions pour faire en sorte que les employés aient accès à la plus petite quantité possible de renseignements personnels dans l’exercice de leurs fonctions. Nous constatons qu’en 2018, Dell a commencé à masquer les renseignements permettant d’identifier une personne, comme les numéros de téléphone, pour empêcher les employés qui n’avaient pas un besoin manifeste d’y avoir accès.
Journalisation et surveillance
- Nous n’avons trouvé aucune preuve qu’il y avait un processus de journalisation et de surveillance en place pour détecter les demandes anormales de renseignements sur des clients de la part d’employés (par exemple un volume élevé de demandes de création de rapports). Compte tenu de la nature délicate de l’information contenue dans ces rapports, un processus de surveillance active aurait dû être en place pour surveiller, gérer et examiner l’accès des employés à intervalles réguliers. Nous n’avons trouvé aucune preuve que Dell surveillait régulièrement l’accès du fournisseur à son propre système ni aucune preuve que le fournisseur surveillait régulièrement les droits d’accès de ses propres employés.
- Bien que Dell souligne que son fournisseur dispose d’un système de surveillance logiciel qui numérise les courriels pour y détecter des pièces jointes et des listes volumineuses contenant des séries de chiffres, nous remarquons que ce système a été facilement contourné lors de l’atteinte de novembre 2017 par l’employé qui a transmis de plus petits lots de pièces jointes. Ces pièces jointes de plus petite taille lui ont permis d’exfiltrer des renseignements personnels sur des milliers de clients sans que les systèmes du fournisseur soient déclenchés.
- En ce qui concerne l’atteinte de juin 2017, Dell a admis que l’exfiltration n’avait déclenché aucun de ses systèmes et qu’elle n’était pas en mesure de détecter la moindre trace de l’exfiltration.
Autres mesures techniques
- Dell travaillait clairement dans un environnement où elle était consciente du risque de vol de renseignements par des employés du fournisseur et avait mis en place certaines mesures pour atténuer ce risque, notamment un poste de contrôle muni d’un détecteur de métal et des casiers pour les effets personnels.
- Dans cet environnement, nous avons toutefois été surpris de constater qu’il n’avait restreint l’utilisation des clés USB dans les postes de travail des employés qu’après avoir pris connaissance des atteintes en question. Dans des rapports d’enquête et des directives antérieures, le Commissariat a mis en garde contre les risques associés à l’utilisation d’appareils portatifs de stockage et a indiqué que ceux-ci ne devraient être utilisés qu’en dernier recours pour la conservation ou le transfert de renseignements personnels et uniquement si cela est manifestement nécessaire pour atteindre une fin précise et documentéeNote de bas de page 15.
- Compte tenu des éléments de preuve présentés, nous n’étions pas convaincus que Dell avait mis en place suffisamment de mesures pour s’assurer que les clés USB n’étaient pas utilisées par des employés pour exfiltrer des renseignements personnels.
Enquête sur les atteintes
- Une mesure administrative essentielle pour protéger les renseignements personnels consiste à instituer rapidement une enquête approfondie en cas d’atteinte, y compris sur la foi d’allégations d’atteinte. Une fois avisée d’une atteinte potentielle, l’organisation doit déployer des efforts raisonnables pour déterminer si une telle atteinte est survenue et, le cas échéant, ses causes. Faute de quoi, les vulnérabilités potentielles ne sont pas corrigées.
- Outre le principe 4.7, nous notons que le principe 4.10.4 stipule qu’une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l’organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques au besoin.
- Une enquête rapide et approfondie sur les plaintes et, dans le cas qui nous occupe, les plaintes crédibles sur des atteintes potentielles est non seulement nécessaire pour cerner les vulnérabilités potentielles liées aux mesures de sécurité, mais aussi pour veiller à ce que des mesures correctives soient prises rapidement. Il arrive souvent qu’un client ou une personne de l’extérieur de l’organisation soit le premier à alerter une organisation de comportements inhabituels qui indiquent une atteinte à la sécurité des données et, par conséquent, chaque plainte crédible doit faire l’objet d’une enquête. Si les plaintes sont ignorées, rejetées ou ne font pas l’objet d’une enquête adéquate, le problème persistera et, dans le cas des menaces internes, les auteurs continueront leurs activités sans être détectés et ne subiront aucune conséquence.
- Dell a soutenu qu’elle a mené une enquête approfondie sur toutes les plaintes reçues du public, y compris celles des plaignants. Pourtant, en examinant la façon dont Dell a traité la plainte de la plaignante A au sujet d’un appel frauduleux ciblé, ce qui fait écho à l’expérience de nombreux autres clients de Dell, comme il est décrit aux paragraphes 32-33 du présent rapport, nous constatons que l’enquête de Dell est inadéquate.
- Lorsque le père de la plaignante A a communiqué pour la première fois avec le fournisseur pour lui faire part de ses préoccupations, il s’est fait répondre qu’il n’y avait aucun problème de sécurité. Il a été dirigé vers la page de la FTC décrivant les arnaques générales liées à du soutien technique et on l’a encouragé à faire un suivi auprès de cette organisation. Le père de la plaignante A a ensuite continué de faire part de ses préoccupations à Dell.
- Bien que Dell ait indiqué qu’elle a tenté de vérifier les renseignements de la plaignante A, elle a affirmé avoir été entravée dans son enquête en raison d’une étiquette de service incorrecte et d’autres renseignements fournis par le père de la plaignante. Nous remarquons toutefois que, dans ses observations, l’étiquette de service que Dell a identifiée comme étant la « bonne » est la même que celle que le père de la plaignante avait fournie à Dell dans sa plainte initiale. Nous notons également que l’étiquette de service et le numéro de téléphone fournis par le père de la plaignante dans sa plainte initiale correspondent à ceux associés aux dossiers de Dell sur ses appels de service à la plaignante A en mai 2017. Dans les circonstances, nous ne voyons pas comment Dell, une entreprise de technologie de pointe, n’a pu utiliser cette information ou d’autres renseignements comme le nom, l’adresse de courriel et l’information sur le produit pour faire les associations correctes et qui s’imposaient d’elles-mêmes.
- L’enquête inadéquate de Dell sur la plainte de la plaignante A est particulièrement problématique étant donné que sa plainte a été déposée après l’atteinte de juin 2017, mais plusieurs mois avant l’atteinte de novembre 2017. Si sa plainte, et peut-être celles d’autres personnes qui ont été déposées entre juin et novembre 2017, avait fait l’objet d’une enquête plus approfondie, il y aurait eu de meilleures chances de prévenir l’atteinte de novembre 2017.
- Nous trouvons également troublant que Dell n’ait pas pris d’autres mesures après avoir pris connaissance de l’atteinte survenue en juin 2017 afin d’en déterminer la nature et la portée. Dans les circonstances, le simple fait de savoir que l’atteinte est le résultat de l’utilisation de « moyens matériels » révèle peu et ne permet pas de dégager suffisamment de renseignements pour déterminer quelles autres mesures auraient dû être mises en place pour prévenir des atteintes semblables à l’avenir. Même si l’employé en question a été congédié, le même moyen aurait pu être communiqué à d’autres employés et utilisé par eux. Dell a indiqué que l’enquête du fournisseur n’a pas permis de découvrir la preuve que l’information a été exfiltrée par le réseau du fournisseur, mais Dell n’a pas expliqué pourquoi il n’a pas été en mesure de déterminer comment l’atteinte s’est produite et sa portée, ni démontré qu’il avait épuisé toutes les avenues raisonnables pour le faire. D’après les éléments de preuve dont nous disposons, nous ne sommes pas convaincus que Dell avait pris des mesures raisonnables pour déterminer les circonstances de l’atteinte de juin 2017.
Mesures recommandées
- Dans son rapport préliminaire, le Commissariat a recommandé que Dell mette en place les mesures suivantes relativement à ses obligations aux termes des principes 4.10.4 et 4.7 :
- Mettre en œuvre des procédures pour veiller à ce que les plaintes portées à l’attention de Dell ou de ses fournisseurs de services alléguant que des renseignements personnels ont été compromis fassent l’objet d’une enquête approfondie et appropriée;
- Veiller à ce que les représentants du service à la clientèle de Dell et de ses fournisseurs de services reçoivent une formation adéquate sur les obligations de Dell en vertu de la Loi et sur la façon de répondre aux plaintes relatives à la protection des renseignements personnels;
- Mettre en place des procédures pour veiller à ce que les circonstances entourant une atteinte fassent l’objet d’une enquête adéquate et approfondie;
- S’assurer que Dell dispose d’une capacité de journalisation et de surveillance pour détecter les demandes anormales et inhabituelles de renseignements sur des clients de la part de ses employés et fournisseurs.
- En réponse à notre rapport préliminaire, Dell a accepté de mettre en œuvre toutes les recommandations.
- En ce qui concerne les mesures de sécurité, Dell a déclaré qu’elle avait apporté un certain nombre d’améliorations, y compris des capacités améliorées de surveillance et de journalisation pour détecter les comportements anormaux et atypiques des employés et des fournisseurs de services. Elle a également déclaré avoir considérablement renforcé les contrôles d’accès, y compris par le recours à l’authentification à deux facteurs. Un moins grand nombre d’employés peuvent accéder à des renseignements sur les clients et un plus grand nombre de renseignements sont masqués. Dell a fait remarquer que ses nouveaux fournisseurs de services ont mis en œuvre un certain nombre de mesures de protection administratives, matérielles et techniques améliorées, y compris la désactivation de toutes les fonctions USB, la restriction de l’accès à l’imprimante et le contrôle de l’accès à l’atelier de production. Les restrictions relatives à Internet et au courriel sont telles que les employés ne peuvent envoyer des courriels qu’à partir de certains domaines.
- Dell a indiqué qu’elle a amélioré son plan d’intervention en cas d’atteinte à la vie privée et que le bureau responsable de la protection des renseignements personnels de Dell travaille en étroite collaboration avec l’équipe de la sécurité pour enquêter sur les incidents de sécurité. Dell a indiqué qu’elle a considérablement élargi ses équipes des enquêtes de sécurité en embauchant des employés supplémentaires et en mettant en œuvre un nouveau programme de gestion des risques internes à l’échelle de l’entreprise. Ce programme comprend un certain nombre de nouvelles procédures, de nouveaux processus et de nouveaux modules de formation pour les enquêteurs de sécurité.
- Dans un avenir immédiat, Dell a indiqué que tous les employés de première ligne, y compris ceux des deux nouveaux fournisseurs de services, recevront une formation sur les nouveaux processus et les nouvelles procédures de détection des incidents liés à la protection des renseignements personnels et à la sécurité signalés par des clients, y compris les appels de clients alléguant qu’un fraudeur avait des renseignements sur les interactions de service avec Dell, et l’intervention dans ces cas. Ce genre d’incidents doit être immédiatement signalé aux équipes de Dell responsable de la sécurité et de la protection des renseignements personnels. Dell a également préparé des vidéos de formation supplémentaires sur la protection des renseignements personnels à des fins de sensibilisation auprès de tous ses employés.
Conclusion
- Par conséquent, nous concluons que les plaintes sont fondées et résolues.
- Date de modification :