Des lacunes en matière de sécurité chez BMO entraînent une importante atteinte à la vie privée

Conclusions en vertu de la LPRPDE n^o 2021-003

30 mars 2021

---

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Description

Les plaignants dans cette affaire ont communiqué avec le CPVP à la suite de l’atteinte à leurs renseignements personnels détenus par la Banque de Montréal (BMO). Notre enquête a révélé que le logiciel de services bancaires en ligne de BMO présentait d’importantes faiblesses au niveau des mesures de sécurité techniques, ce qui a permis à des attaquants d’orchestrer une attaque à grande échelle touchant environ 113 000 comptes.

Points à retenir

• Les organisations doivent faire preuve de prudence pendant les phases de développement et de mise à l’essai de logiciels et d’outils afin de déceler et de corriger les vulnérabilités avant la mise en œuvre. De manière général, les tests plus robustes doivent combiner à la fois des outils manuels et automatisés.
• Les organisations doivent toujours appliquer des protocoles techniques de gestion des vulnérabilités afin de cerner et de minimiser les risques.
• Les organisations devraient disposer d’outils de gestion des robots et de protection ainsi que de protocoles pour se protéger contre ces attaques courantes.
• Les organisations doivent non seulement mettre en œuvre et tenir à jour des outils de supervision et de suivi des systèmes, mais doit aussi les configurer correctement pour détecter et atténuer les activités douteuses. Une bonne configuration devrait comprendre l’envoi d’alertes pour signaler au personnel chargé de la sécurité les activités douteuses et la nécessité de mener une enquête.

Rapport de conclusions

Aperçu

Le Commissariat à la protection de la vie privée du Canada (« CPVP ») a reçu des plaintes de deux clients de la Banque de Montréal (« BMO ») qui prétendaient que BMO n’a pas protégé adéquatement leurs renseignements personnels. Les clients alléguaient qu’à la suite d’une atteinte à la sécurité des systèmes de BMO, leurs renseignements personnels ont été obtenus par des acteurs malveillants et ont été affichés sur divers sites Web tiers.

BMO a reconnu que des vulnérabilités dans son application de services bancaires en ligne, entre juin 2017 et janvier 2018, ont permis aux attaquants d’enfreindre ses mesures de sécurité, de s’emparer de comptes bancaires en ligne et d’exfiltrer les renseignements personnels de 113 154 de ses clients dans le cadre de deux attaques distinctes. La première attaque est survenue durant la période comprise entre juin et novembre 2017, tandis que la seconde a eu lieu fin décembre de la même année. BMO n’a appris que des renseignements personnels avaient été saisis par les attaquants que lorsqu’elle a reçu un courriel demandant une rançon en mai 2018, ce qui l’a incitée à effectuer un examen technique complet de ses systèmes. Grâce à cet examen, BMO a découvert que la première infraction a touché 36 755 clients et la seconde, 76 399.

Au cours de ces attaques, des tiers non autorisés ont obtenu un large éventail de renseignements personnels, notamment, selon la personne, les numéros de compte bancaire, le numéro d’assurance sociale (NAS), le nom, la profession, la date de naissance, l’adresse et/ou les numéros de carte de crédit/débit. Il s’agit de renseignements de nature sensible qui pourraient être utilisés par des acteurs malveillants pour commettre un vol d’identité. Par conséquent, la rigueur des mesures de sécurité mises en œuvre par BMO aurait dû être proportionnellement élevée.

Nous avons déterminé que les attaquants ont pu accéder à ces renseignements en exploitant les principales vulnérabilités et faiblesses du système de comptes bancaires en ligne de BMO. Plus précisément, ils ont pu :

1. se connecter à un compte bancaire en ligne et accéder au compte d’un autre client en saisissant simplement le numéro d’une autre carte valide, ce qui leur a ensuite permis d’obtenir les renseignements personnels de ce client à partir d’un fichier non chiffré accessible par l’une des pages du compte en ligne;
2. passer à une saisie à grande échelle, non détectée, en utilisant un programme informatique pour parcourir au hasard des numéros de carte et accéder aux renseignements personnels de 113 154 comptes (une attaque par robot).

Notre enquête a révélé plusieurs lacunes dans les mesures de sécurité de BMO qui ont contribué à l’infraction. Ces lacunes comprenaient les éléments suivants :

1. Mise à l’essai et évaluation de la sécurité des développeurs – En raison de lacunes dans l’élaboration et la mise à l’essai de logiciels sécurisés, BMO a élaboré et mis en œuvre une application comportant d’importantes vulnérabilités que les attaquants ont finalement pu exploiter.
2. Gestion des vulnérabilités – En raison de lacunes au niveau des tests de vulnérabilité, il a fallu à BMO environ six mois pour détecter la vulnérabilité d’accès aux comptes en ligne après la mise en œuvre de l’application. Même si BMO a détecté l’attaque en décembre 2017, elle n’a pas pris de mesures pour évaluer le risque qui en a découlé pour les renseignements personnels des clients que six mois plus tard, lorsqu’elle a reçu la preuve que des renseignements personnels avaient été exfiltrés. Lorsque BMO s’est finalement penchée sur cette évaluation, elle a pu déterminer rapidement la portée de l’atteinte à la protection des données. Ce n’est qu’à ce stade, six mois après la découverte de l’attaque, que BMO a pu mettre en place des mesures d’atténuation des risques pour les 113 154 clients dont les renseignements personnels ont été compromis.
3. Supervision et suivi – Même si les attaques par robot sont courantes, BMO n’avait pas de « solution de gestion des robots ». Ce type de solution aurait pu lui permettre de découvrir et d’interrompre la première attaque, et éviter du même coup l’atteinte à la protection des données, en décembre 2017. De plus, les protocoles de détection des intrusions de BMO comportaient d’importantes lacunes. De tels protocoles auraient dû indiquer, par exemple, que plus de 113 000 comptes avaient été consultés au moyen de trois adresses IP^{Note de bas de page 1} ou qu’une seule adresse IP donnait accès à plusieurs comptes en ligne au cours d’une session autorisée.

Nous avons donc conclu que BMO ne disposait pas de mesures de sécurité suffisantes et proportionnelles à la nature sensible des renseignements en question. BMO a toutefois apporté d’importantes améliorations aux mesures de sécurité pour corriger les faiblesses que nous avons relevées, de sorte que nous considérons la plainte comme étant fondée et résolue.

Contexte et plainte

1. Le Commissariat à la protection de la vie privée (« CPVP ») a reçu deux plaintes distinctes de particuliers prétendant que la Banque de Montréal (« BMO ») ne protégeait pas adéquatement leurs renseignements personnels dans ses systèmes en ligne et que, par conséquent, des tiers non autorisés ont eu accès à leurs renseignements personnels – y compris, selon la personne, les numéros de compte bancaire, le numéro d’assurance sociale (« NAS »), le nom, la profession, la date de naissance, l’adresse et/ou les numéros de cartes de crédit et/ou de débit – et ont divulgué publiquement les renseignements de certains clients sur divers sites Web.
2. Étant l’une des plus grandes institutions financières sous règlementation fédérales au Canada, BMO offre une gamme de services bancaires et d’investissement à ses clients, y compris des services bancaires en ligne qui leur permettent d’effectuer diverses transactions et demandes de produits financiers liées à leurs comptes bancaires.
3. Entre juin 2017 et janvier 2018, une vulnérabilité touchant l’application bancaire interne en ligne de BMO a permis à des tiers non autorisés d’enfreindre ses mesures de sécurité, de prendre le contrôle de comptes individuels en ligne et de recueillir des renseignements personnels associés à ces comptes.
4. BMO a déterminé qu’au total, 113 154 clients ont été touchés par cette attaque et que leurs renseignements personnels ont été compromis. Ces renseignements variaient selon le type de compte et les renseignements personnels qui leur étaient associés. BMO a statué que les acteurs malveillants reliés à une cyberattaque en décembre 2017 étaient responsables des deux tiers des comptes compromis, tandis que les autres comptes ont été compromis lors d’une attaque distincte non détectée.
5. BMO a refusé d’acquiescer à la demande de rançon reçue en mai 2018, et a transmis la lettre aux organismes d’application de la loi. En guise de représailles, un tiers non autorisé a affiché publiquement les renseignements personnels de 3 190 clients de BMO sur divers sites Web publics. Bien que BMO ait agi rapidement pour demander que les renseignements soient retirés, ces données avaient déjà été consultées et diffusées par d’autres tiers, notamment par un journaliste qui a communiqué avec l’un des plaignants. Peu après, BMO a annoncé publiquement l’atteinte à la sécurité des données et elle a commencé à aviser les personnes touchées.
6. En septembre 2020, deux individus soupçonnés d’être responsables de la cyberattaque ont été accusés par la GRC pour diverses infractions au Code criminel du Canada. Cette affaire est encore pendante.

Méthodologie

7. En plus de mener des recherches dans les sources ouvertes, le CPVP a analysé une série de déclarations et de documents fournis par BMO au sujet de l’atteinte à la sécurité des données, ainsi que les protocoles et les technologies de protection de la banque.
8. BMO a retenu les services d’une entreprise indépendante, spécialisée en sécurité des TI, pour effectuer une analyse judiciaire de l’incident. BMO a rejeté les demandes d’accès du CPVP aux rapports produits par le tiers, invoquant le secret professionnel de l’avocat. À défaut d’avoir accès à ces sources d’information importantes, nous nous en sommes remis aux renseignements publics et à ceux que nous avons pu recueillir volontairement auprès de BMO.
9. La décision de BMO de retenir ce document, en invoquant une revendication de privilège, a compliqué et retardé l’enquête du CPVP, entraînant de multiples séries de questions et l’examen de milliers de pages de documents techniques et de données brutes.

Analyse

Détails de l’atteinte à la protection des données

Description du système touché

10. La plateforme de services bancaires en ligne de BMO est une application Web accessible au public et conçue pour permettre aux clients autorisés de BMO d’effectuer diverses tâches bancaires associées à leur compte, notamment vérifier le solde de leurs comptes et l’historique des opérations, effectuer des opérations comme le paiement de factures ou les virements électroniques et demander de nouveaux produits financiers.
11. BMO a déclaré qu’elle a developpé l’application à l’interne à l’aide de Java^{Note de bas de page 2} et que l’application est hébergée sur ses serveurs en Ontario.
12. Pour accéder à l’application, les clients doivent s’authentifier sur le site Web de BMO en utilisant leur numéro de carte de débit et un mot de passe qu’ils ont choisi. L’application Web est sécurisée au moyen du protocole TLS^{Note de bas de page 3} reconnu par l’industrie pour le chiffrement, d’un pare‑feu pour applications Web^{Note de bas de page 4} et d’un logiciel de protection des points terminaux^{Note de bas de page 5}.

Description de l’atteinte à la protection des données

13. En décembre 2017, un tiers non autorisé a lancé une série d’attaques de type « robot »^{Note de bas de page 6} contre les systèmes de BMO. La date exacte du début de l’attaque est inconnue. Aux premières heures du 22 décembre 2017, l’équipe de lutte contre les fraudes de BMO a pris connaissance d’activités inhabituelles liées à un volume élevé de demandes d’accès et de virements électroniques frauduleux. Le soir même, BMO a déterminé qu’une cyberattaque était en cours et a mobilisé une équipe interfonctionnelle pour y répondre.
14. BMO a commencé à appliquer des mesures d’atténuation dans la matinée du 23 décembre 2017 en bloquant certaines adresses IP liées à l’attaque. Le 24 décembre 2017, BMO a déployé un outil de sécurité tiers doté de capacités supplémentaires pour atténuer l’attaque. Une deuxième attaque, de moindre envergure, a été tentée le 25 décembre 2017, mais en raison des stratégies d’atténuation que BMO venait de mettre en place, l’attaquant n’a pu accéder à aucun compte.
15. Environ 6 076 comptes ont initialement été recensés par BMO comme étant touchés par l’attaque. Le 23 décembre 2017, BMO a avisé les clients visés de l’incident au moyen de messages automatisés ou par téléphone et a limité leurs transactions, en plus d’émettre de nouvelles cartes de débit. BMO nous a informés de l’atteinte à la protection des renseignements personnels le 5 janvier 2018.
16. Au cours de son enquête initiale, BMO a conclu par erreur que l’attaque par robot était une attaque de force brute à volume élevé^{Note de bas de page 7} contre les identifiants de connexion des comptes clients.
17. À la fin janvier 2018, BMO a découvert diverses anomalies dans les modèles d’accès présents dans ses registres, ce qui laissait supposer la présence d’une « vulnérabilité de corruption de session » (la « vulnérabilité »). Cette vulnérabilité permettait à un utilisateur malveillant qui avait réussi à ouvrir une session dans l’application bancaire en ligne d’accéder aux comptes d’autres clients en utilisant simplement les numéros de carte de débit ou de crédit de ces clients. BMO a finalement établi que cette vulnérabilité était présente depuis au moins juin 2017. Elle a corrigé la situation le 27 janvier 2018.
18. L’activité à volume élevé que BMO avait interprétée comme une attaque de force brute contre sa page de connexion était plutôt imputable à l’utilisation de robots par l’attaquant pour faciliter l’exploitation de la vulnérabilité, en saisissant rapidement des chaînes numériques jusqu’à ce que des numéros de cartes de crédit ou de débit valides soient trouvés.
19. BMO a indiqué qu’en janvier 2018, elle n’avait toujours pas cerné l’impact complet ou la portée de la vulnérabilité. Elle a traité l’incident comme une série de prises de contrôle de compte qui ont permis à un tiers non autorisé d’accéder à des fonds et de les transférer. Elle a donc concentré ses efforts sur la lutte contre la fraude liée aux virements de fonds non autorisés et elle n’a pas évalué le risque touchant les renseignements personnels des clients. Par conséquent, BMO n’était pas au courant de l’exfiltration importante de renseignements personnels qui s’était produite.
20. Le 27 mai 2018, BMO a reçu un courriel d’une personne qu’elle appelle « l’auteur de l’extorsion ». Dans son courriel, l’auteur précisait qu’à moins que BMO ne lui verse un million de dollars en cryptomonnaie, il divulguerait les renseignements personnels de 50 000 clients de BMO. L’auteur de l’extorsion a fourni des détails sur la vulnérabilité susmentionnée et un exemple de renseignements personnels d’un client BMO en format brut. Selon l’information fournie, BMO a conclu que l’auteur de l’extorsion avait compromis ses systèmes.
21. BMO n’a pas versé la rançon et a transmis le courriel de l’auteur de l’extorsion aux organismes d’application de la loi. Le 28 mai 2018, l’auteur de l’extorsion a affiché les informations personnelles d’un ensemble aléatoire de 3 190 clients de BMO sur différents sites web tiers. BMO a communiqué avec les sites Web et a fait supprimer l’information le même jour; toutefois, les données avaient déjà été copiées par divers tiers non liés et n’ont pu être supprimées de façon efficace.
22. Ce n’est qu’à la réception de la lettre de l’auteur de l’extorsion que BMO a commencé à considérer l’attaque comme un « incident de cybersécurité important » et a entrepris un examen et une analyse en profondeur de ses systèmes.
23. Le 28 mai 2018, BMO a évalué les données brutes figurant dans les exemples de l’auteur de l’extorsion et, au moyen d’une analyse interne et d’un processus de jumelage, elle a identifié l’application à partir de laquelle les renseignements personnels avaient été obtenus. BMO a établi que dans le cadre de l’attaque de décembre 2017, l’attaquant avait accédé à une composante de l’application bancaire en ligne appelée « Demande de produit ».
24. Cette application permettait aux clients de demander divers produits financiers après s’être connectés à leur compte. Par souci de commodité, BMO préremplissait divers champs de la demande en fonction des renseignements personnels associés au compte. Dans le cadre de ce processus, un fichier non chiffré contenant de nombreux renseignements personnels sur les clients a été stocké dans la mémoire cache de session des services bancaires en ligne^{Note de bas de page 8}. BMO a déterminé que c’est ce fichier qui a été utilisé par l’attaquant pour recueillir les renseignements personnels de ses clients.
25. À partir de l’analyse effectuée en juin 2018, BMO a déterminé que 76 399 clients avaient été touchés par l’attaque de décembre 2017. Une enquête plus approfondie a permis de déterminer que cette vulnérabilité avait été exploitée à un moment donné entre juin et novembre 2017, lorsque des attaquants inconnus ont eu accès aux comptes et aux renseignements personnels de 36 755 clients supplémentaires. Cette attaque n’avait pas été détectée à l’époque et BMO estime que les attaquants pourraient avoir été différents de la ou des personnes responsables de la deuxième attaque, plus importante, survenue en décembre 2017.
26. BMO a déterminé que la vulnérabilité exploitée par les attaquants a été corrigée avec succès le 27 janvier 2017, bien qu’il y ait eu une période de 24 heures, le 4 février 2018, au cours de laquelle la vulnérabilité a été rétablie, avant d’être corrigée de nouveau.
27. En juin 2018, BMO a retenu les services d’une entreprise tierce de cybersécurité pour effectuer une enquête et un audit complets sur ses systèmes, puis ceux d’une deuxième entreprise de cybersécurité pour exécuter d’autres tests de sécurité afin de déceler toute autre vulnérabilité potentielle. Le 6 juin 2018, BMO a appliqué un correctif exhaustif qui a corrigé de façon permanente la vulnérabilité.
28. Comme il est décrit plus loin dans le présent rapport, à la suite de cet incident, BMO a apporté divers changements importants à ses politiques, procédures et mesures de sécurité techniques afin d’améliorer sa posture de sécurité et d’empêcher d’autres attaques.

Renseignements personnels visés par l’attaque

29. Selon BMO, son évaluation a indiqué que les renseignements personnels de 113 154 de ses clients ont été compromis au cours de la période où la vulnérabilité était active (comme il est expliqué au paragraphe 25 ci‑dessus). Les types de renseignements personnels comprenaient le nom, les coordonnées (adresses, courriel, numéros de téléphone), la date de naissance, le NAS, les questions et réponses de sécurité, les mots de passe de compte, les numéros de compte bancaire, les soldes de compte et l’historique des transactions.
30. BMO a séparé les renseignements personnels compromis en deux « paliers », à partir d’une évaluation de sensibilité. Le palier 1 comporte la date de naissance et le NAS en plus d’autres types de renseignements personnels compromis (62 945 clients), tandis que le palier 2 concerne toute autre combinaison de renseignements personnels, à l’exclusion du NAS et de la date de naissance (50 209 clients).

Question : BMO a‑t‑elle mis en place des mesures de sécurité suffisantes pour protéger adéquatement les renseignements personnels relevant de son contrôle?

31. Le principe 4.7 de la Loi prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Conformément au principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol et contre l’accès, la divulgation, la reproduction, l’utilisation ou la modification non autorisés.
32. Le principe 4.7.3 prévoit en outre que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; c) des mesures technologiques, par exemple l’usage de mots de passe et du chiffrement.
33. À notre avis, pour les raisons décrites ci‑dessous, BMO n’a pas mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels des clients.

La nature sensible des renseignements personnels

34. Les renseignements personnels compromis relevaient du palier 1 ou du palier 2, comme il est décrit au paragraphe 30. Pour chaque palier, l’information pourrait être considérée de nature sensible lorsqu’elle est prise dans son ensemble, étant donné que même le palier 2 comprend des détails financiers complets, y compris l’historique des transactions associées aux comptes individuels. Les renseignements du palier 1 comprenaient également le NAS et la date de naissance, qui sont de nature particulièrement sensible, compte tenu de leur permanence et de leur importance dans l’établissement de l’identité et le fonctionnement de la société canadienne. Le CPVP note que ces renseignements peuvent être utilisés par des acteurs malveillants pour commettre un vol d’identité. Par conséquent, à notre avis, la force des mesures de sécurité mises en place par BMO pour protéger ces renseignements personnels aurait dû être proportionnellement élevée.

Mesures de sécurité pertinentes

Pour évaluer les mesures de protection mises en place par BMO au moment de l’attaque, nous avons mis l’accent sur les quatre domaines suivants :

1. Mise à l’essai et évaluation de la sécurité par les développeurs – pour élaborer et mettre en œuvre des solutions logicielles sécurisées;
2. Gestion des vulnérabilités – pour identifier, évaluer et corriger les vulnérabilités logicielles après leur déploiement;
3. Supervision et suivi – pour détecter les activités douteuses et évaluer et atténuer les cyberattaques;
4. Politiques et procédures organisationnelles – pour établir des protocoles et des procédures de traitement des cyberattaques.

Mise à l’essai et évaluation de la sécurité par les développeurs

35. Nous croyons que le problème de protection au cœur de cette attaque est le développement et le déploiement, par BMO, d’une application bancaire destinée au public qui présentait un grave problème de vulnérabilité. L’exploitation de cette vulnérabilité a permis aux attaquants de contourner facilement d’autres mesures de sécurité.
36. Le developpement et la mise à l’essai d’applications sécurisées constituent un élément clé de la mise en œuvre de solutions logicielles qui protègent adéquatement les renseignements personnels. Nous notons que BMO a maintenu ce qu’elle appelait « un cycle de vie du processus de sécurité des applications de bout en bout » à l’appui de cette démarche.
37. Ce processus a été défini dans les directives opérationnelles et organisationnelles de BMO concernant les activités et protocoles de sécurité pour exécuter un processus d’examen de sécurité avant la mise en œuvre. Ce processus comprenait la détermination des exigences de sécurité, la mise à l’essai, la validation et la gestion des problèmes et des risques.
38. Malgré ces procédures, le CPVP constate toutefois que BMO a élaboré et déployé une application Web présentant une vulnérabilité fondamentale à risque élevé. La vulnérabilité a permis à des acteurs malveillants qui avaient réussi à avoir accès à un seul compte de contourner complètement les protocoles d’authentification et de sécurité et d’accéder aux informations de compte associées à tout autre compte en saisissant simplement un autre numéro de carte de débit ou de crédit valide. Une autre faiblesse a permis aux attaquants de parcourir des chaînes de nombres aléatoires pour trouver des numéros de carte valides et exploiter la vulnérabilité à grande échelle.
39. L’application bancaire compromise a été développée à l’interne par BMO. Celle‑ci avait donc l’entière responsabilité des tests et de l’évaluation de sécurité de l’application. Nous sommes d’avis que BMO aurait dû raisonnablement détecter et corriger cette vulnérabilité avant sa mise en œuvre dans un environnement de production réel.
40. Nous avons relevé un certain nombre de lacunes qui ont contribué à ce problème :
    1. BMO nous a fourni un certain nombre d’évaluations des risques effectuées après l’attaque; celles‑ci ont révélé que certains outils qui auraient été utiles pour cerner les vulnérabilités dans le code de BMO avant le lancement n’étaient pas disponibles. En particulier, en raison des limites de ses applications d’analyse et d’essai de sécurité, BMO a été incapable d’effectuer un certain nombre d’analyses de vulnérabilité clés. Une évaluation interne du risque après l’attaque effectuée par BMO a révélé qu’il s’agissait d’un problème très grave qui posait un risque élevé. Nous soulignons que cette lacune a été corrigée depuis et que ces analyses sont maintenant effectuées sur une base régulière.
    2. BMO n’a pas effectué de test de pénétration^{Note de bas de page 9} dans le cadre de son processus initial de diffusion de l’application. Comme il est indiqué au paragraphe 78, BMO a depuis élargi considérablement son régime de mises à l’essai en mettant en œuvre des tests de pénétration préalables à la diffusion et des exercices de l’équipe de testeurs.

Gestion de la vulnérabilité

41. BMO n’a pas détecté la vulnérabilité de son système pendant au moins sept mois, ce qui a permis à des acteurs malveillants de l’exploiter à de multiples reprises, et de compremettre les renseignements personnels de 113 154 clients au cours de cette période. À notre avis, il existait des lacunes dans le processus d’évaluation de la vulnérabilité de BMO, avant et après que cette dernière eut pris connaissance de l’attaque, ce qui a contribué à la défaillance du système.
42. Les vulnérabilités logicielles présentent un risque important pour les organisations, car elles peuvent être exploitées par des acteurs malveillants pour contourner les mesures de sécurité. Les organisations responsables de la protection de renseignements personnels doivent disposer d’outils et de protocoles pour évaluer leurs systèmes et corriger les vulnérabilités de façon continue. Ces systèmes doivent comprendre des mécanismes pour : (i) cerner et évaluer correctement et rapidement les vulnérabilités; (ii) mettre en œuvre des mesures correctives suffisantes pour corriger les vulnérabilités; et (iii) vérifier que les vulnérabilités ont été corrigées.
43. BMO nous a informés qu’au moment de l’attaque, elle maintenait un programme d’évaluation de la vulnérabilité^{Note de bas de page 10}. Le programme, que BMO nous a expliqué en détail, comprenait des évaluations quotidiennes de la vulnérabilité externe, des évaluations hebdomadaires de la vulnérabilité interne et des évaluations mensuelles de la vulnérabilité des bases de données et des postes de travail.
44. Malgré ces étapes, nous constatons qu’au moment de la cyberattaque de décembre 2017, la vulnérabilité, dont BMO ignorait l’existence, existait depuis au moins juin 2017.

Tests de pénétration

45. Les lacunes relatives aux outils d’analyse et aux tests de pénétration mentionnées au paragraphe 41, qui ont eu une incidence négative sur le processus de développement sécurisé, ont également entraîné des lacunes dans le repérage de la vulnérabilité dans la page « Demande de produits » après le déploiement.
46. Les tests de pénétration représentent un élément essentiel du maintien des mesures de securité et assure que les problèmes sont détectés et traités. BMO a conclu une entente avec une entreprise de sécurité indépendante pour effectuer des tests de pénétration internes et externes annuels sur sa plateforme de services bancaires en ligne. Toutefois, lors de notre examen des représentations de BMO, nous avons constaté que le contrat de service de la banque consistait à effectuer des essais assez généraux d’attaques courantes, et reposait principalement sur des analyses automatisées, avec un minimum de tests manuels ou d’utilisation d’outils d’exploitation. Compte tenu du degré de sensibilité des renseignements personnels contrôlés par BMO, des protocoles de test plus rigoureux, y compris des tests manuels et des outils avancés d’exploitation, étaient justifiés. Nous constatons que BMO a depuis adopté les protocoles décrits aux paragraphes 78 et 79.

Évaluation de la vulnérabilité après l’attaque

47. De plus, et ce qui est encore plus préoccupant, même si la vulnérabilité a été repérée, évaluée et corrigée par BMO à la fin de janvier 2018, BMO n’a pas conclu que des renseignements personnels pouvaient avoir été exfiltrés avant mai 2018, après la réception de la demande de rançon.
48. Cette situation est attribuable au fait que BMO a mis l’accent sur la fraude liée à l’attaque et qu’elle n’a pas effectué une évaluation complète de la vulnérabilité, comme il est expliqué au paragraphe 19. Nous sommes d’avis que dans le cadre de son processus d’analyse après l’attaque, en décembre 2017, BMO aurait dû raisonnablement établir la probabilité élevée que des renseignements personnels soient compromis. Plus précisément, si BMO avait examiné ses registres d’activité des comptes en ligne (décrits au paragraphe 57 ci‑dessous) pour les comptes compromis, elle aurait remarqué que l’attaquant avait consulté à plusieurs reprises la page « Demande de produits » pour de nombreux comptes. Par ailleurs, un examen du code source de cette page aurait dû mener à la découverte du fichier mis en mémoire cache qui renfermait des renseignements personnels de nature sensible.
49. Si BMO avait effectué une évaluation plus complète, et avait découvert ce risque, en décembre 2017, elle aurait pu appliquer des mesures d’atténuation pour protéger les personnes contre le vol d’identité plusieurs mois avant de recevoir la lettre de l’auteur de l’extorsion.
50. À notre avis, des lacunes dans le processus d’évaluation ont contribué à l’incapacité de BMO de cerner et d’évaluer adéquatement la nature et la portée de la vulnérabilité au niveau de la sécurité de l’information pendant une période prolongée et elles ont augmenté le risque que les renseignements personnels des clients soient compromis.
51. Nous notons toutefois qu’après avoir repéré la vulnérabilité en mai ou juin 2018, BMO a mis en œuvre un protocole existant pour corriger les vulnérabilités détectées et vérifier les mesures connexes mises en œuvre pour atténuer les risques relevés. Cela comprenait la reproduction de la vulnérabilité dans un environnement de développement, l’application d’un correctif, l’examen du code par les pairs et l’exécution d’analyses de sécurité. Le correctif est ensuite testé dans un environnement d’assurance de la qualité et soumis à des essais fonctionnels et de régression avant sa diffusion.
52. Nous constatons également que les lacunes susmentionnées ont depuis été corrigées par les améliorations apportées aux protocoles d’essai décrits aux paragraphes 78 et 79, et par les améliorations mentionnées au paragraphe 82.

Supervision et suivi

53. Le CPVP a relevé un certain nombre de lacunes importantes dans les mesures de sécurité de BMO liées à la supervision et au suivi. Les lacunes dans sa capacité de détecter les activités douteuses, de cerner et de bloquer les « robots » et l’absence d’alertes en temps réel ont toutes contribué à l’ampleur de l’attaque.
54. La supervision et le suivi sont des éléments essentiels de tout régime de protection des renseignements personnels. Ils permettent aux organisations de détecter les activités internes et externes douteuses et d’assurer le respect des directives et des politiques. Nous avons examiné les capacités techniques de supervision et de suivi de BMO liées aux menaces externes de cybersécurité sur sa plateforme de services bancaires en ligne.
55. Nous ne passerons pas en revue tous les outils et protocoles de supervision et de suivi mis en place par BMO, étant donné que nombre d’entre eux ne sont pas pertinents à cette attaque particulière, mais nous soulignerons que BMO avait mis en place divers systèmes et procédures standards pour l’industrie.

L’enregistrement de données

56. Les politiques de sécurité de l’information de BMO établissent la nécessité d’enregistrer et de suivre, par défaut, les activités de ses utilisateurs et de ses systèmes, les exceptions et les événements de sécurité afin d’assurer la sécurité. BMO a établi un niveau de détail important et utile pour ses registres et a également maintenu une importante période de conservation pour ses registres.
57. L’examen des registres de BMO a été effectué manuellement et automatiquement à l’aide de divers outils. Une équipe désignée Centre des opérations de cybersécurité (COC) est chargée d’examiner les registres pour détecter, et ensuite enquêter sur les activités malveillantes lorsqu’elle est alertée par les outils de BMO ou d’autres services.
58. Comme il est expliqué en détail au paragraphe 49, il est regrettable que BMO n’ait pas tiré parti initialement de ces registres pour déterminer le risque pour les renseignements personnels des clients, après avoir pris connaissance de l’atteinte à la sécurité de décembre 2017.

Gestion des robots

59. Bien que BMO ait maintenu un certain nombre de « mesures techniques de défense du périmètre » pour ses applications Web, comme un pare‑feu pour applications Web, elle n’avait pas mis en place une solution de gestion des robots et n’était donc pas en mesure de détecter et d’interrompre efficacement les attaques de robots, comme dans ce cas‑ci.
60. BMO n’a été mise au courant de l’attaque par robot de décembre 2017 qu’après que son équipe de lutte contre la fraude eut constaté une activité transactionnelle douteuse sous la forme d’un volume élevé de demandes de connexion et de virements frauduleux, comme il est indiqué au paragraphe 13. Dans ce cas, le COC et ses outils connexes n’ont pas détecté l’attaque. L’incident a plutôt été signalé au COC par l’équipe de lutte contre la fraude de BMO après qu’une combinaison de transactions financières frauduleuses et d’un volume élevé d’ouvertures de session aient soulevé des préoccupations. Dans ses représentations, BMO a indiqué qu’elle s’est principalement concentrée sur les virements frauduleux.
61. BMO a indiqué que cette activité douteuse s’est étalée sur plusieurs jours, avant que l’attaque ne soit identifiée au moyen d’un examen manuel. En outre, l’activité financière frauduleuse était indépendante de l’exfiltration des données. Si l’attaquant s’était concentré sur l’acquisition de données, sans également tenter d’effectuer des virements électroniques, BMO n’aurait peut‑être jamais détecté l’attaque.
62. Une fois qu’elle a pris connaissance de l’attaque, BMO a réagi en bloquant manuellement des adresses IP précises, un moyen inefficace d’atténuer une attaque par robot, notamment en raison du fait que BMO n’avait recensé que les adresses IP associées à des virements frauduleux. Ce n’est qu’après la mise en œuvre d’une solution de gestion des robots par un fournisseur de services de sécurité, le 24 décembre 2017, que BMO a effectivement mis fin à l’attaque par robot.
63. Étant donné l’omniprésence d’attaques par robot visant des systèmes techniques, nous sommes d’avis que BMO aurait raisonnablement dû disposer d’une telle mesure de sécurité avant l’attaque. Si cet outil avait été appliqué plus tôt, l’attaque par robot aurait probablement été infructueuse et les quelque 76 000 comptes n’auraient probablement pas été compromis.

Détection et alertes de cyberattaque

64. BMO avait mis en place un suivi de la sécurité assuré par détection, y compris un produit tiers de gestion de la sécurité de l’information et de gestion des événements (GSIGE)^{Note de bas de page 11}. BMO a créé une bibliothèque « cas d’utilisation »^{Note de bas de page 12} pour détecter et signaler les tendances des attaques et les activités douteuses trouvées dans les registres.
65. Malgré cela, la configuration du système de GSIGE de BMO manquait de règles communes et raisonnables pour signaler certaines activités douteuses. Dans la présente affaire, l’attaquant responsable de l’attaque par robot perpétrée en décembre 2017 n’a utilisé que trois adresses IP pour accéder à environ 76 000 comptes. Des cas simples ordonnant au système de signaler une adresse IP qui échoue à répétition à se connecter à des comptes, ou une seule adresse IP qui est utilisée pour plusieurs sessions, auraient permis de détecter immédiatement l’attaque.
66. Malheureusement, ces cas d’utilisation de base n’étaient pas en place, même s’ils étaient utiles pour détecter les vecteurs d’attaque communs.^{Note de bas de page 13} Tel qu’il est indiqué au paragraphe 79, BMO a depuis sensiblement élargi ses cas d’utilisation pour la détection et a notamment ajouté les deux règles de base susmentionnées.
67. Fait important, BMO a indiqué que son système était également incapable de faire la distinction entre l’accès au moyen d’informations d’identification valides et l’accès résultant d’une vulnérabilité à la corruption des sessions. Par conséquent, BMO n’a pas été en mesure de détecter les changements apportés à la session ou l’exfiltration des données, et les compromissions des comptes ont été enregistrées comme une activité légitime. Cette situation a contribué à l’incapacité de BMO de détecter les exfiltrations de données et de déterminer par la suite à quel moment elles ont eu lieu.
68. Enfin, nous constatons que même si BMO avait en place ces outils de détection supplémentaires au moment de l’attaque, elle ne disposait pas d’alertes à la fraude automatisées pour l’aviser des attaques potentielles repérées au moyen de ces outils de détection. Sans alertes efficaces pour signaler les activités douteuses aux ressources compétentes, même les technologies de détection les plus avancées ont peu de valeur. De telles alertes sont nécessaires pour répondre rapidement aux cyberattaques. Comme il est mentionné au paragraphe 80, BMO a depuis ajouté des alertes à la fraude en temps réel.
69. Nous sommes d’avis que si les mesures de détection et les alertes susmentionnées avaient été en place, elles auraient pu permettre à BMO de détecter, de cerner et de mettre fin à la première attaque, dans le contexte de laquelle les attaquants ont accédé à environ 36 000 comptes entre juin et novembre 2017. Ces outils auraient pu alerter BMO de l’activité douteuse et déclencher un audit de sécurité comme celui qu’elle a entrepris en mai/juin 2018, après avoir été mise au courant de l’exfiltration par l’auteur de l’extorsion. Cela aurait pu permettre à BMO de détecter et de corriger la vulnérabilité avant l’attaque de décembre 2017 et d’éviter la compromission de 76 000 comptes supplémentaires.

Politiques et procédures organisationnelles

70. BMO avait en place une vaste gamme de directives, de politiques et de procédures pour la protection des renseignements personnels, comme on pourrait s’y attendre de la part d’une grande institution financière. Notre enquête a permis d’établir qu’en général, les politiques et procédures organisationnelles de BMO en matière de protection de l’information étaient utiles. Cela dit, nous avons constaté certains éléments qui auraient pu être plus efficaces. Par exemple, nous avons conclu que certaines procédures étaient trop générales et qu’il n’existait pas de protocoles complets pour certains scénarios importants.
71. Plus particulièrement, au moment de l’attaque, BMO n’avait pas mis en place de procédure ou de protocole d’opération précis pour repérer, évaluer et atténuer les attaques par robot, même si ces attaques sont courantes. Nous constatons qu’après l’attaque, BMO a élaboré un protocole et une procédure opérationnelle pour de telles attaques et a lancé un projet visant à examiner et à mettre à jour tous ses documents d’intervention en cas d’incident.
72. Nous avons relevé une deuxième lacune, à savoir que les responsabilités en matière de sécurité étaient réparties entre diverses équipes, sans qu’il y ait de procédures d’intégration et de communication adéquates pour les cyberattaques actives. Cette lacune a entraîné des retards dans l’intervention de BMO, car diverses équipes devaient communiquer, être organisées et mises à l’action pour répondre à l’attaque. Nous constatons qu’après la détection de l’attaque par robot, il a fallu près d’une journée complète à BMO pour organiser une intervention de plusieurs équipes et stopper efficacement l’attaque. Bien que ce délai ne soit pas considéré comme déraisonnable, il semble que BMO aurait eu la capacité de réagir plus rapidement si des procédures adéquates avaient été mises en place. Cet incident a notamment mis en lumière des lacunes mineures dans les protocoles et procédures de sécurité de BMO, et celle‑ci les a reconnues et a apporté d’importantes améliorations depuis, tel qu’il est décrit aux paragraphes 81 à 84.

Évaluation des mesures de protection de BMO avant et après l’attaque

73. À notre avis, les faiblesses précises décrites ci-dessus, individuellement et collectivement, constituent un manquement à la mise en œuvre de mesures de sécurité adaptées au volume et à la sensibilité des renseignements personnels détenus par BMO, en violation du principe 4.7 de la Loi.

Mesures prises par BMO depuis l’attaque

74. BMO a apporté diverses améliorations importantes en matière de sécurité depuis l’attaque, en se fondant sur de multiples évaluations internes et externes des lacunes dans ses mesures de sécurité techniques et ses procédures de sécurité, afin de corriger les lacunes relevées dans le présent rapport.
75. Plus particulièrement, nous constatons qu’après avoir reçu la demande de rançon, BMO a embauché une compagnie de sécurité tierce pour mener une enquête de sécurité judiciaire sur ses systèmes. Bien que BMO ait refusé de nous fournir des détails concernant cette enquête ou le rapport judiciaire, invoquant le secret professionnel de l’avocat, nous constatons qu’il s’agissait en principe d’une étape positive.

Améliorations des mesures de sécurité techniques

76. BMO a déployé un outil tiers de gestion des robots à son périmètre en ligne ainsi qu’une solution tierce de sécurité des applications et de prévention de la fraude, en deux couches. Ces outils protègent contre les attaques par force brute et par inscription automatique d’identifiants^{Note de bas de page 14}. L’outil de gestion des robots a été déployé avec succès le 24 décembre 2017, alors que la cyberattaque était en cours, et a interrompu l’attaque. S’ils sont correctement configurés et mis à jour, ces outils contribuent à protéger efficacement contre diverses cyberattaques, y compris une attaque automatisée de type « robot » comme celle dont BMO a été victime.
77. D’importantes améliorations ont été apportées au régime de tests de sécurité de BMO. Celle‑ci a remplacé son ancien fournisseur de services de tests de pénétration tiers après l’attaque. Le contrat de BMO avec le nouveau fournisseur prévoit l’amélioration des tests de pénétration des applications, y compris des tests plus approfondis et des tests de version^{Note de bas de page 15}, en plus des tests annuels. BMO a également mis sur pied des campagnes élargies (plurimensuelles) de type « Équipe rouge »^{Note de bas de page 16} pour tester régulièrement sa sécurité et compléter ses tests de pénétration. BMO a réduit les lacunes de ses protocoles de gestion des vulnérabilités en mettant en œuvre de nouveaux balayages et des protocoles de test plus robustes avant que le code ne soit mis en place dans ses systèmes de production.
78. BMO a considérablement élargi ses cas d’utilisation afin de surveiller la sécurité et a créé un dépôt de données avec code centralisé à partir de toutes ses applications Internet et mobiles, ce qui a permis une analyse simplifiée de la sécurité. Il a également préparé un manuel commun, ou un ensemble d’instructions, à l’intention des équipes responsables de la sécurité de l’information et de la fraude afin d’améliorer les processus d’alerte.

Amélioration des politiques et des protocoles

79. BMO a mis en œuvre un nouveau système d’alertes à la fraude en temps réel et un flux de données transactionnelles en temps quasi réel afin d’améliorer sa capacité à détecter les attaques et à intervenir de façon rapide.
80. BMO a considérablement accru le nombre de ressources humaines affectées à ses équipes de lutte à la fraude et de cybersécurité. De plus, elle a créé une nouvelle unité de lutte aux crimes financiers pour rationaliser et regrouper en un seul centre de responsabilité ses unités de cybersécurité, d’analyse des menaces, de suivi, de production de rapports, de lutte contre la fraude, d’enquête et de gestion de crise. Il s’agit d’une amélioration par rapport à la structure antérieure, où de telles responsabilités étaient réparties entre différents groupes et équipes, ce qui entraînait des retards de communication et des conflits de responsabilités.
81. À la suite de l’attaque, BMO a élaboré un certain nombre de nouvelles procédures et directives et a considérablement élargi les procédures existantes. Surtout, il a créé un outil de déroulement des événements et un protocole pour les attaques par robot, des normes de sécurité relatives à la vulnérabilité et au développement de logiciels et des normes de gestion des incidents. Ces nouvelles politiques et procédures organisationnelles ajoutent des détails fondamentaux, établissent des exigences significatives et peaufinent et simplifient les flux de travail liés à la sécurité et les interventions en cas d’incident.
82. BMO a lancé un programme visant à améliorer les mécanismes d’authentification pour l’ensemble de ses applications de services bancaires en ligne.
83. Nous avons évalué les améliorations importantes que BMO a apportées à ses protocoles de sécurité, à ses systèmes, à ses essais et à ses opérations après l’attaque et nous avons déterminé qu’elles corrigent les lacunes que nous avons relevées.

Conclusion

84. Compte tenu de ce qui précède, nous estimons que la plainte est fondée et résolue.