Return to: Page Section Navigation

Incident de cybersécurité & Importante information pour les consommateurs

Mise à jour – 1er mars 2018

Mise à jour importante en date du 1er mars 2018 : À la suite de l'examen continu touchant les données volées lors de l'incident de cybersécurité de l'an dernier, Equifax Inc. a annoncé que la société a confirmé l'identité des consommateurs étasuniens dont l'information partielle de permis de conduire a été subtilisée.

Dans le cadre de ces efforts supplémentaires, Equifax a été en mesure d'identifier quelque 2,4 millions de consommateurs étasuniens dont les noms et une partie de l'information du permis de conduire ont été volés, mais qui n'étaient pas dans la population affectée précédemment ni identifiés dans les avis précédents émis par l'entreprise.

Depuis, aucun consommateur supplémentaire à l'extérieur des États-Unis n'a été touché, cette annonce n'augmente pas le nombre de consommateurs touchés au Canada.

Pour de plus amples renseignements, lire le communiqué de presse d'Equifax Inc. ici.
Est-ce que cette nouvelle annonce de données volées fait partie de l'incident de cybersécurité survenu le 7 septembre 2017 ou est-ce une nouvelle brèche?
Cela se rapporte à l'incident de cybersécurité annoncé le 7 septembre 2017.
Est-ce que des consommateurs à l'extérieur des États-Unis ont été touchés?
Aucun autre consommateur n'a été touché à l'extérieur des États-Unis. Cette annonce de 2,4 millions de consommateurs étasuniens dont le nom et de l'information partielle de permis de conduire a été volée n'augmente pas le nombre de consommateurs touchés au Canada.
Pourquoi cette information n'a-t-elle pas été communiquée lors des annonces initiales?
La méthodologie utilisée pour l'examen judiciaire de l'entreprise sur l'incident de cybersécurité de l'an dernier s'est concentrée sur les numéros d'assurance sociale (NAS) des États-Unis et les noms comme éléments de données clés afin d'identifier les personnes touchées par la cyberattaque, parce que les experts judiciaires avaient déterminé que les malfaiteurs s'étaient principalement attaqués au vol de NAS. Ces consommateurs nouvellement identifiés n'ont pas été informés précédemment parce que leurs NAS n'ont pas été volés avec leur information partielle de permis de conduire.
Quand avez-vous confirmé que ces nouveaux consommateurs étaient touchés?
Equifax Inc. a terminé son analyse sur quelque 2,4 millions de consommateurs le 28 février 2018 et a fait une annonce publique le 1er mars 2018.
Le 2 octobre, Equifax (et son enquêteur indépendant de cybersécurité Mandiant) ont annoncé que l'enquête était terminée. Était-ce exact?
Oui. L'enquête judiciaire — qui a déterminé ce qui a été volé et de la façon dont cela a été fait — était terminée. Equifax continue ses discussions avec diverses parties prenantes — incluant les consommateurs, les clients, le congrès et les organismes de réglementation — et effectue des analyses supplémentaires sur les données volées, s'il y a lieu.

Grandes lignes de l'incident de cybersécurité

Qu'est-il arrivé?
Le 7 septembre 2017, Equifax Inc., notre société mère aux États-Unis, a annoncé avoir été victime d'un incident de cybersécurité. Le 2 octobre, nous avons terminé notre enquête et avons publié un communiqué déclarant qu'environ 8 000 Canadiens pourraient être touchés par l'incident de sécurité. La même semaine, nous avons avisé les consommateurs potentiellement touchés de la situation. Nous avons également déterminé que des Canadiens figurent parmi les titulaires de cartes de crédit compromises, comme annoncé initialement dans la déclaration de l'entreprise. Equifax avait précédemment déclaré que jusqu'à 100 000 Canadiens pourraient potentiellement être touchés par l'incident de sécurité, mais ce chiffre préliminaire a été revu à la baisse.

Les lettres d'avis ont été postées aux consommateurs canadiens en cause.
À quel moment Equifax a-t-elle pris connaissance de l'incident?
Nous avons pris connaissance de l'incident le 29 juillet 2017, et sommes intervenus immédiatement pour endiguer l'intrusion et entreprendre une analyse judiciaire. Pendant cette analyse, nous avons décelé l'accès non autorisé à certains renseignements personnels restreints de consommateurs canadiens.
Pendant combien de temps cet accès non autorisé a-t-il eu lieu?
Selon notre enquête, l'accès non autorisé s'est déroulé de la mi-mai à juillet 2017.
Quelle information canadienne a été compromise?
Les renseignements personnels potentiellement compromis comprennent le nom du consommateur, son adresse, son numéro d'assurance sociale et, dans certains cas limités, ses numéros de cartes de crédit. Le nom d'utilisateur, le mot de passe et la réponse à la question de sécurité qui constituaient des identifiants de connexion pour notre site Web et remontent probablement à plusieurs années l'incident et il pourrait s'agir d'identifiants de connexion à notre site Web Direct aux consommateurs.
Qui et combien de Canadiens sont touchés?
L'information personnelle d'environ 8 000 consommateurs canadiens a été touchée. De plus, on a déterminé que certains des consommateurs dont les cartes de crédit avaient été affectées tel qu'annoncé dans l'avis initial de l'entreprise sont des Canadiens. Nous savons que ce groupe comprend 11 670 consommateurs canadiens touchés.
J'ai entendu dire que l'incident de sécurité touche beaucoup plus de gens que les 8 000 Canadiens que vous avez contactés directement. Des Canadiens ont-ils été touchés d'une autre façon?
Equifax avait précédemment déclaré que jusqu'à 100 000 Canadiens étaient potentiellement touchés par l'incident de sécurité, mais ce chiffre préliminaire a été revu à la baisse.
Les bases de données centrales de crédit des consommateurs et des entreprises d'Equifax ont-elles été touchées?
Equifax Canada peut confirmer que ses systèmes canadiens n'ont pas été compromis. Nous n'avons trouvé aucune preuve d'activité non autorisée dans les banques de données centrales de crédit des consommateurs et des entreprises d'Equifax Canada. Les plateformes et les systèmes d'Equifax Canada sont entièrement distincts des plateformes et systèmes d'Equifax Inc. touchés par l'incident de cybersécurité rapporté aux États-Unis.
L'incident de cybersécurité a-t-il été endigué?
L'incident de cybersécurité a été endigué et Equifax a avisé par la poste tous les Canadiens touchés par l'incident de sécurité et leur offre gratuitement des services de surveillance de crédit et de protection contre le vol d'identité.
Quelles mesures Equifax prend-elle pour éviter qu'une telle situation ne se reproduise?
En plus de la surveillance de crédit et de la protection contre le vol d'identité offertes directement aux consommateurs, Equifax Canada continue d'investir massivement dans son infrastructure et déploie des efforts important pour protéger davantage ses données contre tout accès frauduleux.

Comment savoir si vous êtes touché

Est-ce que les Canadiens touchés ont été avisés?
Equifax a posté des avis aux Canadiens touchés et offre gratuitement à ceux-ci une surveillance de crédit et une protection contre le vol d'identité durant 12 mois. De plus, les consommateurs canadiens, peu importe qu'ils aient été touchés ou non, peuvent appeler le Centre d'appels d'Equifax et demander qu'une alerte de fraude soit placée dans leur dossier gratuitement pour une période de six ans.
Quelle information est contenue dans les lettres envoyées aux consommateurs touches?
Les lettres d'avis donnent les détails sur les types de données qui ont été potentiellement touchées pour chaque consommateur. L'information potentiellement touchée comprend les noms, adresses et numéros d'assurance sociale, de même que les noms d'utilisateur, les mots de passe et les questions/réponses secrets qui selon Equifax remontent à plusieurs années et étaient des identifiants de connexion pour utilisation avec le site Web Direct aux consommateurs. Les lettres comprennent aussi une offre gratuite de services de surveillance de crédit et de protection contre le vol d'identité.
Comment puis-je savoir si ma carte de crédit a été compromise?
Les consommateurs sont appelés à surveiller leurs relevés de carte de crédit afin de détecter toute activité frauduleuse, et à communiquer directement avec leur institution financière ou la société émettrice de leur carte de crédit s'ils remarquent toute activité suspecte.
Si je suis en cause, pourquoi suis-je informé par courrier et non pas par téléphone ou par courriel? Y a-t-il une façon de savoir en ligne si j'ai été touché?
Nous choisissons d'aviser les Canadiens en cause par courrier pour aider à protéger leur vie privée. Il est important de noter qu'aucun représentant d'Equifax ne contactera les Canadiens en cause par téléphone ou par courriel. Veuillez ne pas donner d'information personnelle à toute personne qui vous contacte par téléphone ou par courriel et qui prétend être un représentant d'Equifax.

Prochaines étapes pour les personnes touchées

Que fera Equifax pour me protéger si je suis touché par l'incident de sécurité?
Equifax continue de travailler en étroite collaboration avec le Commissariat à la protection de la vie privée du Canada (CPVP) et d'autres organismes de réglementation. Nous avons également offert aux Canadiens en cause nos services de surveillance de crédit et de protection contre le vol d'identité sans frais pendant 12 mois. De plus, les consommateurs canadiens, qu'ils aient été touchés ou non, peuvent appeler le Centre d'appels d'Equifax et demander qu'une alerte de fraude soit placée dans leur dossier gratuitement pour une période de six ans.

Equifax recommande au public de toujours examiner leurs relevés de compte et de carte de crédit avec vigilance, et de rapporter immédiatement toute activité frauduleuse ou non autorisée à leur institution financière. Nous invitons également les Canadiens à surveiller leurs renseignements personnels afin d'éviter le vol d'identité, et de se renseigner au sujet des alertes de fraude et d'autres services existants sur le marché.
Est-il possible que je sois touché par l'incident de sécurité, mais que je ne reçoive pas d'avis de la part d'Equifax?
Equifax a contacté directement tous les Canadiens touchés par l'incident de sécurité par la poste. Si vous ne recevez pas de communication de notre part, mais avez tout de même des inquiétudes, vous pouvez nous écrire EquifaxCanadaInquiry@equifax.com ou nous appeler au 1 800 561-6387.
Le produit entre-il en vigueur au moment de la réception de l'avis ou lors de l'inscription?
Pour les Canadiens touchés, le produit commence à la date à laquelle vous actionnez votre abonnement et sera gratuit durant une année.
Je suis déjà client d'Equifax. Qu'adviendra-t-il de mon abonnement actuel?
Si vous êtes un consommateur canadien touché par l'incident de sécurité et possédez déjà un abonnement à un service similaire offert par Equifax, nous prolongerons celui-ci pendant 12 mois, sans frais.
Ma banque m'a informé que mon compte bancaire a fait l'objet d'un accès frauduleux. Que dois-je faire?
Si vous croyez que votre compte bancaire a été compromis, nous vous invitons à communiquer avec votre institution financière pour tenter de régler le problème ou d'aviser les services policiers locaux.

Communiquer avec Equifax

Comment joindre Equifax Canada au sujet de l'incident de cybersécurité?
Appelez le 1-800-561-6387 ou envoyez un courriel à EquifaxCanadaInquiry@Equifax.com.

Return to: Page Section Navigation

Certaines conditions, exclusions et limitations s'appliquent sur tous les produits; pour plus d'information, veuillez consulter les modalités d'utilisation et la documentation sur le produit.