Skip to main content

Cyberincident de 2019 à Capital One

Author Ben Breitbart
Capital One analyse de façon continue les dossiers volés par la personne non autorisée lors du cyberincident de 2019 et a récemment découvert que d’autres titulaires ou demandeurs de carte de crédit canadiens avaient été touchés par l’incident. Le nombre de personnes additionnelles n’est toutefois pas assez important pour qu’il y ait une incidence sur les renseignements que nous avons communiqués initialement. Nous avisons directement les personnes touchées et mettons à leur disposition, gratuitement pendant deux ans, des services de surveillance du crédit et une assurance contre le vol d’identité.

Mis à jour à midi HE, le vendredi 16 avril 2021

Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One.

Nous avons immédiatement éliminé le problème et commencé à travailler avec le FBI (Federal Bureau of Investigation), aux États-Unis. La personne de l’extérieur qui a obtenu les données a été appréhendée par le FBI. Selon le gouvernement des États-Unis, les copies des données ont été récupérées, et il n’a pas été possible de démontrer que la personne a utilisé les renseignements à des fins frauduleuses ou qu’elle les a disséminés.

Nous travaillons de près avec les autorités compétentes du Canada et des États-Unis, y compris le Commissariat à la protection de la vie privée du Canada, pour protéger les personnes touchées. Des services de surveillance du crédit et une assurance contre le vol d’identité seront mis à la disposition des personnes touchées, sans frais.

« Je suis soulagé que l’auteur de l’infraction ait été appréhendé, a déclaré Richard D. Fairbank, fondateur, président et chef de la direction, mais je suis profondément navré de ce qui est arrivé. Je suis sincèrement désolé des préoccupations tout à fait compréhensibles que cet incident peut occasionner aux personnes touchées, et je suis fermement engagé à prendre les bonnes mesures. »

Jusqu’à présent, nos analyses ont révélé que cet incident aurait touché environ 6 millions de personnes au Canada et quelque 100 millions de personnes aux États-Unis. Les renseignements qui sont principalement visés sont ceux que les consommateurs ont fournis au moment de soumettre une demande pour l’une de nos cartes de crédit à partir de 2005 jusqu’au début de 2019. Il s’agit notamment de renseignements personnels que Capital One recueille systématiquement au moment où elle reçoit des demandes de cartes de crédit, y compris les noms, les adresses, les codes postaux, les numéros de téléphone, les adresses courriel, les dates de naissance et les revenus.

Aucun identifiant d’ouverture de session n’a été compromis. En plus des données des demandes de cartes de crédit, la personne a obtenu des portions de données sur des clients, dont les suivantes :

  • Numéros d’assurance sociale d’environ 1 million de titulaires de cartes de crédit du Canada
  • Données sur la situation des clients (p. ex., les cotes de crédit, les limites de crédit, les soldes, l’historique des paiements et les coordonnées)
  • Renseignements personnels, y compris les adresses, les emplois et les employeurs
  • Éléments de données sur des transactions sur un total de 23 jours en 2016, en 2017 et en 2018

Sachez que nous ne communiquerons pas avec qui que ce soit par téléphone ou message texte au sujet de cet incident.

La protection des renseignements de nos demandeurs de cartes et de nos clients est essentielle à notre mission et à notre rôle en tant qu’institution financière. Nous investissons massivement dans la cybersécurité et continuerons de renforcer nos cyberdéfenses.

L’enquête se poursuit et notre analyse pourrait changer. À mesure que nous en apprendrons plus sur la situation, nous mettrons à jour ce site web et vous fournirons de plus amples renseignements.

Veuillez noter que des actions collectives ont été entreprises relativement au cyberincident.

Si vous souhaitez parler à un agent, composez le 1‑833‑727‑1234.

Questions et réponses


1) Qu’est-il arrivé?

Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One.

Nous avons immédiatement éliminé le problème et commencé à travailler avec le FBI (Federal Bureau of Investigation), aux États-Unis. La personne de l’extérieur qui a obtenu les données a été appréhendée par le FBI. Selon le gouvernement des États-Unis, les copies des données ont été récupérées, et il n’a pas été possible de démontrer que la personne a utilisé les renseignements à des fins frauduleuses ou qu’elle les a disséminés.

2) Comment avez-vous découvert l’incident?

Comme de nombreuses entreprises, nous disposons d’un programme d’information responsable qui offre aux chercheurs en sécurité éthique une voie leur permettant de nous signaler directement toute vulnérabilité. La vulnérabilité de la configuration nous a été signalée le 17 juillet 2019 par un chercheur en sécurité de l’externe, dans le cadre de notre programme d’information responsable. C’est alors que nous avons amorcé notre propre enquête interne, qui a mené à la découverte de l’incident, le 19 juillet 2019.

3) Quand l’incident s’est-il produit?‏

Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One. L’incident s’est produit les 22 et 23 mars 2019.

4) Quel type de renseignements a fait l’objet d’un accès non autorisé?

Parmi les données compromises, il y a des données de demandes de cartes de crédit soumises au Canada (p. ex., renseignements personnels, y compris les noms, les adresses, les codes postaux, les numéros de téléphone, les adresses courriel, les dates de naissance et les revenus), des portions de données sur des titulaires de cartes de crédit, y compris des renseignements personnels (p. ex., les adresses, les emplois et les employeurs), les numéros d’assurance sociale d’environ 1 million de Canadiens, des données sur la situation des clients (p. ex., les cotes de crédit, les limites de crédit, les soldes, l’historique des paiements et les coordonnées) et des éléments de données sur des transactions sur un total de 23 jours en 2016, en 2017 et en 2018.

5) Qui est responsable de ce cyberincident?‏

La personne de l’extérieur qui a obtenu les données a été appréhendée par le FBI. Selon le gouvernement des États‑Unis, les copies des données ont été récupérées, et il n’a pas été possible de démontrer que la personne a utilisé les renseignements à des fins frauduleuses ou qu’elle les a disséminés.

6) Que fait Capital One pour me protéger après cet incident? Comment puis-je m’inscrire aux services de surveillance du crédit et d’assurance contre le vol d’identité?

Nous mettons à la disposition de toutes les personnes touchées, gratuitement pendant deux ans, un service de surveillance du crédit et une assurance contre le vol d’identité offerts par TransUnionMD.

Pour vous inscrire à ces services, utilisez le code d’activation fourni dans le courriel ou la lettre que vous avez reçu et suivez les étapes indiquées. Si vous avez des questions concernant la solution myTrueIdentity de TransUnion ou si vous avez de la difficulté à vous y inscrire, veuillez joindre TransUnion au 1‑888‑228‑4939, entre 8 h 30 et 17 h HE du lundi au vendredi (sauf les jours fériés).

‏Nous disposons de systèmes antifraude ultra-perfectionnés qui surveillent constamment nos systèmes et nos cyberdéfenses pour cerner toute activité inhabituelle et protéger nos clients contre tout acte non autorisé. 

Capital One encourage ses clients à s’inscrire au service d’alertes sur le compte pour rester au fait des transactions effectuées sur leurs comptes. Les clients n’ont qu’à ouvrir une session sur les services bancaires en ligne et à régler des alertes par message texte ou courriel. Ils peuvent aussi s’inscrire aux notifications poussées pour obtenir des alertes de transaction en temps réel sur notre application mobile.

L’assurance contre le vol d’identité est offerte par La Compagnie d’assurance AIG du Canada.

7) Comment traitez-vous mes renseignements personnels?‏

En tant qu’entreprise d’envergure mondiale, Capital One traite les données sur les consommateurs avec un degré élevé de rigueur.

Nous agissons de façon transparente avec les consommateurs au moyen de nos renseignements importants sur les données personnelles que nous recueillons et les pratiques que nous utilisons pour traiter et protéger leurs renseignements. Nous recueillons les données des consommateurs pour traiter les demandes de cartes de crédit, et pour gérer les comptes de cartes de crédit et offrir des services aux titulaires de ces comptes.

Pour en savoir plus à ce sujet, veuillez consulter notre politique de confidentialité.

8) Je pense avoir reçu un courriel frauduleux lié au cyberincident contre Capital One. Que dois-je faire?

Les clients doivent faire attention aux courriels hameçons pouvant résulter de cet incident. L’hameçonnage consiste en une tentative d’acquérir des renseignements personnels. L’auteur vise parfois à compromettre des comptes bancaires en ligne en se faisant passer pour une entreprise légitime dans une communication électronique. Ces courriels ne proviennent pas de Capital One. Si vous pensez avoir reçu un courriel frauduleux prétendument envoyé par Capital One, veuillez prendre les mesures suivantes :

  • Ne répondez pas au courriel.
  • Ne cliquez sur aucun lien fourni dans le courriel.
  • ‏Faites suivre le courriel à abuse@capitalone.com.
  • Après avoir transmis le courriel à Capital One pour enquête, supprimez-le.
  • Assurez-vous de surveiller votre compte et téléphonez-nous si vous remarquez toute activité inhabituelle.

Visitez notre page Protection contre la fraude pour en savoir plus sur les façons de repérer les courriels et messages frauduleux.

9) J’ai reçu un appel ou un message texte de Capital One relativement au cyberincident et on m’a demandé des renseignements personnels. Que dois-je faire?

Capital One ne téléphone pas à ses clients ni ne leur envoie des messages textes au sujet du cyberincident, et ne demande pas de renseignements sur des cartes de crédit et des comptes ni de numéros d’assurance sociale par téléphone ou courriel.

Si vous avez fourni des renseignements personnels au téléphone ou en répondant à un message texte frauduleux, veuillez procéder comme suit :

  1. Appelez-nous immédiatement pour signaler que les renseignements sur votre compte pourraient avoir été compromis.
  2. Ouvrez une session des services bancaires en ligne de Capital One et changez votre mot de passe.
  3. Vérifiez si vos comptes présentent des transactions ou activités frauduleuses.

10) Je suis titulaire d’une carte Capital One. Que puis-je faire pour protéger mon compte?

Nous encourageons nos clients à s’inscrire au service d’alertes sur le compte pour rester au fait des transactions effectuées sur leurs comptes. Ils n’ont qu’à ouvrir une session sur les services bancaires en ligne et à régler des alertes par messagerie texte ou courriel. Ils peuvent aussi s’inscrire aux notifications poussées pour obtenir des alertes de transaction en temps réel sur notre application mobile.

Nous recommandons aussi aux clients de surveiller leurs comptes au cas où ils y verraient des transactions inhabituelles ou suspectes. S’ils remarquent toute transaction dont ils ne sont pas au courant, nous les prions de nous téléphoner le plus tôt possible au numéro indiqué au dos de leur carte Capital One ou sur leur relevé de compte.

11) Quelles autres mesures puis-je prendre pour me protéger contre la fraude et le vol d’identité?‏

Vous pouvez commander une copie de votre rapport de solvabilité auprès de l’une des deux agences d’évaluation du crédit du Canada, soit Equifax Canada et TransUnion Canada. Chaque agence d’évaluation du crédit pourrait avoir des renseignements différents sur la façon dont vous avez utilisé le crédit dans le passé.

  • ‏Une fois que vous aurez reçu vos rapports de solvabilité, vérifiez s’ils indiquent des activités suspectes, comme des enquêtes d’entreprises avec lesquelles vous n’avez pas communiqué, des comptes que vous n’avez pas ouverts et des dettes sur vos comptes que vous n’avez pas autorisées.
  • Vérifiez l’exactitude de votre numéro d’assurance sociale, de votre ou de vos adresses, de votre nom (assurez-vous qu’il est complet) et du nom de votre ou de vos employeurs.
  • ‏Informez les agences d’évaluation du crédit de tout renseignement erroné pour qu’elles le corrigent ou le suppriment.

Vous pouvez commander une copie de votre rapport de solvabilité par la poste, par télécopieur ou par téléphone :

  • Faites votre demande par écrit au moyen des formulaires fournis par EquifaxMD et TransUnion
  • Téléphonez aux agences d’évaluation du crédit et suivez les instructions de l’agent :
    • Equifax Canada

      • Tél. : 1‑800‑465‑7166

    • TransUnion Canada
      • Tél. : 1‑800‑663‑9980 (sauf pour les résidents du Québec)

      • Tél. : 1‑877‑713‑3393 (pour les résidents du Québec)       

Pour obtenir plus de renseignements sur la surveillance du crédit et la demande de rapport de solvabilité, veuillez consulter le site web de l’Agence de la consommation en matière financière du Canada.

De plus, vous pouvez demander aux deux agences d’évaluation du crédit du Canada (Equifax et TransUnion) d’ajouter une alerte de fraude à votre dossier de crédit. L’une et l’autre des agences conservent ces alertes pendant six ans.

  • Pour ajouter une alerte de fraude à votre dossier de crédit TransUnion, veuillez remplir ce formulaire, puis soumettre le formulaire rempli et les photocopies de pièces d’identité par la poste ou par télécopieur. Vous pouvez aussi téléphoner à TransUnion au 1‑800‑663‑9980.
  • ‏Pour ajouter une alerte de fraude à votre dossier de crédit Equifax, veuillez appeler Equifax au 1‑800‑465‑7166.