Le plus grand fournisseur de services de tests de laboratoire spécialisés au Canada a déclaré avoir versé à des hackers un montant non divulgué pour qu'ils leur retournent des données personnelles qu'il a volé et qui appartenaient à pas moins de 15 millions de clients.LifeLabs, basée à Toronto, en Ontario, a informé les autorités canadiennes de l'attaque le 1er novembre. La société a déclaré qu'une cyberattaque a frappé des systèmes informatiques qui stockaient des données d'environ 15 millions de clients. Les informations volées comprenaient les noms, adresses, adresses mail, identifiants et mots de passe des clients, numéros de carte de Santé et numéro des tests de laboratoire.
Dans un communiqué, Charles Brown, son chef de direction, a déclaré que l'entreprise a pris plusieurs mesures pour protéger les informations clients parmi lesquelles :
- engager immédiatement les services d'experts en cybersécurité de renommée mondiale pour isoler et sécuriser les systèmes affectés et déterminer la portée de l'attaque ;
- renforcer davantage leurs systèmes pour empêcher de futurs incidents;
- récupérer des données en effectuant un paiement. Charles Brown indique que l'entreprise l'a fait en collaboration avec des experts familiarisés avec les cyberattaques et les négociations avec les cybercriminels ;
- collaborer avec les forces de l'ordre, qui enquêtent actuellement sur la question ;
- offrir à ses clients des services de protection de la cybersécurité, tels que l'assurance contre le vol d'identité et la protection contre la fraude.
« Je tiens à souligner qu'à l'heure actuelle, nos sociétés de cybersécurité ont indiqué que le risque pour nos clients dans le cadre de cette cyberattaque est faible et qu'elles n'ont constaté aucune divulgation publique des données des clients dans le cadre de leurs enquêtes, y compris la surveillance du dark web et d'autres sites en ligne.
« Nous avons corrigé les problèmes du système liés à l'activité criminelle et avons travaillé 24 heures sur 24 pour mettre en place des garanties supplémentaires pour protéger vos informations. Dans un souci de transparence et conformément aux réglementations en matière de confidentialité, nous faisons cette annonce pour informer tous les clients. Il existe des informations concernant environ 15 millions de clients sur les systèmes informatiques qui ont été potentiellement consultés dans cette violation. La grande majorité de ces clients se trouvent en Colombie-Britannique et en Ontario, avec relativement peu de clients dans d'autres endroits. Dans le cas des résultats des tests de laboratoire, nos enquêtes à ce jour sur ces systèmes indiquent qu'il y a 85 000 clients touchés en 2016 ou avant en Ontario; nous travaillerons pour informer ces clients directement. Notre enquête à ce jour indique que toute information sur la carte Santé datait de 2016 ou plus tôt.
« Bien que vous ayez le droit de déposer une plainte auprès des commissaires à la protection de la vie privée, nous les avons déjà informés de cette attaque et ils enquêtent sur la question. Nous avons également informé nos partenaires gouvernementaux.
« Bien que nous ayons pris des mesures au cours des dernières années pour renforcer nos cyberdéfenses, cela nous a rappelé que nous devons rester en tête de la cybercriminalité qui est devenue un problème omniprésent dans le monde dans tous les secteurs.
« Tout client préoccupé par cet incident peut bénéficier d'une année de protection gratuite qui inclut une surveillance du dark web et une assurance contre le vol d'identité ».
Brown n'a pas mentionné combien sa structure a dû débourser pour rentrer à nouveau en possession de ces données.
Selon un avis émis par le Commissariat à l'information et à la protection de la vie privée de l'Ontario et le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique :
« Une attaque de cette ampleur est extrêmement troublante. Je sais que ce sera très pénible pour ceux qui pourraient avoir été touchés. Cela devrait servir de rappel à toutes les institutions, grandes et petites, qui se doivent d'être vigilantes », a déclaré Brian Beamish, commissaire à l'information et à la protection de la vie privée de l'Ontario. « Les cyberattaques augmentent les phénomènes criminels et les auteurs disposent d'outils de plus en plus sophistiqués. Les institutions publiques et les organismes de soins de santé sont en dernier ressort responsables de veiller à ce que les informations personnelles dont elles ont la garde et le contrôle soient sécurisées et protégées à tout moment ».
« Je suis profondément préoccupé par cette question. La violation de renseignements personnels sensibles sur la santé peut être dévastatrice pour les personnes touchées », explique Michael McEvoy, commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. « Nos bureaux indépendants se sont engagés à enquêter de manière approfondie sur cette violation. Nous communiquerons publiquement nos conclusions et recommandations une fois nos travaux terminés ».
Les deux commissaires à l'information et à la protection de la vie privée ont décidé de contacter leurs homologues d'autres juridictions ainsi que les clients concernés.
Source : LifeLabs, déclaration des commissaires à l'information et à la protection de la vie privée
Et vous ?
Que pensez-vous de la décision de payer le hacker pour récupérer les données ? Cela est-il susceptible d'encourager d'autres situations de cette envergure ou cela constitue la solution la moins coûteuse à court et moyen termes ? Ce genre d'incident vient-il illustrer la nécessité pour les organisations / entreprises / institutions détenant des données sensibles comme les données médicales d'être à la pointe de la sécurité informatique ?Voir aussi :
Des régulateurs vont lancer une enquête sur l'accord entre Google et Ascension, qui a donné accès aux informations médicales de dizaines de millions d'individus à Google 
(mais pour l'instant je ne me suis pas connecté donc je n'ai pas la réponse)