Dans la soirée du 4 avril, une cliente avec laquelle La Liberté s’est entretenue – appelons-la Rachel pour protéger son identité – a reçu un courriel de la part du Groupe Nordik, spécialisée dans le développement de Spas en nature, domiciliée à Gatineau, au Québec. L’entreprise possède Thermëa au Manitoba.

« Nous vous informons par la présente d’un évènement qui s’est produit sur notre plateforme de chèques-cadeaux et qui pourrait avoir entraîné un accès à vos renseignements personnels par un tiers non autorisé, entre le 4 novembre 2022 et le 27 février 2023 », lit-on dans l’avis d’incident de confidentialité, signé par Alexandre Cantin, directeur des opérations du Groupe. 

Rachel, déconcertée, ne savait pas comment réagir. D’autant plus que l’alerte du Groupe Nordik indiquait qu’il est possible que les renseignements personnels suivants aient été affectés : « votre nom complet, votre numéro de téléphone, votre adresse postale, votre adresse courriel et les quatre derniers chiffres de votre carte de crédit ».

« Je suis un peu inquiète parce que le courriel reste vague. Ils parlent de tierce personne, de novembre à février et de mesures prises, mais sans plus expliquer. Je ne trouve pas le message rassurant et je ne saurais pas quoi faire, là, tout de suite », soutient-elle.   

La cliente s’en doutait un peu, comme elle commençait à recevoir, depuis quelques semaines, des messages indésirables sur son numéro de cellulaire. Ce matin-là, elle reçoit carrément un message sur WhatsApp. Le message, rédigé en anglais, l’invitait à rejoindre un groupe d’investissement en désignant un lien sur lequel il faut cliquer… pour gagner notamment 1 000 $ US. L’indicatif du numéro utilisé pour l’hameçonnage est de l’Afrique du Sud. 

« Je trouve la coïncidence étrange. Je ne reçois jamais de messages d’inconnus sur WhatsApp », souligne Rachel. 

« C’est notre fournisseur de transactions qui s’en est rendu compte »

Contactée par téléphone, pour savoir comment des fraudeurs ont pu pendant des mois naviguer sur la plateforme chèques-cadeaux sans que le Groupe ne se rende compte, Marianne Trottier, gestionnaire du développement organisationnel, a précisé que c’est leur fournisseur de transactions qui avait remarqué une activité suspecte fin février, avant de les avertir. 

Le groupe a mis un peu plus d’un mois pour informer ses clients sur la fuite de leurs données personnelles. Marianne Trottier explique, sur ce point, qu’ils ont commencé par fermer le système et engager une entreprise de cybersécurité pour enquêter sur l’incident. 

« Nous attendions les résultats des investigations et nous les avons obtenus il y a quelques jours seulement. Nous avons ensuite envoyé des courriels de façon individuelle à nos clients, informant chacun suivant la manière avec laquelle il a été atteint », assure-t-elle, sans vouloir donner plus de détails. 

Dans une déclaration rédigée pour les médias, le directeur des opérations du Groupe, Alexandre Cantin, affirme que « les mesures de sécurité ont été renforcées sur tous les systèmes du Groupe Nordik, y compris le système de chèques-cadeaux ». 

Marianne Trottier affirme qu’aucune demande de rançon n’a été faite au groupe.

Quels sont les risques? 

Pour Akim Laniel-Lanani, directeur des opérations à la Clinique de cyber-criminologie de l’Université de Montréal, les données qui ont fuité « peuvent être utilisées par les cybercriminels pour personnaliser leurs communications avec les clients de Groupe Nordik et augmenter la probabilité qu’ils ouvrent un courriel malicieux ou qu’ils cliquent sur un lien », afin d’infecter leurs appareils et obtenir des informations personnelles additionnelles.   

C’est justement le cas de la cliente Rachel, qui a cependant eu le bon réflexe de ne pas cliquer sur le lien qui lui avait été envoyé sur son compte WhatsApp. Akim Laniel-Lanani estime que c’est normal que la cliente reçoive ce genre de messages, comme ses « informations ont fort probablement été vendues sur le marché noir à d’autres criminels ».

Néanmoins, si l’indicatif du numéro désigne l’Afrique du Sud, cela ne veut pas dire que l’utilisateur s’y trouve forcément. 

« Nous ne pouvons pas nous fier à un numéro WhatsApp pour déterminer le pays d’origine d’une personne avec qui nous communiquons. Les cybercriminels utilisent des numéros de téléphone virtuels pour la création de leur compte WhatsApp. Il est donc impossible de déterminer avec certitude le pays d’origine du numéro WhatsApp lorsque nous sommes de simples utilisateurs de l’application », explique-t-il.

Regroupement de données

Si l’attaque n’est pas revendiquée par un groupe criminel, seule une cyberenquête « forensique », c’est-à-dire scientifique, peut déterminer le pays d’origine. 

L’expert note également que  « les informations subtilisées au Groupe peuvent également servir à des fraudeurs qui tenteront de dérober les comptes des clients sur d’autres sites ou contacter leurs différents fournisseurs de service et réussir à déjouer les questions d’identifications des concernés ». Pourquoi? Akim Laniel-Lanani relève le fait que certains fournisseurs utilisent toujours les mêmes questions liées aux données personnelles comme méthode de validation du client. 

Les cybercriminels peuvent aussi en faire un autre usage. Il s’agit, selon l’universitaire, de faire un regroupement de données pour avoir un profil plus étoffé avec plus d’informations personnelles du client, à partir des données  déjà subtilisées.  

Cela se fait de deux manières différentes, souligne l’expert. « Soit par le regroupement avec d’autres fuites de données dont les informations sont accessibles également sur le marché noir. Soit par  une recherche en source ouverte, c’est-à-dire les informations rendues disponibles publiquement par les propriétaires légitimes des informations personnelles sur les médias sociaux ou autres sites ». 

Tout en rappelant que « les gens ne se rendent malheureusement pas compte de la multitude d’informations disponible en ligne sur eux », Akim Laniel-Lanani fait remarquer que « les cybercriminels n’hésitent pas à faire quelques recherches sur leur cible pour déterminer la valeur réelle d’une identité fuitée ».