LE GENDARME DE LA VIE PRIVÉE AU CANADA ENQUÊTE SUR UN PIRATAGE AFFECTANT LE PERSONNEL MILITAIRE ET DE LA GRC
Le Commissaire à la protection de la vie privée du Canada mène une enquête sur une cyberattaque qui a compromis les données de membres actuels et anciens des forces armées du pays et de la Gendarmerie royale du Canada (GRC).
Deux entreprises affiliées, Brookfield Global Relocation Services (BGRS) et Sirva Canada LP, ont informé le gouvernement canadien d’une cyber attaque qui s’est conclue par une violation de données en octobre 2023. Des cyber attaques signées par les pirates informatiques du groupe LockBit qui ne datent pourtant pas d’octobre, mais de septembre 2023.
Ces deux entreprises sont sous contrat avec le gouvernement canadien pour fournir des services de réinstallation au personnel depuis 1995 et gèrent environ 20 000 déménagements chaque année. L’incident, que ZATAZ avait repéré sur l’un des blogs pirates, a depuis été signalé au Centre canadien de cybersécurité et à la GRC.
Selon le gouvernement canadien, un « volume important de données » est en cours d’analyse et les enquêteurs n’ont pas encore identifié les individus affectés par la brèche. Lockbit a stocké les fichiers exfiltrés dès le 29 septembre 2023. ZATAZ peut avance le chiffre de plus 1 To de documents, ainsi que des centaines de machines infiltrés, et dont les données ont été exfiltrées.
Se basant sur des informations préliminaires, le gouvernement a mis en garde contre le fait que « toutes les informations personnelles et financières fournies par les employés aux entreprises » auraient pu être consultées. Le Service veille ZATAZ peut confirmer et affirmer qu’ils ont été consultés par les primo pirates et récupérés par des dizaines de pirates sangsues. La violation pourrait avoir affecté « toute personne ayant utilisé des services de réinstallation depuis 1999« , ce qui signifie — en supposant que le rythme des déménagements soit resté constant — environ 480 000 personnes.
« Étant donné la portée large et la nature potentiellement sensible des informations personnelles compromises, j’ai déterminé que cette violation doit faire l’objet d’une enquête afin que nous puissions comprendre pourquoi cela s’est produit et ce qui doit être fait pour remédier à la situation et empêcher que de telles choses ne se reproduisent » a déclaré le Commissaire à la protection de la vie privée, Philippe Dufresne.
Le gendarme a indiqué que le nombre d’individus affectés est inconnu, mais que le gouvernement canadien « adopte une approche proactive et préventive pour soutenir les personnes potentiellement affectées. » Son enquête examinera « l’adéquation des mesures de protection » que les deux entreprises et le gouvernement fédéral avaient mises en place pour protéger les données du personnel de service, comme l’exige la Loi sur la protection de la vie privée du pays.
De plus, le gendarme enquêtera également pour savoir si l’incident de sécurité implique une violation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale du secteur privé du Canada. Bien que la Loi sur la protection de la vie privée du pays ne contienne pas de pouvoir pour le régulateur d’infliger des amendes aux entreprises pour ne pas avoir suffisamment protégé les données — contrairement au RGPD de l’Union Européenne — les entreprises peuvent être condamnées à une amende allant jusqu’à 100 000 CAD (73 000 $) pour chaque violation en vertu de la LPRPDE [Le RGPD light canadien].
Le gouvernement canadien a été efficace face à cette attaque et a déclaré qu’il fournirait des services de surveillance du crédit et réémettrait des passeports valides à tout le personnel qui avait déménagé au cours des 24 dernières années.