Equifax Canada affirme que les renseignements personnels d'environ 100 000 consommateurs canadiens pourraient avoir été compromis lors de la cyberattaque rendue publique par l'agence de surveillance du crédit plus tôt ce mois-ci.

L'entreprise a précisé mardi que l'enquête suivait son cours et que les données pouvant avoir été piratées incluaient des noms, des adresses, des numéros d'assurance sociale et, dans certains cas, des numéros de carte de crédit.

«Nous présentons nos excuses aux consommateurs canadiens qui ont été affectés par cet incident», a affirmé Lisa Nelson, présidente et directrice générale d'Equifax Canada, dans un communiqué.

«Nous comprenons également qu'il est frustrant qu'Equifax Canada n'ait pu fournir d'éclaircissements sur les personnes en cause avant que l'enquête ne soit complétée.»

Equifax Canada a fourni des renseignements à MasterCard et Visa au sujet des cartes de crédit qui pourraient avoir été compromises, afin que les émetteurs de ces cartes puissent transmettre cette information aux institutions financières concernées, a indiqué l'agence sur son site internet. Ces institutions financières communiqueront ensuite avec leurs clients, a-t-elle ajouté.

Les pirates ont obtenu l'accès à des dossiers contenant les données personnelles de clients canadiens par l'entremise d'une application web d'Equifax destinée aux consommateurs américains.

«Equifax Canada peut confirmer que les systèmes canadiens ne sont pas touchés, a indiqué l'entreprise sur son site web canadien. Nous n'avons trouvé aucune preuve d'activités non autorisées dans les bases de données des renseignements de crédit de base à la consommation et commerciaux d'Equifax.»

«Les plateformes et les systèmes d'Equifax Canada sont entièrement séparés de ceux touchés par l'incident de cybersécurité largement rapporté aux États-Unis.»

Le 7 septembre, Equifax a annoncé avoir découvert, le 29 juillet, qu'une brèche de données pouvant avoir touché l'information personnelle de 143 millions d'Américains et d'un nombre non précisé de Canadiens et de Britanniques. La semaine dernière, elle a précisé que moins de 400 000 citoyens britanniques avaient été affectés, mais que la portée de l'attaque avait été moins importante et qu'il était peu probable qu'elle entraîne des vols d'identité.

Confusion sur le nombre de Canadiens touchés

Mais Equifax, qui recueille des données au sujet du portrait de crédit des consommateurs et fournit des vérifications pour les entreprises, n'a pas divulgué de détails sur l'impact de la cyberattaque pour les Canadiens.

Vendredi, le Commissariat à la protection de la vie privée du Canada a annoncé qu'il mènerait une enquête sur cette brèche de données.

Equifax s'est engagée mardi à aviser par écrit les Canadiens touchés dès que possible, pour les informer des mesures qu'ils devraient prendre. L'agence offre en outre aux Canadiens dont les données ont été exposées un service gratuit de surveillance du crédit et de protection contre le vol d'identité pour les 12 prochains mois. Ce genre de service a été offert aux résidents américains dès la journée de l'annonce du piratage.

L'agence a mis sur pied un site internet distinct où les Américains peuvent vérifier s'ils ont été touchés par le vol de données, mais il ne fonctionne qu'avec les numéros d'assurance sociale américains - et n'est donc d'aucune utilité pour les Canadiens.

Le centre d'appel canadien de l'agence a indiqué à certaines personnes que seuls les Canadiens qui ont un dossier de crédit aux États-Unis ont été affectés par la cyberattaque, comme les Canadiens qui ont vécu ou travaillé au sud de la frontière. Mais le Commissariat à la protection de la vie privée a indiqué vendredi qu'il n'était pas clair, pour l'instant, que les données affectées par la faille de sécurité étaient limitées à ces Canadiens.

Enquêtes et poursuite

Equifax fait maintenant l'objet d'enquêtes au Canada et aux États-Unis. Au moins deux propositions d'actions collectives ont été déposées contre Equifax au Canada, et plusieurs autres aux États-Unis, concernant le vol de données.

La procureure générale du Massachusetts, Maura Healey, a été la première à poursuivre directement l'entreprise. Ses avocats ont affirmé que la négligence d'Equifax avait exposé les informations personnelles de plus de la moitié de la population adulte de l'État.

Selon eux, l'entreprise a fait preuve négligence face aux menaces à la sécurité, notamment avec la vulnérabilité de son logiciel, ce qui sera au centre de l'enquête.

Jusqu'à maintenant, l'enquête d'Equifax a démontré que les pirates avaient eu accès à ses fichiers du 13 mai au 30 juillet. Equifax Canada a indiqué qu'elle collaborait de près avec sa société mère Equifax et une firme de cybersécurité indépendante, qu'elle n'a pas identifiée, pour poursuivre son enquête.

Equifax a d'ailleurs aussi annoncé que le directeur des systèmes d'information et le responsable de la sécurité avaient immédiatement quitté leur poste.