La division américaine de conseil en placement d’une banque dont le siège social est au Canada est l’une des dernières entreprises à admettre qu’elle a été victime de l’exploitation d’une vulnérabilité de type « jour zéro » dans l’application de transfert de fichiers MOVEit de Progress Software.
Scotia Wealth Management, qui fait partie de la Banque de Nouvelle-Écosse, a reconnu dans une lettre déposée auprès de l’État du Massachusetts que des renseignements personnels détenus par son service de planification successorale Scotiatrust avaient été copiés par un pirate informatique qui avait compromis le serveur de la société de conseil Ernst and Young LLP (EY).
« Nous avons engagé EY pour fournir à Scotiatrust des tests de routine pour vérifier la conformité [des systèmes Scotiatrust] avec les réglementations du gouvernement américain en matière de déclaration et de retenue d’impôt. Les informations sur les clients ont été fournies à EY pour faciliter ces tests », explique la lettre.
« Nous avons été en contact régulier avec EY pour déterminer l’impact sur vos informations et fournir toutes les informations que nous pouvons pour aider à l’enquête. »
« EY nous a informés que les informations suivantes sur des personnes affiliées peuvent avoir été exposées : nom, date de naissance, adresse, numéro de téléphone, numéro de sécurité sociale, permis de conduire et/ou informations sur le passeport. Les avoirs en placements et les soldes des comptes n’ont pas été exposés et les systèmes de la Banque Scotia n’ont pas été directement compromis dans cet incident. »
La lettre ne dit pas combien de données ont été copiées, combien de personnes sont touchées ou si des clients canadiens ont également été touchés.
Interrogée au cours du week-end pour commenter, Katie O’Dell, directrice des communications pour la gestion de patrimoine mondiale de la Banque Scotia, a envoyé cette déclaration par courriel : « Cet incident de cybersécurité qui s’est produit chez un fournisseur tiers a eu un impact sur un nombre limité de nos clients qui détiennent des comptes avec Scotiatrust. Nous travaillons en étroite collaboration avec toutes les parties pour soutenir l’enquête et avons informé tous les clients concernés. »
Lorsqu’on lui a demandé si les clients canadiens étaient également touchés, Mme O’Dell a déclaré que la banque n’avait pas d’autre commentaire.
Selon un décompte réalisé par des chercheurs d’Emsisoft, plus de 680 organisations et potentiellement des millions de leurs clients ou employés ont été directement ou indirectement impactés par l’exploitation de la vulnérabilité de MOVEit. Elle a été découverte par le gang de rançongiciels Clop, qui a commencé à l’exploiter en mai.
Une organisation est directement touchée lorsque les données de ses clients ou de ses employés sont volées, et indirectement lorsque des données de clients ou d’employés qu’elle a expédiées à un tiers ont été volées à ce sous-traitant.
Cela signifie qu’une organisation peut être victime un certain nombre de fois, selon le nombre de sous-traitants de données qu’elle utilise. La Colorado State University (CSU), par exemple, a été touchée indirectement à six reprises : Le National Student Clearinghouse, la Teachers Insurance & Annuity Association (appelée TIAA), Corebridge Financial, Genworth Financial, et les assureurs Hartford et Sun Life détenaient tous des données d’étudiants, de professeurs ou d’employés de la CSU lorsque leurs serveurs MOVEit ont été compromis ou que les serveurs de leurs sous-traitants ont été touchés.
La Sun Life n’utilise pas MOVEit. Mais elle a déclaré que lorsque le serveur MOVEit de l’un de ses partenaires, Pension Benefit Information, LLC (connu sous le nom de PBI) a été piraté, certaines informations personnelles des clients que la Sun Life avait envoyées à PBI ont été copiées. La Sun Life, comme de nombreuses organisations américaines, utilise PBI pour vérifier régulièrement les bases de données du gouvernement et des entreprises afin de déterminer si les prestations sont correctement versées aux bénéficiaires.
Autre exemple : la semaine dernière, le département des services sociaux du Missouri a informé un nombre inconnu de personnes recevant des prestations Medicaid dans l’État que les données envoyées à IBM Consulting pour traitement avaient été copiées dans le piratage de MOVEit. Les données comprenaient les noms, les numéros de client du département, les dates de naissance, le statut d’éligibilité ou la couverture possible des prestations et les informations sur les demandes de remboursement de frais médicaux.
Encore un exemple, impliquant également IBM : vendredi, le département de la politique et du financement des soins de santé du Colorado a déclaré dans un dossier réglementaire que les données de 4 millions d’habitants avaient été copiées lorsque le serveur MOVEit d’IBM avait été piraté en mai. Les fichiers contenaient certaines informations sur les membres de Health First Colorado et CHP+. Les informations auraient pu inclure des noms, des numéros de sécurité sociale, des informations médicales et des informations sur l’assurance maladie.
EY n’est pas le seul grand cabinet comptable/conseil à être touché. Deloitte et PwC l’ont aussi été.
Pendant ce temps, le gang Clop, qui a demandé de l’argent aux entreprises victimes pour récupérer leurs données, a promis de commencer à rendre publiques les données volées des organisations qui ne coopèrent pas.
Selon le chercheur d’Emsisoft Brett Callow, les données exfiltrées peuvent représenter un risque non seulement pour l’organisation à laquelle elles ont été volées, mais aussi pour ses clients et partenaires commerciaux, car les informations peuvent potentiellement être utilisées pour l’usurpation d’identité, des attaques BEC et plus encore. « Le risque d’utilisation abusive existe à partir du moment où les données sont mal consultées, mais il est amplifié en cas de fuite car, à ce stade, les informations deviennent disponibles pour d’autres cybercriminels. »
Adaptation et traduction française par Renaud Larue-Langlois.
