Le détaillant The TJX Companies (bannières Winners et HomeSense) rapporte une intrusion dans ses systèmes informatiques transactionnels. Le fonds d’investissement Talvest, filiale de la banque CIBC, annonce de son côté qu’un fichier de sauvegarde est porté disparu. Les renseignements personnels de milliers de personnes auraient ainsi été rendus vulnérables.
Deux entreprises oeuvrant sur le territoire canadien ont rendu publics cette semaine des incidents de nature informatique qui pourraient avoir des conséquences sur la confidentialité des renseignements personnels de plusieurs milliers de consommateurs.
En premier lieu, l’entreprise américaine The TJX Companies, qui exploite en Amérique du Nord et en Europe plusieurs bannières d’établissements de détail de vêtements et d’articles de mode à prix réduit, dont 168 magasins Winners et 68 magasins HomeSense au Canada, a indiqué qu’elle avait subi une « intrusion non autorisée » des systèmes informatiques où les données transactionnelles des clients sont traitées et stockées. The TJX Companies a publié à cet effet un communiqué de presse détaillé et ajouté des messages d’alerte sur ses sites Web.
L’entreprise y indique que c’est le système informatique qui traite les paiements dans le cadre des transactions de chèques, de cartes de débit, de cartes de crédit et de retour de marchandises, pour les établissements américains, mais aussi pour les magasins situés au Canada, qui a fait l’objet d’une intrusion. Les données relatives à d’autres établissements américains et européens pourraient aussi avoir fait l’objet de l’intrusion.
Selon les informations diffusées par l’entreprise, les données visées auraient trait à des transactions effectuées au Canada, aux États-Unis et à Puerto Rico en 2003, ainsi qu’entre les mois de mai à décembre 2006.
L’entreprise a dit avoir fait l’identification spécifique des données volées, mais a précisé qu’elle ne connaissait ni l’ampleur du vol, ni la liste des clients touchés par l’incident. Elle précise qu’elle a pu identifier « un nombre restreint » de ces clients « dont les renseignements ont été retirés de son système », parmi lesquels on retrouvait des données de cartes de crédit et de débit dans certains cas, ainsi que des numéros de permis de conduire dans d’autres cas.
The TJX Companies indique qu’elle a avisé les autorités responsables des enquêtes lors de crimes de ce genre, soit le département de la Justice et les services secrets aux États-Unis et la Gendarmerie royale au Canada. L’entreprise précise qu’elle collabore entièrement avec ces dernières pour faire progresser l’enquête. Les émetteurs de cartes de débit et de crédit, soit American Express, Discover, MasterCard et VISA, ont également reçu des renseignements relatifs à l’événement.
L’entreprise précise aussi qu’elle a « considérablement » renforcé ses mesures de sécurité et qu’elle s’est dotée d’un plan de sécurité « pour la prévention d’intrusions futures » et pour la protection des cartes et des données de transaction de sa clientèle. Elle précise avoir fait appel aux services des entreprises General Dynamics et IBM pour l’aider à cet effet.
« Notre première préoccupation est l’impact potentiel de ce crime sur nos clients et nous leur recommandons fortement d’examiner avec soin leurs relevés de cartes de crédit et de cartes de débit, ainsi que toute autre information relative aux comptes, afin d’y détecter la présence d’usagers non autorisés (sic) », a déclaré Ben Cammarata, le président et chef de la direction par intérim de l’entreprise, dans un communiqué traduit en français. Le dirigeant a également signé une lettre publiée en ligne également en français.
Des services d’assistance téléphonique ont été mis à la disposition de la clientèle, à qui l’on recommande d’obtenir un rapport sur leur dossier de crédit auprès de la firme Equifax. Des conseils visant la prévention de fraudes et la protection des données d’identité personnelle ont également été ajoutés aux sites Internet de l’entreprise. The TJX Companies précise que l’enquête se poursuit.
L’entreprise a déjà ajouté, à la longue déclaration d’exonération qui se retrouve à la fin de ses communiqués de presse, une indication que l’intrusion dans le système informatique constitue un des facteurs « qui pourraient faire en sorte que les résultats actuels [de vente de l’entreprise] diffèrent sensiblement des énoncés prospectifs. »
Sauvegarde disparue chez Talvest
Peu après, c’est le Fonds d’investissement Talvest, qui appartient à la banque CIBC, qui avisait sa clientèle et le public qu’un fichier informatique de sauvegarde avait été « signalé disparu » lors d’un transfert entre certains de ses bureaux.
Ledit fichier contenait les renseignements exigés pour l’ouverture et l’administration de quelque 470 000 comptes de clients actuels et d’anciens clients du fonds d’investissement. Noms, signatures, adresses, numéros d’assurance sociale, dates de naissance, numéros de comptes bancaires et autres renseignements pertinents auraient été contenus dans ce fichier informatique. L’incident serait survenu, selon des informations publiées sur le site Web du fonds, « juste avant la période des Fêtes. »
Selon des informations diffusées par la radio de Radio-Canada, le fichier informatique était contenu sur un disque rigide qui a été acheminé entre les bureaux de Montréal et de Toronto de l’institution financière.
En conséquence, l’institution a mis en place une série de mesures, dont l’envoi d’une lettre aux clients touchés par l’affaire, une offre de compensation pour les pertes monétaires découlant d’un accès non autorisé aux renseignements inclus dans le fichier, et l’offre d’un abonnement gratuit à un service de surveillance du crédit. Un numéro de téléphone dédié et une section du site Web consacrée à l’incident ont également été instaurés. L’examen fréquent des activités sur les comptes financiers a également été recommandé à la clientèle.
Talvest a indiqué ne détenir aucune preuve qui porterait à croire que le fichier aurait été consulté, et a assuré sa collaboration avec la police pour « faire enquête sur l’incident et récupérer le fichier de sauvegarde ». L’institution financière précise que les copies originales de ce fichier informatique sont conservées sur son réseau sécurisé.
La commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, a annoncé qu’elle ouvrait une enquête à propos de cet incident.
Rappelons que la Banque CIBC, à qui appartient le Fonds d’investissement Talvest, avait déjà fait la manchette pour un autre incident impliquant la confidentialité des renseignements personnels. Elle avait apparemment envoyé, par erreur, entre 2001 et 2004 des renseignements confidentiels concernant plusieurs centaines de ses clients, par télécopieur, à l’exploitant d’un cimetière de voitures. Ce dernier avait alors déclaré avoir contacté la Banque à plusieurs reprises pour l’informer de la situation, sans succès.
