Mégavol de données: Desjardins refuse de dire si une rançon a été payée
TVA Nouvelles
Desjardins refuse de dire si de l’argent a été envoyé au fraudeur anonyme qui a demandé une rançon de 3 millions $ pour un fichier contenant les renseignements de près de 4 millions de clients.
«Comme il s’agit d’une question de sécurité et afin de garantir l’efficacité de nos mesures, nous ne pouvons pas divulguer les détails spécifiques sur les mesures prises ou les actions entreprises», a indiqué par courriel un porte-parole de Desjardins, mercredi.
Le Journal rapportait ce jour-là que l’institution financière a été victime d’une tentative d’extorsion en 2019, cinq mois après l’annonce du mégavol de données qui a touché 9,7 millions de personnes.
Un fraudeur anonyme opérant sous le nom de «David Cooper» avait alors indiqué par courriel être en possession de 4 millions d’identités volées chez Desjardins, avec un fichier Excel comme preuve à l’appui.
Selon le spécialiste en cybersécurité Steve Waterhouse, il est peu probable que Desjardins ait payé le fraudeur. «Moi, avec toutes les sources que j’ai, rien ne me dit qu’ils ont payé», a-t-il dit en entrevue mercredi. «D’ailleurs, ce n’est pas recommandé de payer, et les avocats conseillent généralement de ne pas trop en dire sur la place publique.»
Pour cette raison, il est rare que les organisations qui sont victimes d’une tentative d’extorsion déclarent ouvertement qu’ils ont payé les malfaiteurs, lorsque c’est le cas. «Ils ne le disent pas, mais on finit par le découvrir par la force des choses», souligne-t-il.
À cet effet, l’expert cite l’exemple tout récent de la compagnie américaine CDK, qui a été victime d’une fuite de données ayant forcé des milliers de concessionnaires automobiles en Amérique du Nord, et 150 au Québec seulement, à revenir au papier.
«Les fraudeurs leur ont demandé une rançon [de 25 millions $], et tout porte à croire qu’ils l’ont payé, mais on l’a appris de manière indirecte à cause d’une transaction de cryptomonnaie», expose M. Waterhouse.
Ainsi, dans ce genre de dossier, la discrétion est la norme. «Les organisations vont toujours garder ça le plus secret possible», conclut l’expert.