NPC Alertes de sécurité

English

Répercussions importantes de la violation de données de Capital One sur les petites entreprises

Aug 7, 2019



Quelle est la problématique?

Comme vous le savez, la violation de données de Capital One fait les manchettes. Toutefois, les répercussions massives de cette violation sur le crédit personnel ont éclipsé plusieurs problèmes importants pour les professionnels de petites entreprises.

Les entreprises qui ont fait une demande de crédit auprès de Capital One entre 2005 et le début de 2019 doivent savoir que les renseignements fournis dans la demande sont peut-être désormais entre les mains de cybercriminels et peuvent être utilisés à des fins de vol d'identité de l'entreprise. Les demandes de crédit sont particulièrement prisées par les cybercriminels, car elles fournissent un ensemble complet de renseignements sur le crédit et le consommateur. Les auteurs de menace utilisent ces renseignements exhaustifs pour générer de façon plus efficace une marge de crédit à votre nom ou à celui de votre entreprise, pour créer de faux comptes à des fins de blanchiment d'argent ou pour élaborer de meilleures attaques de type fraude du président.

La fraude du président vise vous, votre entreprise ou les entreprises avec lesquelles vous faites affaire. En accédant à votre ordinateur ou à votre boÎte de courriels ou en utilisant des données volées lors de violations comme celle de Capital One, les cybercriminels recueillent suffisamment de renseignements pour commettre des actes illégaux en vue de voler votre argent ou celui des gens avec lesquels vous faites affaire. En usurpant votre identité, ils redirigent les paiements qui vous sont dus ou font des retraits illégaux dans vos comptes, par exemple. La fraude du président est l'une des formes de cyberattaque les plus coûteuses et cause énormément de dommages aux petites entreprises. Selon l'Internet Crime Complaint Center (IC3) du FBI, les fraudes du président représentent environ 44 % de toutes les pertes financières liées à la cybercriminalité et sont à elles seules, en Amérique du Nord seulement, responsables d'un vol de milliards de dollars chaque année.

Mais ce n'est pas tout. Les propriétaires d'entreprise devraient également se préoccuper d'un autre aspect de cette violation, c'est-à-dire la période pendant laquelle les criminels peuvent utiliser les renseignements volés. Bien que les données perdent en valeur et en efficacité avec le temps, les cybercriminels peuvent attendre des mois, voire des années, avant de les utiliser pour la première fois. Les victimes sont alors moins vigilantes et ratent les indicateurs d'une situation inhabituelle ou d'un vol.


Que s'est-il passé?

Capital One a publié les détails suivants au sujet de la violation de données : six millions de clients canadiens et 100 millions de clients américains sont touchés. Au total, un million de numéros d'assurance sociale, 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire figurent parmi les données les plus sensibles qui ont été compromises. De plus, le pirate a eu accès aux cotes de crédit, aux limites de crédit et aux soldes des clients. Les autres renseignements compromis comprennent le nom, le numéro de téléphone, l'adresse électronique, la date de naissance et le revenu.

Les données obtenues provenaient principalement de demandes de crédit de consommateurs et d'entreprises pour les cartes et les produits de crédit Capital One qui ont été soumises entre 2005 et 2019. Les produits de crédit Capital One comprennent les cartes de crédit Costco, La Baie et SaksFirst, ainsi que l'application Credit Keeper qui permet aux clients de Capital One d'accéder à leur cote de crédit TransUnion. Capital One n'a pas confirmé si ces clients sont touchés par cette violation, mais précise qu'elle avisera les clients touchés et leur offrira gratuitement des services de surveillance du crédit et d'assurance contre le vol d'identité.

Capital One a mentionné que les secteurs des particuliers, des banques commerciales et du financement automobile au Royaume-Uni ne sont pas touchés et que les numéros de compte de carte de crédit et les identifiants de connexion ne sont pas compromis.


Que dois-je faire?

Si vous avez fait une demande de crédit auprès de Capital One entre 2005 et le début de 2019, qu'elle ait été acceptée ou non, ou si vous êtes titulaire d'une carte de crédit Capital One Small Business, demeurez vigilant. Changez le mot de passe de tous vos comptes et n'utilisez pas le même mot de passe pour plusieurs comptes. Surveillez attentivement vos comptes et recherchez les indicateurs des établissements de crédit, des banques, etc., en ce qui a trait aux nouvelles activités de crédit à votre nom ou à celui de votre petite entreprise. Méfiez-vous des courriels d'hameçonnage plus détaillés et précis. Soyez attentif aux changements dans les habitudes de paiement de vos fournisseurs et soyez sur vos gardes lorsqu'on vous demande de changer de compte ou de modifier vos relations d'affaires avec les clients. En cas de doute, parlez à quelqu'un, établissez des politiques d'authentification de personne à personne à deux facteurs, mettez en place des processus de vérification des adresses électroniques et de leur source, et vérifiez les demandes de modification des habitudes de paiement auprès de personnes-ressources vérifiables.

Sécurisez et mettez à jour vos ordinateurs et vos logiciels, car les attaques peuvent être précédées ou accompagnées d'une attaque virale ou du vol d'un appareil. Chiffrez vos fichiers, de préférence à l'aide du cryptage fichier par fichier, et offrez une formation sur l'hameçonnage aux dirigeants et au personnel pour les sensibiliser au phénomène.

Appliquez les protocoles recommandés par Capital One. En plus d'offrir des services de surveillance du crédit et d'assurance contre le vol d'identité aux personnes touchées, Capital One encourage les clients à activer les alertes par message texte ou par courriel pour toutes les activités liées à leur compte et à surveiller de près leurs comptes de carte de crédit pour détecter les activités suspectes.

Malheureusement, les agences canadiennes de surveillance du crédit ne permettent pas aux consommateurs ou aux entreprises du Canada d'interdire l'accès au rapport de solvabilité, comme c'est le cas aux états-Unis et dans d'autres pays. Comme la plupart des émetteurs de carte de crédit vérifieront le dossier de crédit du demandeur auprès d'une agence de surveillance du crédit avant l'émission d'une carte de crédit, l'interdiction de l'accès au rapport de solvabilité bloque une telle vérification et l'accès au crédit. Dans certains cas où cela est justifié, les Canadiens peuvent ajouter une alerte de fraude à leur dossier de crédit qui informe les fournisseurs de crédit de communiquer avec eux avant d'approuver la demande. Toutefois, il incombe à l'émetteur de carte de crédit de décider s'il prendra des mesures ou s'il communiquera avec le consommateur avant d'autoriser le crédit lorsqu'il y a une alerte au dossier.


Sources:

Publication Capital One Canada - Facts 2019

Publication CBC - Everything Canadians need to know about the Capital One data breach

Publication TechTarget SearchSecurity - FBI report says BEC attacks are increasing, evolving

Publication IC3 - 2018 IC3 Annual Report