Possibles vols de données de deux banques

TORONTO — Deux des plus grandes banques canadiennes préviennent que des «fraudeurs» pourraient avoir eu accès aux informations personnelles et financières de jusqu’à 90 000 clients.

La Banque de Montréal a indiqué lundi que des fraudeurs avaient communiqué avec l’institution dimanche en prétendant détenir les renseignements personnels de moins de 50 000 clients, sans préciser de genre de données il s’agissait. La banque croit que la cyberattaque a été commise à l’extérieur du Canada.

«Nous menons une enquête approfondie», a affirmé le porte-parole Paul Gammal dans une déclaration transmise lundi par courriel.

«Nous avons pris connaissance d’affirmations non vérifiées selon lesquelles les données personnelles et financières de clients auraient pu être consultées par un fraudeur et une menace a été formulée pour le rendre public», a-t-il expliqué. La banque n’a pas précisé si l’agresseur avait demandé de l’argent.

Plus tôt lundi, Simplii Financial, les services bancaires directs de la Banque CIBC, a prévenu que des «fraudeurs» pouvaient avoir eu accès électroniquement à certains renseignements personnels et de comptes d’environ 40 000 clients de la banque virtuelle.

Simplii Financial a pris connaissance du problème potentiel dimanche et a mis en place des mesures de sécurité supplémentaires, telles que le contrôle renforcé des fraudes en ligne, a-t-elle indiqué lundi, en précisant qu’elle travaillait avec les autorités compétentes.

M. Gammal a précisé que les deux incidents semblaient être reliés. La Banque Royale, la Banque Scotia et la Banque TD ont déclaré que rien ne leur laissait croire qu’elles avaient été touchées par le problème.

Situation surveillée de près

La Banque de Montréal et la CIBC ont toutes deux déclaré qu’elles communiqueraient avec les clients et ont recommandé à ceux-ci de surveiller leurs comptes et de contacter leur institution financière pour signaler toute activité suspecte.

«Nous enquêtons pour déterminer la validité des revendications et le type de renseignements auxquels (les fraudeurs) auraient pu avoir accès», a déclaré le porte-parole de la CIBC, Tom Wallis, dans une déclaration transmise par courriel.

Le ministre des Finances, Bill Morneau, s’est entretenu avec les dirigeants des institutions concernées, selon la porte-parole du ministère, Jocelyn Sweet.

«Nous surveillons de près la situation avec le Bureau du surintendant des institutions financières», a-t-elle déclaré dans un communiqué envoyé par courriel. «La situation est étudiée par les institutions, en collaboration avec les forces de l’ordre.»

Le Commissariat à la protection de la vie privée a indiqué lundi que les deux banques l’avaient avisé du dossier.

«Nous travaillons avec les organisations pour mieux comprendre ce qui s’est passé et ce qu’elles font pour atténuer la situation», a déclaré la porte-parole Valerie Lawton dans un courriel.

«À ce stade, nous sommes en contact avec les entreprises, mais nous n’avons pas ouvert d’enquête formelle.»

Simplii a indiqué que les clients victimes de fraude en raison du problème recevraient 100 pour cent de l’argent perdu du compte bancaire affecté. La banque virtuelle a ajouté qu’«actuellement, rien n’indique que les clients utilisant les services bancaires de CIBC auraient été touchés».

La CIBC a lancé Simplii en novembre, en absorbant les comptes de quelque deux millions de titulaires de comptes financiers «Le Choix du Président» (PC Financial). La CIBC fournissait déjà les services bancaires de base à PC Financial depuis près de 20 ans, mais elle a conclu en août un accord avec la société mère de PC, Loblaw, pour se séparer.

Une liste qui s’allonge

Les vols de données potentiels signalés lundi par Simplii et la Banque de Montréal sont les plus récents incidents de cybersécurité impliquant des Canadiens.

L’automne dernier, le service de surveillance de crédit Equifax a informé le public que des pirates avaient eu accès aux données personnelles de 145,5 millions de clients américains et de 19 000 Canadiens. En janvier, Bell Canada a averti certains de ses clients que leurs renseignements personnels, tels que leur nom et leurs adresses de courriel, avaient été consultés illégalement lors d’une violation de données.

En novembre, la société de covoiturage Uber a déclaré que les pirates avaient volé des noms, des adresses électroniques et des numéros de téléphone mobile à des millions d’utilisateurs. Uber a précisé en décembre que 815 000 Canadiens avaient peut-être été touchés dans le cadre de la violation de données à l’échelle mondiale.

Les nouvelles règles fédérales en matière de violation de données, qui exigeraient notamment la déclaration obligatoire des incidents, doivent entrer en vigueur le 1er novembre.

Les règlements exigent que les organisations déterminent si une violation de données présente un risque pour toute personne dont l’information est en cause, puis qu’elles avisent le commissaire fédéral à la vie privée et les personnes touchées «aussi tôt que possible». Précédemment, les entreprises qui étaient piratées pouvaient alerter le public au moment qu’elles jugeaient opportun.

Entreprises dans cette dépêche: (TSX:CM, TSX:BMO)