Archives par mot-clé : desjardins

Cybersécurité : Pourrait-on envisager une collaboration entre la police et les entreprises privées ?

Cela fait presque 1 ans maintenant, l’institution financière Desjardins était touché d’une fuite massive de données de sa clientèle.

Jusqu’aujourd’hui l’enquête sur l’incident informatique n’a toujours pas abouti à des résultats concrets.

Cet article va aussi vous intéresser : Desjardins : un an plus tard que retenir de la fuite de données

Dans quel contexte l’on n’a pu assister à un regroupement de plusieurs enquêtes spécialisées pour reprendre à la véritable question que soulève la cybercriminalité de nos jours. Il a fallu compter une participation très active des entreprises du privé et des citoyens. Une initiative lancée par le gouvernement Québécois en collaboration avec l’association des directeurs de police de Québec. L’idée est de mettre en place un plan qui permettra de lutter efficacement face à la montée en puissance de la cybercriminalité.

Les travaux fournis par l’association des directeurs de police du Québec collectés dans un mémoire de plus de 75 pages puisent leur fondement dans une autre étude réalisée par un expert en sécurité bancaire, Pierre-Luc Pomerleau, qui a hauteur d’une thèse de doctorat portant sur les partenariats publics-privés entre les structures financières et les organisations chargées d’appliquer la loi au Québec est dans le Canada en général.

De manière brève, on peut retenir seulement que les chefs de police Québécois, ont recommandé une association formée des experts, temps du côté de la police que du côté du secteur privé, chargé de lutter contre les fraudes financières organisées et soutenu par la cybercriminalité. L’objectif est de pouvoir imiter au mieux les modèles qui semblent fonctionner, mis en place au Royaume-Uni, aux États-Unis et en Australie.

L’unité dont on parle ici sera composée essentiellement des agents de la gendarmerie Royale du Canada et ceux de la police du Québec, en association avec des spécialistes en matière informatique et technologique et des civils spécialisés qui auront à jouer un rôle au moment venu. Les acteurs privés qui participeront à la formation de cette unité seront des professionnels émanant des institutions financières et d’importantes entreprises en la matière.

L’unité sera essentiellement financée par un budget provenant du secteur privé.

La mise en place d’un tel corps s’avère plus que nécessaire, car comme on le sait, les services de police standard ne disposent pas dans ce contexte, d’expertise suffisante pour répondre efficacement au menaces informatiques et aux conséquences directes qui pourraient en découler.

« La fraude et le cybercrime ont des impacts sur notre société et il convient de mieux s’organiser pour combattre ces formes de criminalité », notaient les auteurs du mémoire de l’ADPQ. « La police est devenue le fourre-tout de la réponse de tous les problèmes sociétaux. Le définancement n’est pas la réponse, car lorsque ce réflexe fait surface, la prévention et la formation sont souvent les victimes de ces coupures. Le réflexe de croire que les problèmes de nos voisins du sud sont présents avec la même proportion au Canada est un biais important et néfaste », voulait souligner l’ADPQ.

De plus, pour améliorer la détection des attaques informatiques et renforcer la sécurisation des données pour éviter leurs détournement, association des directeurs de police du Québec convient dans le même sens que l’expert en sécurité financière M. Pomerleau. Il s’agit d’instaurer un « centre de partage d’informations », dont les employés traiteront (réception, classification, analyse et échange) des renseignements pour toutes les agences d’application de la loi. On rappelle jusqu’une telle institution existe déjà au niveau des banques.

« [La] situation [actuelle] génère une myopie institutionnelle où le gouvernement et les agences d’application de la loi ne disposent que d’une vision floue de l’état actuel de la criminalité », regrette les auteurs du mémoire.

« La cybercriminalité de toute forme prend énormément d’ampleur, ce qui exige des équipes composées de policiers et de civils formés et compétents. À ce titre, rappelons que le secteur privé s’adapte en temps quasi réel aux changements rapides qui caractérisent les cybermenaces afin de protéger leurs infrastructures », ajoute ces derniers. « La sécurité publique ne peut plus être uniquement l’affaire des services de police. Le partage des responsabilités de sécurité publique peut être divisé avec les acteurs de la sécurité privée (…) Il est nécessaire de revoir les tâches qui sont exclusivement du ressort des policiers et celles qui peuvent être accomplies par d’autres acteurs externes, qualifiés et disponibles ». Pouvait-on lire dans le mémoire.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Desjardins : un an plus tard que retenir de la fuite de données

Hier, cela faisait un an jour pour jour que la société Canadienne en Desjardins a été victime d’un des plus grands vols de données de l’histoire du Québec.

Qu’est-ce qui a été retenu de ce grand incident informatique. Il y aurait-il des améliorations quant à la protection des données des personnes. Il Y a-t-il encore du progrès à faire dans ce domaine ? autant de questions que se posent à la fois, les particuliers les spécialistes et les autorités.

Cet article va aussi vous intéresser : Desjardins : le vol de données ne concernait pas seulement la banque Canadienne

Depuis 1 ans, le gouvernement Legault n’a pas cessé de multiplier les initiatives pendant à améliorer la sécurité des données personnelles dans des citoyens québécois et la cybersécurité des infrastructures informatiques. Cela s’établit clairement dans sa promesse de transformation numérique, justifiant la nomination de Éric Caire comme délégué.

Durant le mois de décembre 2019, un projet de loi a été proposé, dans l’optique d’encadrer certaines agences en particulier celles chargées d’évaluation de crédit. La loi a pour but déposer une sorte de « gel de sécurité » aux consommateurs, de sorte à empêcher que des prêts soient accordés à ces derniers. Depuis le mois de mars dernier avec le projet de loi 64, le gouvernement québécois met l’accent encore plus haut sur la cybersécurité en obligeant tous les organismes publics, à assurer de manière ponctuelle la sécurité des données personnelles qui leur seront confiées. En plus des institutions publiques, les organisations privées sont aussi dans la ligne de mire de cette nouvelle proposition législative. Ces dernières risquent des amendes pouvant monter jusqu’à 25 millions de dollars en cas de problème relatif à la protection des informations personnelles de leur clientèle. « Ça s’en va dans la bonne direction », selon Steve Waterhouse, spécialiste de sécurité de l’information et professeur à l’Université de Sherbrooke. « Ça va se travailler dans les prochaines années et ça va aider à raffermir la sécurité des données personnelles au Québec. » ajoute l’expert.

Pour un autre enseignant, le professeur José Fernandez, chargé de cours au département de génie informatique et génie logiciel de Polytechnique de Montréal, l’affaire Desjardins a été quelque chose qui aurait boosté d’une certaine manière les mesures de protection des systèmes informatiques au Québec, en particulier l’authentification. « C’est quelque chose dont on ne parlait plus il y a trois ou quatre ans, maintenant on en parle. Est-ce que Desjardins a poussé Québec à aller plus loin ? Oui, sans doute. On parle du long hiver de l’intelligence artificielle ; il y a eu le long hiver de l’identité numérique, on est peut-être maintenant au printemps, espérons-le. » souligne le Professeur.

Selon le PDG de la société spécialisée dans la cybersécurité Eva technologies, le Québec est suffisamment outillé avec une balise assez solide en matière d’authentification, et de préservation de l’identité numérique, à l’instar bien sûr du permis de conduire : « On en est tellement proches… Il y a déjà un code à barres à l’arrière, on n’aurait qu’à faire une base de données avec l’assurance maladie, on aurait la base de notre carte d’identité nationale. ».

L’incident informatique de Desjardins, qui a coûté près de 108 millions de dollars à l’institution financière, et affecté 8 millions d’individus, et même pas assez pédagogique sur l’ensemble du paysage informatique du Québec. En effet que ce soit les autorités les entreprises au même la population, ce problème a été suffisant pour sensibiliser tous ces acteurs sur le danger que représente la cybercriminalité et l’enjeu important de la sécurité informatique dans le quotidien. Aucune compagne de sensibilisation ou même marketing aurait eu autant d’effet. « Quand je travaille chez un client, la première chose que je lui demande, c’est : “Voulez-vous qu’un scénario à la Desjardins arrive chez vous ?”, C’est une ficelle que je n’aime pas tirer, mais c’est un fait : le cas Desjardins sert d’épouvantail… » expliquait Jean Loup Le Roux, un spécialiste de spécialiste en sécurité informatique. Le fait que le vol de données subi Desjardins a été grâce à une méthode assez classique connue déjà par les responsables de la sécurité et grâce à des outils technologiques limités, la cybersécurité a été littéralement démystifiée. « On a fait beaucoup de bruit autour du dark web et des pirates chinois ou russes, mais la réalité du terrain est beaucoup plus banale. Quelqu’un de l’interne a eu accès à beaucoup trop d’information, il l’a exfiltrée avec des méthodes qui auraient dû être surveillées et l’a revendue à des contacts dans la vraie vie. On part de scénarios à la James Bond et on se rend compte que la réalité est souvent bien plus simple. » ajoute notre spécialiste.

« Chaque semaine, il y a une nouvelle là-dessus, Avon, Visa, des PME, des institutions financières… » Les Québécois ont compris à quel point il était assez vulnérable face à la cybermalveillance. Comme le note Steve Waterhouse. Éric Parent, un autre professionnel de la sécurité renchérit : « Ça a changé la perception des gens qui se pensaient intouchables : tout le monde a été touché, même moi qui ne suis pas client ».

Du côté de l’organisation, Desjardins a annoncé plusieurs réformes en son sein. Le mouvement assure même « avoir rehaussé sa sécurité à l’interne, mais il n’y a aucun audit d’une organisation indépendante qui a pu le confirmer », rapporte Steve Waterhouse. En décembre dernier, le mouvement Desjardins crée un bureau de la sécurité. Unité qui rassemble près de 900 experts de la société. Ce bureau a effectivement en son sein une autre unité destinée spécialement à lutter contre les crimes financiers, tel que décrit par Chantal Corbeil la parole du mouvement. « Depuis plusieurs années, Desjardins augmente ses investissements significativement en sécurité de l’information [plus de 100 millions cette année par rapport à 70 millions l’an dernier]. Nous allons continuer de le faire », ajoute-t-elle.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Desjardins, Capital One, Revenu Québec, Hydro-Québec : ces nouvelles mesures pour éviter que le pire ne se reproduise

Au regard de ces derniers événements qui ont frappé ces grands groupes financiers, les dirigeants ont décidé tant bien que mal de prendre des décisions pouvant permettre la mise en place d’une procédure de prévention le permettant d’éviter ce genre de fléau à l’avenir.

Cet article va aussi vous intéresser : La coupable du vol de données chez Capital One va être condamnée

Ce fut par exemple la décision d’interdire l’usage de tout stockage amovible tel que les USB ou encore des disques durs externes au sein de leur entreprise. « Ce que l’on met en place, c’est lié à l’ensemble du contexte où il y a de plus en plus de menaces de fuites de données (…) C’est assez connu dans la cybersécurité que les clés USB sont une porte d’entrée souvent utilisée », explique alors Louis-Olivier Batty, membre du service des communications. Chez Desjardins. On se rappelle que le vol de données subi par la structure canadienne avait été possible grâce à l’usage de clé USB qui a servi aux délinquants d’emmagasiner le maximum des informations personnelles ce qui a facilité la suite de l’affaire. « La fuite de données dans l’industrie financière fait partie du contexte global, mais d’autres enjeux justifient également notre décision de renforcer nos politiques et pratiques en matière de protection de nos systèmes informatiques et de toute information de l’entreprise, dont les renseignements personnels », a expliqué M. Batty en désignant de fait « les risques liés à l’intrusion de virus informatiques ».

Au niveau Hydro-Québec, les 20 000 employés de la firme ont été avertis de la nouvelle mesure qui sera en vigueur. L’information est passer dans un bulletin Interne où la société d’État a pris l’engagement pour ouvrir dans le sens de la « sécurisation de l’ensemble des données, des installations et des infrastructures technologiques (…) Dans cette optique, et dans le contexte des événements d’exfiltration de données survenus dans différentes organisations, Hydro-Québec met en place des mesures additionnelles de sécurité » tel était expliqué dans le bulletin.

Et il faut noter que cela est en vigueur depuis maintenant le 21 janvier 2020. Tout usage de clé USB ou de disque externe est totalement proscrit et susceptible d’être sanctionné comme une faute grave. Cependant la mesure observe une exception. En effet, il peut arriver que de façon exceptionnelle, un employé ait le droit d’utiliser un système de stockage externe, privilège appelé : « exception de sécurité ». Il se pourrait que bientôt d’autres exceptions puissent être admises pour faciliter les transmissions de données.

En dehors de l’interdiction d’utiliser des méthodes de stockages externes physiques, l’usage de périphérique en cloud tel que Dropbox, Google Drive… Ont aussi été proscrits. De plus, il est formellement interdit aux employés de répondre à des mails personnels ou encore ouvrir des pièces jointes provenant de leurs services de messagerie personnelle en utilisant les terminaux (ordinateur de bureau, tablettes, ou pc portable) de la société d’État. Toutefois ces mesures ne s’appliquent pas à tous les appareils de la société, en particulier les appareils mobiles. En effet ces derniers ont déjà été équipés des dispositifs qui permettent : « d’isoler les données d’entreprise des données personnelles ».

Pour Louis-Olivier Batty, ces différentes mesures de sécurité n’ont aucun impact négatif sur la rentabilité des équipes déployées par Hydro-Québec. Jusqu’à présent, les responsables de la société d’État un ont affirmé avoir reçu jusqu’à présent aucune plainte depuis la mise en application de ces restrictions. « Hydro-Québec travaille très fort pour que ce qui s’est passé chez Desjardins ne se produise chez nous. Mais nous, on s’inquiète surtout que des serveurs de données soient gérés en impartition, à l’extérieur d’Hydro », M. Cloutier, chef d’équipe à Hydro-Québec.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Espionnage de personnalités publiques : comment s’y prennait le suspect ?

La structure canadienne Revenu Québec a décidé depuis le mois de décembre 2019 de mettre fin à sa collaboration avec un certain Pascal Desgagnés.

Il exerçait en tant que consultant temporaire pour l’agence du fisc Québécois. Et pour cause ce dernier est soupçonné d’avoir accompli des actes d’espionnage sur les téléphones cellulaires de plusieurs personnalités publiques. On ajouta qu’il avait aussi accès car l’Assemblée nationale à travers son système informatique. Ce dernier est reconnu avoir travaillé avec l’Institut financière Desjardins dans un mouvement dénommé mouvement Desjardins et la ville de Québec sur un ensemble de projet portant sur la sécurité informatique.

Cet article va aussi vous intéresser : Desjardins : le vol de données ne concernait pas seulement la banque Canadienne

Pour l’heure, il est difficile de savoir à quelle genre d’information ce dernier avait eu accès, car l’agence du fisc québécois refuse de donner plus d’informations à ce sujet. Tout ce qu’elle a déclaré concernant le suspect en question c’est : « Revenu Québec a mis fin au lien contractuel qu’il entretenait avec Pascal Desgagnés, à la suite de son arrestation et de sa mise en accusation par le Service de police de l’agglomération de Longueuil, hier », a signifié au Journal Geneviève Laurier, la porte-parole, de l’agence. L’objectif pour Revenus Québec est de ne pas nuire à l’enquête judiciaire qui a été enclenchée suite aux révélations.

Selon Éric Parent, un expert de la sécurité informatique, par curiosité il était envisageable que le suspect ait voulu consulter certaines informations dans les dossiers de l’agence du fisc. L’idée de curiosité ici viens dans le sens du fait qu’aucune personne concernée par l’espionnage n’a véritablement subis de dommages financières. « Tout dépendamment de ses accès, c’est quasiment une certitude qu’il a jeté un coup d’œil. Il ne s’est pas gêné pour le faire avec les cellulaires », expliquait le PDG d’EVA-Technologies, une Société de sécurité informatique.

Par ailleurs, il faut noter que notre suspect, Pascal Desgagnés, a exercé aussi comme consultant externe à l’Assemblée nationale dans le domaine de l’informatique. Là-bas aussi les accès qu’il avait au système informatique lui ont tous été retiré. « J’ai comme information que ses accès informatiques étaient très limités. Nous effectuons actuellement des vérifications », déclarait Julie Champagne, la porte-parole de l’Assemblée nationale. De ce côté aussi, l’homme n’a pas pu avoir des informations sur la nature des documents qu’ils auraient pu ou non écouté car le doute encore subsiste. Du côté de la firme japonaise Fujitsu, il semblerait qu’il ait exercé aussi en tant que consultant externe, pour la ville de Québec de 2011 à 2012. David O’Brien, Le porte-parole de la ville indiquait : « Il était mandaté sur des systèmes de gestion de projet à titre de spécialiste Sharepoint.Il n’avait pas accès aux systèmes et données sensibles de la Ville ».

Pour le moment l’on faudrait noter que ce ne sont que des soupçons. l’enquête suit son cours même si plusieurs éléments portent à croire qui est sûrement coupable de l’espionnage de ces personnalités publiques. Actuellement, seul Revenu Québec a ‘affirmé un grief contre ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage



Desjardins : le vol de données ne concernait pas seulement la banque Canadienne

Il a été découvert récemment que d’autres banque, autres que Desjardins, ont été aussi victimes de vol de données, du moins sont soupçonnées de l’avoir été.

Il s’agit en l’occurrence de la Banque Nationale et de la Banque TD. Ce sont des employés des ses institutions qui sont soupçonnés d’avoir commandité ces détournements d’informations. Et ces appréhension sont le résultat d’une enquête policière, dévoilée à la presse qui a mis la puce à l’oreille de tout le monde. L’enquête a porté sur environ 4000 identités dérobées. Parmi les identités qui ont été utilisées, on compte des clients appartement aux 2 institutions financières précipitées.

Cet article va aussi vous intéresser : Le gouvernement Canadien prié de réagir en cas de vol de données informatiques par un groupe d’experts

Apparemment, les données dont on parle ici auraient été subtilisées depuis maintenant 3 ans. En effet l’enquête s’est déroulée depuis le mois d’août 2016 jusqu’au mois de juillet 2018, qui se concentrait principalement sur un réseau de fraudeurs qui se servaient d’identités dérobées à autrui, pour fabriquer en retour de fausse cartes qui leur permettront d’ouvrir des comptes en banque dans l’optique d’y déposer de faux chèques et retirer de l’argent frauduleusement.

Le chef du réseau de fraudeurs est un ex employé de la Banque Nationale. Il s’appelle Fred Joseph. il a été arrêté par ses complices Nathaniel Thomas, ancien employé de la Banque TD et Marianna Rekkab. La dernière est considérée comme étant une spécialiste pour ce qui est de trouver des clients hypothécaires résidentiels. Son travail était facilité par le fait qu’elle utilisait un outil fourni par la banque relié directement au réseau. ce qui lui donnait accès à plusieurs profils et plusieurs identités.

Ce réseau de fraudeurs serait en pratique responsable d’environ 40 actes de fraudes, dont les sommes engrangées s’élèvent à 600 000 dollars d’environ 300 000 dollars de pertes pour les banques. les clients de la Banque Nationale et la Banque TD, victimes ont été contactées par ces dernières et ont été avertis du le problème. Par ailleurs la Banque TD ne souhaite pas faire de commentaire sur la question.

En outre, force est de constater que ce problème qui tend à se généraliser de plus en plus, néanmoins, des initiatives ont a été déployées par les autorités pour assurer un contrôle plus accru des données des clients de différentes institutions financières. Cependant, il faut avouer que certaines propositions ne font pas l’unanimité. On notera cette déclaration de Guy Cormier, le patron de Desjardins : « Actuellement, les consommateurs et les citoyens sèment leurs données personnelles un peu partout, au gouvernement, dans plusieurs ministères, chez leur employeur, à la caisse, à la banque, dans les municipalités, chez leur fournisseur Internet, chez Hydro-Québec et dans de nombreux, nombreux commerces. On multiplie les expositions, on multiplie les risques. Il faut redonner à chaque personne le contrôle de ses données. Il faut redonner du sens. Il faut construire une véritable identité numérique au Québec et au Canada. (…) Je comprends qu’on peut vouloir faire porter le bonnet d’âne à Desjardins, mais Desjardins a été transparent, a été clair, a fait preuve de franchise dans ce dossier ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage