Nombreux incidents d’atteintes à la sécurité liés à la réutilisation des mots de passe

Résumé des cas d’incident n^o 2017-001

Diverses dates en 2017

---

Incidents

En 2017, plusieurs atteintes à la sécurité ont été déclarées au Commissariat à la protection de la vie privée du Canada (Commissariat) par des entreprises soupçonnant que des intrus avaient eu accès à leur système au moyen des données de connexion valides de clients ou d’employés. On croit que ces criminels avaient obtenu les données en tirant parti d’atteintes antérieures non apparentées ayant donné lieu à l’affichage en ligne de combinaisons de nom d’utilisateur et de mot de passe.

Vous trouverez ci-dessous un résumé de quelques-uns des incidents d’atteintes à la sécurité déclarés au Commissariat en 2017.

Incident n^o 1 – Une compagnie aérienne reçoit une demande de rançon après la publication en ligne des renseignements personnels de ses clients

Une compagnie aérienne a contacté le Commissariat afin de déclarer qu’une tierce partie inconnue avait eu accès au site Web de son programme de fidélisation et aux informations de profils d’environ 25 000 clients canadiens membres de son programme de fidélisation. La tierce partie avait contacté la compagnie aérienne pour lui prouver qu’elle avait publié en ligne les renseignements personnels d’environ 10 % des clients touchés. La tierce partie avait aussi menacé de publier en ligne les renseignements personnels d’autres clients si la compagnie aérienne ne payait pas la rançon demandée par la tierce partie.

Après avoir pris connaissance de l’incident, la compagnie aérienne a :

• Contacté le Commissariat et nos homologues provinciaux dans les provinces concernées;
• Contacté la GRC et ses homologues provinciaux dans les provinces concernées;
• Fait appel à des spécialistes de la cybersécurité externe;
• Réinitialisé tous les mots de passe touchés et rappelé aux clients de modifier leurs mots de passe régulièrement;
• Publié un avis de retrait sur le site Web où les renseignements personnels des clients avaient été publiés;
• Mis en place des contrôles accrus afin d’atténuer le risque de récidive;
• Retenu les services d’un conseiller juridique externe afin de veiller à ce que toutes les obligations légale en matière de protection de la vie privée prévues par la loi soient respectées;
• Publié un communiqué de presse et distribué une communication interne destinée aux employés à propos de l’incident.

À la suite d’une enquête interne sur l’incident, la compagnie aérienne a indiqué au Commissariat que ses systèmes internes n’avaient pas été compromis et qu’elle croyait que la tierce partie avait eu accès aux renseignements de profils de ses clients au moyen des données de connexions valides de chaque client. Par conséquent, la compagnie aérienne présume que la tierce partie a acheté une liste d’adresses courriel et de mots de passe volés auprès d’une source extérieure, en espérant que les gens avaient réutilisé leurs mots de passe sur divers sites Web. Selon la compagnie aérienne, dans les cas où un client avait réutilisé un mot de passe qui avait été volé, la tierce partie a pu accéder au compte du client chez elle.

Incident n^o 2 – Détaillant – la réutilisation d’un mot de passe compromet les renseignements personnels de plus de 100 000 membres

Un détaillant a contacté le Commissariat pour déclarer qu’une tierce partie inconnue avait été en mesure d’obtenir les données de compte client de plus de 300 membres de son programme de fidélisation. Après une analyse postérieure à l’incident, le détaillant a revu le nombre de membres touchés à plus de 100 000.

Résultat

Après avoir pris connaissance de l’incident, le détaillant a :

• Informé le Commissariat de l’atteinte à la sécurité des renseignements personnels de ses clients;
• Mené une enquête pour déterminer la portée de l’incident et atténuer le risque de récidive;
• Avisé toutes les personnes touchées;
• Mis en place des contrôles accrus afin d’atténuer le risque de récidive;
• Partagé les informations pertinentes sur les incidents avec d’autres organismes semblable afin d’aider à contrer la menace qui semble planer sur eux en ce moment;
• Actualisé le message aux clients apparaissant sur la page de connexion de son site Web détaillant les meilleures façons de choisir un mot de passe.

À la suite d’une enquête interne sur l’incident, le détaillant a déclaré au Commissariat que ses mesures de sécurité n’avaient pas été atteintes, mais qu’une ou des tierces parties inconnues ont pu accéder aux données de compte client en utilisant les informations de connexion de ses clients (adresses courriel et mots de passe). Selon le détaillant, ces informations avaient été obtenues auprès de sources extérieures lors d’atteintes à la vie privée survenues plus tôt chez d’autres organismes, ainsi qu’auprès d’autres sources non apparentées au détaillant.

Incident n^o 3 – Une entreprise de médias numériques détecte des activités en ligne inhabituelles dans les comptes des membres de son programme de fidélisation

Une entreprise de médias numériques a rapporté avoir détecté des activités en ligne inhabituelles dans les comptes de quelques douzaines de membres de son programme de fidélisation. Des points de récompense avaient été échangés. Malgré le fait que la connexion à ces comptes avait été effectuée avec des noms d’utilisateurs et des mots de passe valides, l’entreprise a constaté que la majorité des activités inhabituelles provenait d’une seule et unique adresse IP. Par conséquent, l’entreprise croit que les données de connexion ont été obtenues lors d’autres atteintes majeures à la sécurité des données. Elle croit que les renseignements personnels précis qui ont été perdus après l’accès non autorisé aux comptes de ses utilisateurs pourraient comprendre les noms des membres, leur date de naissance et le nombre total de points de récompense.

Résultat

Après avoir pris connaissance de l’incident, l’entreprise a :

• Obligé les membres à modifier leur mot de passe et rétabli les points qui avaient été dérobés dans les comptes touchés;
• Suggéré aux autres membres de modifier leur mot de passe;
• Avisé les autorités policières pertinent;
• Envisagé la modification du processus de création de mots de passe afin d’encourager les gens à ne pas réutiliser les mots de passe ou à ne pas utiliser un mot de passe commun ou excessivement simple;
• Discuté de cet incident avec des organisations tierces, afin de se prémunir en cas de nouvelle atteinte ou d’autres problèmes de sécurité (comme la réutilisation de mots de passe et l’identification de renseignements obtenus lors d’autres atteintes).

Derniers commentaires

Dans l’ensemble, le Commissariat juge que la réaction des organismes à chaque incident était appropriée.

Le Commissariat est satisfait des mesures prises par chacune des entreprises pour faire suite aux atteintes à la sécurité dont elles ont été victimes, ainsi que du nombre de mesures de sécurité mises en œuvre par ces entreprises pour éviter que la situation ne se reproduise. Chaque entreprise a prouvé qu’elle avait pris des mesures efficaces afin d’atténuer à la fois les risques pour les individus et le risque de voir ce genre de situation se reproduire.

Le Commissariat encourage fortement les autres organisations assujetties à la LPRPDE à mettre en œuvre des processus similaires afin d’empêcher l’accès non autorisé aux comptes de leurs clients qui pourrait découler de la réutilisation de mots de passe.