Plusieurs demandes de recours collectifs ont été déposées aux États-Unis à la suite de l’exploitation en janvier d’une vulnérabilité du logiciel de transfert de fichiers GoAnywhere MFT de Fortra et aux vols de données qui en ont résulté. Maintenant, une action canadienne a été déposée.
La semaine dernière, un cabinet d’avocats de Saskatchewan, Merchant Law Group, a lancé un recours collectif national au nom d’investisseurs canadiens de la Financière Mackenzie qui affirment que leurs informations personnelles ont été volées lors d’un piratage lié à GoAnywhere.
Sont nommés comme défendeurs Mackenzie Financial and Edward Jones ; Investor.com, qui gère les informations fournies aux clients des entreprises d’investissement et Fortra.
Les recours collectifs doivent être approuvés par un juge avant de procéder.
La déclaration au nom des investisseurs de Mackenzie en Colombie-Britannique, au Manitoba, en Saskatchewan et à Terre-Neuve-et-Labrador allègue que Mackenzie and Edward Jones ont embauché Investor.com pour transférer des données – y compris des informations personnelles et financières – entre employés et partenaires. Investor.com et Edward Jones, affirme-t-elle, ont utilisé la version infonuagique de GoAnywhere (appelée GoAnywhere MFTaaS) pour l’échange de données.
Fin janvier, la plainte allègue que des pirates ont exploité une vulnérabilité du jour zéro dans GoAnywhere MFTaaS pour créer des comptes non autorisés dans certains environnements de clients des secteurs public et privé, puis ont copié des données. Cela a été confirmé plus tard dans une déclaration publique de Fortra.
Le 28 mars, la réclamation allègue qu’Investor.com a informé Mackenzie and Edward Jones de la violation de GoAnywhere MFTaaS et que les noms, adresses et numéros d’assurance sociale des clients de Mackenzie avaient été divulgués.
Le gang de rançongiciel Clop s’est attribué le mérite de l’attaque. La déclaration tente de lier l’attaque GoAnywhere à l’exploitation par le gang Clop d’une vulnérabilité dans l’application de transfert de fichiers Accellion en 2021.
« Les défendeurs ont choisi de ne pas prendre de mesures préventives même après les tactiques similaires précédentes bien connues utilisées par les attaquants de Clop pour voler les données de plus de 100 entreprises d’Accellion FTA », indique la déclaration. De nombreux avis ont été publiés en 2021 expliquant la cause de cette attaque, selon l’affirmation, pour empêcher des attaques similaires. Cependant, selon la plainte, les défendeurs n’ont pas fait preuve de diligence raisonnable pour empêcher les attaques contre GoAnywhere.
Les allégations n’ont pas été prouvées devant les tribunaux.
Fortra a été invitée lundi à commenter le dépôt de la plainte. Aucune réponse n’avait été reçue mardi en fin de journée.
En mai, Mackenzie Financial a déclaré à InvestmentExecutive.com que les informations financières des clients, telles que les avoirs et les soldes des comptes, n’étaient pas exposées dans le piratage.
Un certain nombre d’entreprises ont admis avoir été victimes de la vulnérabilité GoAnywhere, notamment la ville de Toronto, Cineplex, Onex et Hitachi Energy.
Aux États-Unis, un certain nombre de recours collectifs ont été déposés contre Fortra et ses clients. Selon DataBreachToday.com, plusieurs impliquent l’administrateur des avantages tiers NationsBenefits Holdings et l’assureur maladie Aetna. Aucune des réclamations dans ces poursuites n’a été prouvée devant les tribunaux.
Invité à commenter la probabilité que davantage de recours collectifs canadiens soient déposés concernant des violations de données de GoAnywhere ou de MOVEit – un autre utilitaire de transfert de fichiers – l’avocat spécialisé en protection de la vie privée d’Halifax, David Fraser, a déclaré que cela devenait plus clair après l’ouverture des vannes du recours collectif pour violation de la vie privée au Canada en 2012 que les tribunaux d’ici sont de plus en plus sceptiques à l’égard de telles réclamations.
« Cela ne veut aucunement dire que celles-ci ne sont pas significatives », a-t-il ajouté, « mais les tribunaux ont réduit les réclamations qui peuvent être faites et le seuil pour montrer le préjudice. Par exemple, la Cour d’appel de l’Ontario a récemment déclaré que vous ne pouvez pas tenir une entreprise responsable en vertu de “l’intrusion sur isolement” après une cyberattaque, car c’est le cybercriminel qui fait l’intrusion. Les réclamations légales restantes exigent généralement de prouver qu’un préjudice a été causé à l’individu, ce qui représente plus qu’un risque accru de vol d’identité et de fraude. Dans la plupart de ces cas de cyber-intrusion, il est très difficile de prouver un préjudice suffisant aux individus pour soutenir une réclamation.
Adaptation et traduction française par Renaud Larue-Langlois.