Des clients de Scotiatrust aux États-Unis victimes du piratage de MOVEit

La division américaine de conseil en placement d’une banque dont le siège social est au Canada est l’une des dernières entreprises à admettre qu’elle a été victime de l’exploitation d’une vulnérabilité de type « jour zéro » dans l’application de transfert de fichiers MOVEit de Progress Software.

Scotia Wealth Management, qui fait partie de la Banque de Nouvelle-Écosse, a reconnu dans une lettre déposée auprès de l’État du Massachusetts que des renseignements personnels détenus par son service de planification successorale Scotiatrust avaient été copiés par un pirate informatique qui avait compromis le serveur de la société de conseil Ernst and Young LLP (EY).

« Nous avons engagé EY pour fournir à Scotiatrust des tests de routine pour vérifier la conformité [des systèmes Scotiatrust] avec les réglementations du gouvernement américain en matière de déclaration et de retenue d’impôt. Les informations sur les clients ont été fournies à EY pour faciliter ces tests », explique la lettre.

« Nous avons été en contact régulier avec EY pour déterminer l’impact sur vos informations et fournir toutes les informations que nous pouvons pour aider à l’enquête. »

« EY nous a informés que les informations suivantes sur des personnes affiliées peuvent avoir été exposées : nom, date de naissance, adresse, numéro de téléphone, numéro de sécurité sociale, permis de conduire et/ou informations sur le passeport. Les avoirs en placements et les soldes des comptes n’ont pas été exposés et les systèmes de la Banque Scotia n’ont pas été directement compromis dans cet incident. »

La lettre ne dit pas combien de données ont été copiées, combien de personnes sont touchées ou si des clients canadiens ont également été touchés.

Interrogée au cours du week-end pour commenter, Katie O’Dell, directrice des communications pour la gestion de patrimoine mondiale de la Banque Scotia, a envoyé cette déclaration par courriel : « Cet incident de cybersécurité qui s’est produit chez un fournisseur tiers a eu un impact sur un nombre limité de nos clients qui détiennent des comptes avec Scotiatrust. Nous travaillons en étroite collaboration avec toutes les parties pour soutenir l’enquête et avons informé tous les clients concernés. »

Lorsqu’on lui a demandé si les clients canadiens étaient également touchés, Mme O’Dell a déclaré que la banque n’avait pas d’autre commentaire.

Selon un décompte réalisé par des chercheurs d’Emsisoft, plus de 680 organisations et potentiellement des millions de leurs clients ou employés ont été directement ou indirectement impactés par l’exploitation de la vulnérabilité de MOVEit. Elle a été découverte par le gang de rançongiciels Clop, qui a commencé à l’exploiter en mai.

Une organisation est directement touchée lorsque les données de ses clients ou de ses employés sont volées, et indirectement lorsque des données de clients ou d’employés qu’elle a expédiées à un tiers ont été volées à ce sous-traitant.

Cela signifie qu’une organisation peut être victime un certain nombre de fois, selon le nombre de sous-traitants de données qu’elle utilise. La Colorado State University (CSU), par exemple, a été touchée indirectement à six reprises : Le National Student Clearinghouse, la Teachers Insurance & Annuity Association (appelée TIAA), Corebridge Financial, Genworth Financial, et les assureurs Hartford et Sun Life détenaient tous des données d’étudiants, de professeurs ou d’employés de la CSU lorsque leurs serveurs MOVEit ont été compromis ou que les serveurs de leurs sous-traitants ont été touchés.

La Sun Life n’utilise pas MOVEit. Mais elle a déclaré que lorsque le serveur MOVEit de l’un de ses partenaires, Pension Benefit Information, LLC (connu sous le nom de PBI) a été piraté, certaines informations personnelles des clients que la Sun Life avait envoyées à PBI ont été copiées. La Sun Life, comme de nombreuses organisations américaines, utilise PBI pour vérifier régulièrement les bases de données du gouvernement et des entreprises afin de déterminer si les prestations sont correctement versées aux bénéficiaires.

Autre exemple : la semaine dernière, le département des services sociaux du Missouri a informé un nombre inconnu de personnes recevant des prestations Medicaid dans l’État que les données envoyées à IBM Consulting pour traitement avaient été copiées dans le piratage de MOVEit. Les données comprenaient les noms, les numéros de client du département, les dates de naissance, le statut d’éligibilité ou la couverture possible des prestations et les informations sur les demandes de remboursement de frais médicaux.

Encore un exemple, impliquant également IBM : vendredi, le département de la politique et du financement des soins de santé du Colorado a déclaré dans un dossier réglementaire que les données de 4 millions d’habitants avaient été copiées lorsque le serveur MOVEit d’IBM avait été piraté en mai. Les fichiers contenaient certaines informations sur les membres de Health First Colorado et CHP+. Les informations auraient pu inclure des noms, des numéros de sécurité sociale, des informations médicales et des informations sur l’assurance maladie.

EY n’est pas le seul grand cabinet comptable/conseil à être touché. Deloitte et PwC l’ont aussi été.

Pendant ce temps, le gang Clop, qui a demandé de l’argent aux entreprises victimes pour récupérer leurs données, a promis de commencer à rendre publiques les données volées des organisations qui ne coopèrent pas.

Selon le chercheur d’Emsisoft Brett Callow, les données exfiltrées peuvent représenter un risque non seulement pour l’organisation à laquelle elles ont été volées, mais aussi pour ses clients et partenaires commerciaux, car les informations peuvent potentiellement être utilisées pour l’usurpation d’identité, des attaques BEC et plus encore. « Le risque d’utilisation abusive existe à partir du moment où les données sont mal consultées, mais il est amplifié en cas de fuite car, à ce stade, les informations deviennent disponibles pour d’autres cybercriminels. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Une attaque DDoS derrière les problèmes de l’agence des services frontalières du Canada

L'Agence des services frontaliers du Canada est le dernier organisme fédéral à confirmer avoir été touché par une récente vague d'attaques par déni de service.

Le CCC lance une alerte après les attaques DDoS visant le gouvernement

Des attaques par déni de service distribué contre les sites Web des ministères fédéraux et de plusieurs provinces et territoires canadiens, dont l'Île-du-Prince-Édouard, le Yukon, la Saskatchewan et le Manitoba, ont incité l'agence fédérale de cybersécurité à émettre une alerte informatique.

Des sites Web météorologiques canadiens toujours en difficulté après l’attaque d’un fournisseur

Pelmorex Corp., la société mère de deux sites Web météorologiques canadiens, a toujours du mal à reprendre son plein service après qu'un fournisseur de logiciels non identifié ait été touché par une cyberattaque.

Les utilisateurs d’Apple sont avisés par des chercheurs de l’Université de Toronto de mettre à jour leurs appareils en raison d’un logiciel espion

La semaine dernière, le Citizen Lab de l'Université de Toronto a découvert une vulnérabilité « activement exploitée » dans les appareils iPhone pour diffuser le logiciel espion mercenaire Pegasus du gang NSO, sans aucune interaction de la victime.

Un nouveau maliciel russe pour Android cible des appareils militaires ukrainiens, selon un rapport

Le gang de cyberattaque russe Sandworm a créé une nouvelle boîte à outils pour compromettre les appareils Android, indique un rapport publié récemment par l’alliance de renseignement le Groupe des cinq, composée des agences de renseignement des États-Unis, du Canada, du Royaume-Uni, de l'Australie et de la Nouvelle-Zélande, qui l'utilise d'abord pour cibler les appareils Android utilisés par l’armée ukrainienne.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.