Comme si l’énorme scandale des données volées n’était pas assez frustrante, voilà que Capital One annonce publiquement se trouver dans une histoire de vol de données qui toucherait également des clients canadiens, incluant des membres de Desjardins qui doivent se sentir doublement éprouvés.

Capital One demeure dans la tourmente, même après avoir déclaré avoir colmaté la brèche le 19 juillet 2019.

Le piratage aurait eu lieu entre le 12 mars et le 17 juillet 2019. Ce serait une Américaine nommée Paige Thompson (dans la photo, ci-bas), 33 ans, surnommée “Erratic” qui aurait été arrêtée lundi, en lien avec cette affaire le 29 juillet 2019 par le FBI, à Seattle.

Photo de Paige Thompson

L’institution financière américaine a déclaré qu’en date du 31 juillet, elle n’avait averti aucun Canadien touché. Ils ont annoncé prévoir commencer à avertir ceux-ci par courriel ou par lettre, la semaine prochaine. Il n’y aura pas de téléphones ou de textos, a insisté Capital One.

L’inquiétude s’installe

Alors que quelques 6 millions de clients basés au Canada auraient été touchés, il y en aurait cependant environ 100 millions, aux États-Unis.

Ces chiffres éclipsent ceux de Desjardins.

Aucun incident ne peut être minimisé mais force est d’admettre que la sécurité des informations est mise à rude épreuve, juste avant la bouillonnante période de la rentrée scolaire où, incidemment, les gens terminent leur été et n”ont peut-être pas encore la tête à plonger dans les vérifications préventives de leur dossier de crédit, notamment via Equifax et TransUnion.

Capital One n’offre d’ailleurs encore aucune proverbiale bouée de sauvetage, comme Desjardins l’a fait avec son offre de pays les services de surveillance du crédit d’Equifax, pendant une période de 5 ans.

Pourtant, il y a matière à s’inquiéter puisqu’il y aurait près d’un million de numéros d’assurance sociale (NAS) qui ont été piratés. Vous savez, le numéro qu’il ne faut jamais donner à personne, sauf aux instances gouvernementales désignées et aux tiers de confiance, comme les banques? Et bien, ce sont justement ces informations très sensibles qui font partie du lot de données qui ont fait l’objet du vol de données, chez Capital One. Comme quoi ça va refroidir les gens de communiquer ce numéro, à l’avenir.

Mais il y a bien plus que le NAS qui a été volé. Ce sont les informations fournies pour faire une demande de carte de crédit, de 2005 au début de 2019 qui sont concernées. Autrement dit, un lot d’informations très confidentielles et hautement sensibles. Nom, coordonnées, employeur et bien plus. Assez pour intéresser des criminels qui auront l’embarras du choix pour inventer des arnaques faisant usage de ces informations.

Le triumvirat malchanceux: Desjardins, Capital One et Costco

Pourquoi parler de Costco? Parce que la carte de crédit “Master Card Capital One” a été offerte comme mode de paiement privilégié aux membres de Costco et ce serait donc via ce mécanisme que 6 millions de Canadiens auraient entré en relation d’affaires avec l’institution financière américaine aujourd’hui compromise.

Et un client de Desjardins qui se trouve à magasiner chez Costco (ou n’importe où ailleurs) avec sa carte Master Card de Capital One sera davantage inquiété par le vol de ses informations personnelles.

Et si vous faites partie de ceux qui ont acquis la carte Master Card de Capital One via La Baie d’Hudson, vous êtes touchés, au même degré.

La carte de crédit Master Card qui avait la réputation d’être populaire ne le sera probablement plus.

Costco et La Baie d’Hudson n’ont pas l’air inquiets de ce qui ce vol historique des informations des clients de Capital One. À preuve, cette saisie d’écran du site de Costco où il n’y a même pas une petite mention du danger lié à la communication de ses informations personnelles pour obtenir une carte Master Card ou à tout le moins, un avertissement à propos de la situation en cours.

Et pourtant, il y aurait tant à dire!

Par exemple, qu’en plus d’avoir “perdu”…

  • nom
  • adresse (incluant le code postal)
  • numéro(s) de téléphone
  • adresse(s) de courriel
  • date de naissance
  • revenu autodéclaré

Il y avait aussi…

  • le statut, en tant que client de la carte de crédit
  • le score de crédit
  • la balance du crédit dû (à Capital One)
  • l’historique complet des paiements

Rien de moins.

Et Costco n’a… absolument RIEN à déclarer.

Côté gestion de crise, Costco n’impressionne personne et pourrait se retrouver avec un important problème de confiance, avec des millions de ses membres qui voient que le détaillant se fout complètement des conséquences de ses gestes, comme celui de demander ses membres de lui faire confiance pour leurs achats, avec la carte Master Card de Capital One.

Rien ne laisse penser que Costco compte agir pour informer ses clients de l’état de la situation et encore moins d’une aide pour faire face aux lendemain inquiétants du vol de leurs informations personnelles, chez leur unique partenaire de paiement.

Des vols industriels

Alors que les services policiers sont complètement dépassés par ce type de vol, on remarque leur ampleur inédite.

Si ce type de vol a déjà été de taille artisanale, là, avec des dizaines de millions de victimes, on parle de vols industriels. Avec des conséquences proportionnelles.

Ceux qui sont censés faire appliquer nos lois semblent complètement dépassés.

La police canadienne, qu’il s’agissent des corps de police municipaux, de la Sûreté du Québec (au provincial) ou de la Gendarmerie royale du Canada (au fédéral), tous semble incapables de faire quoique ce soit.

Et il ne faut pas compter sur le Commissariat à la protection de la vie privée du Canada. Ils ont bien lancé une enquête mais on sent que ça tourne à vide. Et ça n’offre aucune protection aux Canadiens dont les données ont été volées.

Comble du ridicule, le Commissariat invite les Canadiens floués à communiquer avec… Capital One! L’entreprise qui a été assez négligente pour se faire voler serait donc le meilleur interlocuteur, pour les Canadiens qui voudraient y voir plus clair.

Ça manque énormément de sérieux.

Et ce n’est pas mieux du côté du Federal Bureau of Investigations, le FBI américain qui n’en parle même pas dans sa page d’accueil… où l’on retrouve pourtant des dizaines d’histoires moins en vue. Il faut se rendre sur le site de la Justice américaine pour en apprendre un peu plus sur ce qui se passe avec l’arrestation de Paige Thompson.

Page d'accueil du site du FBI

Si vous voulez tous les détails, le document officiel de “plainte” contre Paige Thompson est consultable ici. Pour l’instant, il ne s’agit que d’allégations et au fond, on est en droit de se demander si c’est vraiment la seule personne qui était en possession de ces données qui étaient probablement dérobées depuis des mois.

À la vitesse à laquelle ce genre d’archive de données peut circuler, il y a fort à parier que des tiers sont présentement en possession de vos informations personnelles, si vous faites partie des victimes.

Que ce soit très clair, les informations qui ont été volées sont celles de tous les clients, sans exception, ayant soumis des informations pour obtenir la carte Master Card de Capital One, qu’ils l’aient obtenu ou non… ainsi que leur historique complet.

La concentration de toutes ces données dans une seule gigantesque base de données a permis qu’un tel vol puisse avoir lieu.

Même si Paige Thompson a volé les données (en assumant que ce soit elle, telle qu’on la voit dans le cliché ci-bas), c’est Capital One qui a été négligent dans sa stratégie de protection des données sensibles de ses clients.

Photo de Paige Thompson

Parmi les informations permettant d’en savoir un peu plus sur Paige Thompson, son profil Twitter aurait révélé qu’il s’agirait d’une femme transgenre. À savoir qu’il s’agirait d’un homme, à la naissance.

Voici des saisies d’écran prises de ses profils dans GitHub, Twitter, Angel.co et MyLife qui ont disparu depuis la médiatisation de son arrestation, par le FBI (avec les agents en tenue d’assaut, dans sa résidence de Seattle, montrée plus bas).

Compte GitHub de Paige Thompson
Compte Twitter de Paige Thompson
Compte Angel.co de Paige Thompson
Compte MyLife de Paige Thompson
Maison de Paige Thompson à Seattle, dans l'État de Washington

Si vous voulez savoir ce que Paige Adele Thompson affichait comme compétences informatiques, cette saisie d’écran prise depuis son profil de Scribd (avant qu’il ne soit enlevé) donne des détails intéressants.

CV de Paige Adele Thompson sur Scribd

Paige aurait peut-être fait d’autres vols de données

Selon CNN, le vol d’informations chez Capital One ne serait pas le seul.

Dans son compte GitHub, Paige aurait évoqué un fichier de 28 Go appelé “capitol one” (oui, avec un “o”) mais ce ne serait pas le seul nom de fichier qui aurait circulé. Il y aurait aussi eu “ohio.gov dept of transportation.” qu’Erratic aurait aussi mentionné, ainsi que la compagnie britannique de télécoms Vodafone, la compagnie d’informatique californienne Infoblox, Ford et l’université d’État du Michigan (MSU).

De quoi inquiéter des millions d’autres clients qui pourraient apprendre, plus tard, qu’ils vont partie d’un autre lot de victimes.

Les organisations citées ci-haut n’ont encore trouvé aucun indice d’un vol de données mais enquêtent, quand même.

Pour ceux qui voulaient voir le message qui a alerté Capital One au vol de leurs données, voici une saisie d’écran:

Message qui a alerté Capital One à propos de paie Thompson

On comprend que sans ce message providentiel, Capital One n’aurait probablement jamais su que son pare-feu était inefficace et que les données de ses clients avaient été dérobées.

Et ce, même si Paige Thompson a déclaré clairement avoir vu le contenu des archives, comme on peut le lire dans cette saisie d’écran:

Admission de Paige Thompson

Ceci dit, les informations auraient été au moins en partie encryptées mais ce n’est pas clair lesquelles, si l’on se fie à cet échange qui explique un peu les motivations de Paige Thompson:

Même si vous croyez avoir tout lu à propos de ce vol de données, il se pourrait que vous n’en soyez pas à une surprise-près puisque cette ex-employée d’Amazon connaissait bien le service S3, le fameux service infonuagique du géant du commerce en ligne.

Et personne ne sait encore s’il s’agit vraiment du bon suspect ou si les données ont déjà circulé dans d’autres mains criminelles.

Alors c’est une histoire à suivre, de près.

Shares