Vol de données

Encore une intrusion dans le milieu financier 

Plus de 100 millions de clients de Capital One touchés, dont 6 millions au Canada. Que faire si on est une victime ? Qui est Capital One ? Survol d’une vaste intrusion informatique – une autre – dans le milieu financier. 

Vol de données

Au tour des clients de Capital One de s’inquiéter

Le ministre des Finances Bill Morneau « très préoccupé »

Cinq semaines après Desjardins, au tour de Capital One d’être plongée dans la tourmente. Comme 6 millions de Canadiens sont au nombre des 106 millions de détenteurs et soumissionnaires de cartes de crédit de la banque américaine touchés par le vol de données, le ministre des Finances du Canada, Bill Morneau, demande au Bureau du surintendant des institutions financières (BSIF) d’ouvrir une enquête. 

« Nous sommes très préoccupés par la brèche inacceptable à Capital One. J’ai demandé au BSIF de mener une enquête et de veiller à ce que les mesures appropriées soient prises », a écrit le ministre Morneau sur Twitter.

Le ministre des Finances a rappelé que la banque américaine était également soumise « au régime fédéral canadien de protection de la vie privée » et que « tout manquement » pourrait « entraîner des pénalités importantes ». 

Il a réitéré ses préoccupations lors de son passage hier à Cambridge, en Ontario. « Nous devons d’abord approfondir cet enjeu [du vol de données personnelles]. Deuxièmement, nous enquêterons sur ce qui s’est passé et troisièmement, nous devons demeurer vigilants parce qu’il y aura toujours des criminels qui tenteront de voler ce genre de données », a-t-il dit.

« Notre travail consiste à protéger les Canadiens, pas seulement ici, mais aussi à l’étranger, pour s’assurer que cette situation ne se reproduise pas. »

— Bill Morneau, ministre des Finances du Canada

« J’ai été en contact avec les leaders de Desjardins et je le serai avec ceux de Capital One. Le travail [pour une meilleure protection] est déjà amorcé », a ajouté le ministre. 

Le ministre de la Sécurité publique et de la Protection civile, Ralph Goodale, se trouvait hier à Londres pour une rencontre des Five Eyes – une alliance de services de renseignements de cinq pays. Il a discuté avec le procureur général des États-Unis, William Barr, et a offert « tout le soutien nécessaire » de la Gendarmerie royale du Canada au travail d’enquête du FBI.

Des excuses de Capital One

Comme Guy Cormier, président et chef de la direction de Desjardins, Richard Fairbank, de Capital One, s’est rapidement excusé auprès de ses millions de clients touchés par le vol de données qu’aurait commis l’Américaine Paige Thompson, arrêtée par le FBI. 

« Je suis soulagé que l’auteur ait été appréhendé, mais je suis profondément désolé de ce qui est arrivé », a fait savoir le fondateur et PDG de la banque américaine dans un communiqué. 

« Je suis sincèrement désolé des préoccupations tout à fait compréhensibles que cet incident peut occasionner aux personnes touchées, et je suis fermement engagé à prendre les bonnes mesures. » 

— Richard Fairbank, PDG de Capital One

Le crime a été constaté 10 jours plus tôt, et a été dévoilé publiquement lundi soir. L’institution a aussitôt mis en ligne de nombreuses informations indiquant la nature du délit et réitérant son appui aux clients touchés. Dans son site, elle détaille le type de données volées (cotes de crédit, limites de crédit, soldes) et le nombre de clients touchés. Un million de numéros d’assurance sociale des détenteurs canadiens de cartes de crédit sont notamment « compromis ». 

L’entreprise assure que toutes les personnes touchées seront informées. 

La division canadienne de l’entreprise a également mis en place un numéro de téléphone pour les clients inquiets. « Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que l’individu ait utilisé les renseignements à des fins frauduleuses ou qu’il les ait disséminés, selon Capital One. Cependant, nous poursuivons notre enquête. » 

Service gratuit de surveillance de crédit

Déclinant la demande d’entrevue de La Presse, Capital One a néanmoins fait savoir par courriel que la surveillance de crédit et une assurance pour le vol d’identité seraient accessibles gratuitement pour tous les Canadiens touchés par l’incident. 

« Les détails exacts de cette aide seront communiqués à une date ultérieure », a écrit Suma Boby, directrice des communications externes pour le Canada de Capital One. Hier, le site financier MarketWatch avançait que deux ans de surveillance seraient offerts gratuitement.

Capital One affirme par ailleurs disposer de systèmes antifraudes « ultra-perfectionnés qui surveillent constamment [ses] systèmes et [ses] cyberdéfenses pour cerner toute activité inhabituelle et protéger [ses] clients contre tout acte non autorisé ». 

L’institution précise qu’elle ne téléphonera pas à ses clients au sujet de l’incident. 

« [On] ne demande pas de renseignements sur des cartes de crédit, des comptes ou des numéros d’assurance sociale par téléphone ou courriel. Si vous avez fourni des renseignements personnels au téléphone ou cliqué sur des liens dans un courriel frauduleux […], appelez-nous immédiatement pour signaler que les renseignements sur votre compte ont été compromis, ouvrez une session des services bancaires en ligne de Capital One et changez votre mot de passe, vérifiez si vos comptes présentent des transactions ou activités frauduleuses et mettez à jour et exécutez le logiciel antivirus de votre ordinateur. » 

Le détaillant Costco, dont Capital One est le fournisseur de cartes de crédit, n’a pas commenté la situation hier, dirigeant les questions vers la banque. L’entreprise a affirmé « être en contact constant avec Capital One depuis le moment où [elle a] reçu la nouvelle ». HBC (La Baie), un autre partenaire, soutient que d’après l’information transmise par Capital One, « rien n’indique en ce moment que ce problème aura des conséquences sur [ses] affaires ».

Le BSIF en contact avec Capital One

Tant le BSIF que le Commissariat à la protection de la vie privée ont indiqué avoir été avisés de la situation et être en communication avec les dirigeants de Capital One. 

« Lorsqu’un incident du genre survient, le BSIF maintient des contacts étroits avec l’institution financière afin de garantir que toutes les mesures nécessaires soient prises pour redresser la situation le plus rapidement possible, indique l’organisme indépendant dans un courriel. Une fois la situation prise en main, le BSIF se penchera sur l’incident et ses causes et tentera de déterminer si les systèmes, les mesures de contrôle et les processus de gestion du risque de l’institution ont été respectés. »

— Avec Marie-Eve Fournier, La Presse, et La Presse canadienne 

Amazon blâme Capital One 

C’est Amazon Web Services, la division d’infonuagique du géant Amazon où a travaillé Paige A. Thompson, qui hébergeait les données volées à Capital One. Amazon a toutefois rejeté tout le blâme sur son client, responsable de l’application qui a donné accès aux données à la pirate. Est-ce une erreur d’héberger des données bancaires sur des serveurs externes, plutôt qu’à l’interne ? De façon générale, ça ne cause pas vraiment de problème, selon l’expert en sécurité Pierre-Guy Lavoie, de la firme de consultants en sécurité informatique Sekcore. « Ce n’est pas moins sécuritaire, ce n’est pas plus sécuritaire, c’est juste un contexte différent. Ce sont les processus et les tests que l’on fait qui sont importants. À partir de là, que ce soit sur le nuage ou non, s’il y a de la négligence ou des oublis, ça revient au même. » 

— Jean-François Codère, La Presse

Que doivent faire les clients canadiens de Capital One ?

Un numéro de téléphone 

La division canadienne de Capital One a fait savoir que les clients inquiets et qui ont des questions peuvent téléphoner au 1 833 727-1234.

Un site internet 

Capital One invite les clients canadiens à consulter une page de son site internet qui détaille la fraude et répond aux questions potentielles de ses clients. Elle promet de mettre à jour cette page régulièrement.

Des alertes 

Les clients de Capital One peuvent déposer une alerte sur leur dossier de crédit chez les agences d’évaluation Equifax et TransUnion. « Mais attendez d’avoir reçu un avis de Capital One à l’effet que vos données ont été compromises, avertit Sylvain Paquette, président du Bureau canadien du crédit. Ça peut être long avant de recevoir un tel avis, qui sera une lettre envoyée par la poste. » On peut déposer une alerte sur TransUnion à ocs.transunion.ca. C’est gratuit pour 12 mois ou 5 $ pour six ans. « Mais cette pratique est discutable, puisqu’en vertu de la loi, l’inscription d’un tel message est censée être gratuite. Donc renouvelez aux 12 mois votre alerte. »

Une vigilance accrue 

Les clients de Capital One doivent faire preuve de vigilance. « Informez-vous sur les façons potentielles de fonctionner des fraudeurs, conseille Sylvain Paquette. Ne répondez pas à des appels ni courriels ni textos demandant des renseignements personnels. » Capital One recommande d’ailleurs à ses clients « de surveiller leurs comptes au cas où ils verraient des transactions inhabituelles ou suspectes qu’ils ne reconnaissent pas, et de téléphoner le plus tôt possible au numéro indiqué au dos de leur carte Capital One ou sur leur relevé de compte. »

En cas d’hameçonnage 

En cas d’hameçonnage, Capital One invite les clients à consulter des conseils sur les façons de détecter des communications frauduleuses sur son site.

Vol de données  

Qui est Capital One ?

L’entreprise Capital One Financial est l’une des plus grandes entreprises américaines de crédit à court terme aux consommateurs et aux PME, avec des filiales au Canada et au Royaume-Uni.

Son actif de 373 milliards US, au 30 juin dernier, se compose surtout de dizaines de millions de comptes de cartes de crédit et de prêt-auto aux consommateurs, ainsi que des comptes de crédit commercial aux PME.

De son siège social de McLean, en Virginie, en banlieue de Washington, Capital One gère aussi une filiale bancaire de 250 milliards US de dépôts de particuliers et de PME. Cette filiale bancaire a des succursales dans sept États (New York, Maryland, Virginie, New Jersey, Louisiane, Texas et District de Columbia) ainsi qu’à Londres et au Canada.

« Capital One est devenue l’une des entreprises bancaires les mieux gérées aux États-Unis, mais qui, jusqu’à récemment, était sous-estimée dans les marchés financiers », indiquait l’analyste Colin Plunkett, de la firme américaine Morningstar, lors de la publication de résultats de deuxième trimestre 2019, le 18 juillet dernier.

Dans le marché des cartes de crédit en particulier, l’analyste rappelait que le succès d’affaires de Capital One découlait « des années d’efforts et d’investissements considérables en marketing et en technologies » pour mettre en place une offre de services de crédit aux consommateurs qui « se distingue avantageusement des services moins ciblés offerts par des grandes entreprises financières ».

Quelle présence au Canada ?

Capital One est présente au Canada depuis 1996 dans le marché des services de cartes de crédit aux consommateurs par l’entremise de ses cartes Capital One/MasterCard, ainsi que les cartes de crédit de détaillants comme Costco et La Baie d’Hudson (HBC).

En fin d’exercice 2018, Capital One comptabilisait au Canada un actif de 6 milliards US en comptes de cartes de crédit, ce qui représentait 5 % de son actif total de 116 milliards US lié aux comptes de cartes de crédit.

La filiale bancaire de Capital One est aussi présente au Canada avec des services de base offerts surtout en ligne, mais aussi dans trois succursales localisées à Toronto et à Kitchener-Waterloo, en Ontario, ainsi qu’à Montréal.

Ces activités au Canada de la banque Capital One sont assujetties à la législation canadienne des succursales de banques étrangères, en complément de la Loi sur les banques qui relève notamment du Bureau fédéral du surintendant des institutions financières (BSIF) et de la Banque du Canada.

Quel impact en Bourse ?

Au lendemain de sa divulgation d’une brèche d’informations touchant 106 millions de comptes-clients, dont 6 millions au Canada, la valeur des actions de Capital One à la Bourse de New York s’est repliée de 5,8 %.

Ce repli équivaut à une perte de 2,6 milliards US en valeur boursière, qui cote maintenant à 42,9 milliards US, soit l’équivalent de la capitalisation de la Banque CIBC à la Bourse de Toronto.

Ce repli boursier de Capital One efface aussi le rebond, dont ses actionnaires – surtout des firmes de fonds de placement – avaient bénéficié depuis deux semaines, après la publication de résultats de deuxième trimestre 2019 considérés comme avantageux.

Pour ses quatre derniers trimestres terminés, les revenus d’intérêt de Capital One totalisent 28,1 milliards US, en hausse annualisée de 7 %. Le bénéfice net issu de ces revenus s’élève à 5,8 milliards US, en forte hausse de 77 % sur une base annualisée.

Autre conséquence de cette fuite d’informations, Capital One a déjà fait part à ses actionnaires d’une première estimation de coûts « de 100 à 150 millions US » pour cette année seulement.

Mais parmi les analystes, on se méfie déjà du risque d’addition de dommages financiers et commerciaux chez Capital One, au fil des prochains trimestres.

« Considérant l’ampleur de cette fuite de données, je suis sceptique envers les propos de la direction de Capital One qui n’entrevoit pas d’impact sur ses prochains résultats et ses objectifs en matière d’efficacité opérationnelle », a indiqué l’analyste John Pancari, de la firme new-yorkaise Evercore, à l’agence d’informations financières Thomson Reuters.

Quant à elle, dans un avis spécial envers Capital One, la firme d’analyse financière DBRS à New York avertit ses clients-investisseurs qu’elle devra « continuer de surveiller la gravité des dommages réputationnels [pour Capital One] qui découleront de cette fuite de données, ainsi que le risque d’impact sur l’image de marque commerciale de l’entreprise ».

Sources : Capital One, Thomson Reuters, DBRS, Morningstar, Bourse de Toronto

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.