Des abonnés aux listes d’envoi de détaillants et de programmes de récompense ont été avisés d’une intrusion dans le système informatique du fournisseur de service d’envoi de courriel Epsilon. Des pirates pourraient pu avoir accès à leurs noms et adresses de courriel.
Les répercussions de l’intrusion survenue récemment dans le système informatique du fournisseur américain de services de marketing à l’aide de base de données Epsilon commencent à se faire ressentir au Québec.
Depuis quelques jours, des internautes reçoivent des courriels de la part de détaillants et de gestionnaires de programmes de récompense qui font état d’une intrusion dans le système informatique de leur fournisseur de service d’envoi de courriers électroniques.
Ces internautes ont généralement fourni leur adresse de courriel à ces détaillants et gestionnaires de programmes afin de recevoir des infolettres ou des mises à jour de leurs soldes de points.
Par exemple, le programme de récompense Air Miles, qui permet d’amasser des points échangeables contre des billets d’avion, a envoyé un avis à ces abonnés.
« Le Programme de récompense Air Miles a été avisé par notre fournisseur de service de messagerie qu’il a été victime d’un accès non autorisé à leur plate-forme de courrier électronique, qui est le système utilisé pour envoyer des courriels Air Miles », indique le message.
« On nous a assuré que les seuls renseignements qui peuvent avoir été exposés sont le prénom, le nom de famille et l’adresse de courriel de certains de nos adhérents. Les détails au sujet de votre compte ne sont pas stockés dans ce système et n’étaient pas à risque. Veuillez noter qu’il est possible que vous receviez des pourriels suite à ceci. »
Le gestionnaire du programme de récompenses formule ensuite à l’abonné une série de recommandations d’usage à propos du comportement à adopter face à un pourriel qui pourrait ressembler à un message envoyé par l’entreprise. Par exemple, on recommande à l’abonné de ne pas cliquer sur des liens dans un tel message, de ne pas ouvrir de fichier joint, de ne pas donner son numéro de membre ou son numéro d’identification personnel, de ne pas répondre à un message indiquant qu’un compte a été suspendu ou fermé, etc.
« Nous regrettons que ceci ait eu lieu et nous nous excusons de tout inconvénient que cela pourrait vous causer. Nous prenons votre vie privée très au sérieux et nous allons continuer de travailler avec diligence pour protéger vos renseignements personnels », indique Air Miles.
Soulignons qu’Air Miles a ajouté à sa page d’accueil un avertissement, écrit en rouge, qui invite l’internaute à prendre connaissance du message transmis à ses abonnés.
Un lecteur de Direction informatique a indiqué qu’il avait reçu au cours des derniers jours des messages similaires de la part de l’éditeur d’un magazine en ligne et des gestionnaires du programme de récompense du détaillant de produits électroniques Best Buy Canada.
Dans son site web, Best Buy Canada publie le message qui a été envoyé à ses abonnés.
Selon un article publié par le quotidien Vancouver Sun, les clients d’Epsilon qui ont été visés par cette intrusion incluent notamment trois grandes banques américaines, le fournisseur de services de crédit American Express et le voyagiste Disney Vacations.
Discrétion
Sur le site de Epsilon, un communiqué de presse http://www.epsilon.com/News%20&%20Events/Press_Releases_2011/Epsilon_Notifies_Clients_of_Unauthorized_Entry_into_Email_System/p1057-l3 laconique qui a été publié le 1er avril indique qu’un « incident » a été détecté le 30 mars dans le système de courriel de l’entreprise. Lors d’une « entrée non autorisée » un sous-ensemble de données de consommateurs de ses clients aurait été obtenu par des malfaiteurs.
« L’information obtenue était limitée aux adresses de courriel et/où aux noms des clients seulement », indique Epsilon. « Une évaluation rigoureuse a permis de déterminer qu’aucune autre information associée à ces noms n’avait été mise à risque. »
Le 4 avril, Epsilon a précisé qu’approximativement deux pour cent de l’ensemble des clients à qui l’entreprise fournit des services d’envoi de courriel auraient été touchés par l’intrusion. En considérant le nombre d’adresses de courriel de consommateurs que chaque client peut détenir, des dizaines de milliers d’internautes pourraient ainsi avoir été touchés par l’incident.
Soulignons que le lien menant au communiqué d’Epsilon est contenu dans un petit menu dédié aux communiqués de presse sur la page d’accueil. Le grand bandeau consacré aux nouveautés dans l’entreprise, qui est affiché au milieu de la page d’accueil, ne fait pas mention de l’incident.
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
