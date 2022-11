Andrew Kopp avait des problèmes avec les capteurs de porte de son nouveau système de sécurité domestique Brinks.

L’homme d’Edmonton – architecte de systèmes pour une entreprise de télécommunications et passionné de gadgets autoproclamé – avait ajouté un peu de sécurité supplémentaire à la maison lorsqu’en octobre 2021, il a signé un contrat de 36 mois pour un système Brinks.

Mais les choses ont pris une tournure étrange lorsqu’il a appelé le support technique pour dépanner ces capteurs de porte bancaux.

Il a dit à Go Public qu’il s’était connecté au portail en ligne de son système “et c’est à ce moment-là que j’ai remarqué que j’avais une liste déroulante [menu] pour sélectionner tout un tas d’adresses.”

Il y avait sur son écran environ 100 adresses d’autres clients.

Chaque clic de souris révélait davantage d’informations sur quelqu’un d’autre : nom, adresse, numéro de téléphone, contacts d’urgence et historique de paiement du compte.

Kopp pouvait même voir des éléments spécifiques sur les systèmes de sécurité domestique d’autres clients, tels que les détails de l’équipement de sécurité et l’emplacement des zones de sécurité au sein de leur domicile.

“Ma réaction est, [this is] genre de fou. Je n’ai vraiment pas l’impression qu’ils protègent les informations des autres », a-t-il déclaré.

“Je voulais savoir si mes données étaient compromises de la même manière.”

Cela reste flou. Bien que Kopp n’ait pas vu ses propres détails à l’écran, Brinks n’a informé aucun des clients touchés par la fuite, qui n’a pas été réparée pendant des mois.

Brinks dit qu’aucune donnée financière ou bancaire n’a été incluse dans la fuite.

L’experte en confidentialité Ann Cavoukian dit que la mauvaise réponse de l’entreprise au problème la fait “grincer des dents”. (Soumis par Ann Cavoukian)

Infraction “très grave”

Mais un expert a déclaré qu’il s’agissait toujours d’une “violation très grave de la vie privée”.

“Bien sûr, c’est aussi une atteinte à la sécurité”, a déclaré Ann Cavoukian, ancienne commissaire à la protection de la vie privée de l’Ontario pendant trois mandats.

“Cela permet aux gens de pénétrer par effraction dans votre maison et dans vos informations en ligne. Le vol d’identité pourrait en résulter.”

Kopp a supposé que la brèche serait rapidement réparée après l’avoir découverte et signalée au début de 2022. En avril, il a été surpris de découvrir qu’il avait toujours accès au même menu déroulant avec les mêmes informations client.

Il dit qu’il l’a signalé à nouveau, a attendu quelques mois de plus et a de nouveau appelé Brinks début juillet.

Kopp a obtenu un enregistrement de cet appel. Dans ce document, il dit clairement que le problème doit être aggravé : “Je vais avoir besoin d’un responsable”, a-t-il déclaré à l’agent en expliquant qu’il était en mesure d’accéder aux données des autres.

“C’est un énorme problème d’information client, c’est pourquoi je dois parler à un responsable.”

On lui a promis qu’un responsable le rappellerait, mais il n’a reçu aucune réponse jusqu’à ce que Go Public commence à enquêter.

“Personne ne m’a contacté au sujet d’une violation de données”, dit-il.

Cela fait « grincer des dents » à Cavoukian.

“Cela me met tellement en colère que ce type d’infraction ne soit pas pris au sérieux, car il devrait être immédiatement réagi”, a-t-elle déclaré.

Brinks a refusé une demande d’interview de Go Public. Dans un communiqué, la société a déclaré que l’agent de l’appel de juillet, qui travaillait pour un tiers, “n’a pas suivi les protocoles et procédures appropriés” lorsqu’un client demande qu’un problème soit signalé.

“Nous avons depuis renforcé nos protocoles et nos formations avec le représentant en question pour assurer le respect de nos procédures d’escalade.”

La professeure Teresa Scassa de l’Université d’Ottawa affirme que les entreprises sont tenues de signaler ces fuites au commissaire à la protection de la vie privée du Canada. (Soumis par Teresa Scassa)

On ne sait pas ce qui s’est passé après l’un des appels précédents de Kopp.

Brinks n’a fourni aucune explication sur la cause du problème, bien qu’il ait indiqué qu’il s’agissait d’une erreur et non du résultat d’un piratage.

La société l’a qualifié de “problème isolé” qui a divulgué les données d’un “petit sous-ensemble” de ses clients. “Aucune information bancaire ou financière n’était visible”, a-t-il précisé.

Brinks n’a pas répondu à la question de Go Public sur le nombre de ses clients canadiens touchés.

La société a déclaré que les données sensibles étaient visibles par “moins de 0,01 % de la clientèle totale de Brinks”. Brink compte quelque 900 000 abonnés à la sécurité résidentielle et commerciale selon un communiqué de presse d’entreprise de 2021, ce qui équivaut à environ 90 clients.

Carolyn Dunn de Go Public appelle l’un des autres clients de Brinks dont les informations ont été divulguées. Aucun d’entre eux n’avait été informé de la fuite par l’entreprise. (Colin Hall/CBC)

Obligé de déclarer

Ce n’est que près de deux mois et demi plus tard, à la mi-septembre, que Kopp a vu que cela semblait être réparé. Il estime avoir pu accéder aux données d’autres clients pendant sept à dix mois.

Mais Teresa Scassa, titulaire de la Chaire de recherche du Canada sur le droit et la politique de l’information à l’Université d’Ottawa, affirme que cela ne fermera peut-être pas le livre sur les obligations de Brinks.

“Si l’entreprise est consciente qu’il y a eu une violation de la sécurité des données, elle est obligée de le signaler au commissaire à la protection de la vie privée du Canada”, a-t-elle déclaré.

Brinks n’a pas répondu à la question de Go Public s’il avait avisé le commissaire à la protection de la vie privée. Mais Kopp l’a fait.

Sa plainte officielle fait maintenant son chemin dans le système. Il a également communiqué avec le Bureau du commissaire à l’information et à la protection de la vie privée de l’Alberta.

Le bureau de l’Alberta a déclaré à Go Public qu’il contactera Brinks “pour leur rappeler leur obligation de se présenter à notre bureau et d’informer les personnes concernées”.

Scassa indique que le signalement au commissaire fédéral à la protection de la vie privée peut également déclencher l’obligation d’informer les clients concernés. Elle dit que les entreprises ayant des violations d’informations offrent parfois des soutiens tels que des services de surveillance du crédit pour atténuer le risque pour leurs clients et aider à se défendre contre les recours collectifs auxquels ils pourraient être confrontés.

Aimee Scott d’Okanagan Falls, en Colombie-Britannique, dit qu’elle a été énervée d’apprendre la fuite. (Tom Popyk/CBC)

“Une entreprise ignorerait quelque chose comme ça à ses risques et périls. Il n’y a pas de” ça ne s’est pas produit “si c’était le cas. Si c’était le cas, vous devez sortir devant et le réparer.”

Brinks a déclaré que son propre examen avec des avocats internes et externes concluait : “La nature des données visibles ne nécessitait pas de notification au client.”

Kopp a décidé qu’il n’était pas “approprié” pour lui de contacter ces clients. Alors Go Public a passé les appels, contactant plusieurs personnes qui s’étaient présentées sur le portail de Kopp.

Personne n’avait été informé par Brinks que quelque chose s’était passé avec leurs données, y compris Aimee Scott d’Okanagan Falls, en Colombie-Britannique.

“Ce qui m’a dérangé, ou je suppose que c’était un peu énervant, c’est le fait que je n’ai jamais entendu parler de Brinks à ce sujet”, a déclaré Scott.

Scott dit qu’elle est capable de comprendre un problème technique, mais elle n’est pas convaincue que suffisamment a été fait.

“C’est déconcertant. Je veux dire, des choses arrivent. Mais je veux dire, tendez la main et faites savoir aux gens que c’est arrivé et admettez-le.”

Quant à Kopp, il se demande s’il obtient vraiment ce pour quoi il s’est engagé.

“Cela m’inquiète parce que j’ai payé pour une société de sécurité parce que je voulais la sécurité, et ils ne peuvent pas protéger mes informations personnelles, sans parler de tout le reste”, a-t-il déclaré.

