Vol de données personnelles chez Bell

Si vous habitez au Québec ou en Ontario, et que la nouvelle du vol de données personnelles concernant 3,5 millions de clients de la société de télécommunication Bell vous a échappée, ce n'est pas très surprenant. En effet, les médias canadiens ont été plutôt circonspects sur cet événement qui me semble loin d'être anodin.

Cet incident majeur a été rendu public par Bell le 12 février dernier. L'entreprise annonçait dans un communiqué de presse le vol de fichiers informatiques par un suspect arrêté quelques heures auparavant par la police de Montréal. Le communiqué de presse minimisait considérablement la portée de l'incident en insistant sur le fait que les données concernées ne contenaient pas de renseignements bancaires, et que l'ensemble des données avaient été récupérées. Les médias semblent avoir accepté cette version de manière assez peu critique. Prenez par exemple La Presse Affaires, qui a titré: "Bell récupère les données volées de 3,4 millions de clients", plutôt que de mettre de l'avant le vol qui avait précédé l'arrestation du suspect.

Il y aurait pourtant un peu plus à dire sur cette affaire que la version soigneusement édulcorée relayée par la presse:

• Comment un tel vol a-t-il été rendu possible, et quel stratagème a été employé par le suspect? S'agissait-il par exemple d'un exploit technique ou bénéficiait-il au contraire de complicités internes?
  
• Si Bell, qui dispose des systèmes et des procédures de sécurité informatique les plus perfectionnés au Canada n'est pas à l'abri d'un vol aussi massif de données, qu'est ce que cela nous dit sur la protection dont bénéficient les informations personnelles que conservent de plus petites entreprises ne disposant pas de budgets et de compétences informatiques aussi importants?
• Les données qui ont été récupérées étant numériques, et donc duplicables à l'infini, rien ne permet d'affirmer qu'elles n'ont pas été copiées et diffusées par le suspect, du moins tant qu'une expertise complète de son matériel informatique n'aura pas été réalisée. Il semble donc un peu tôt pour écarter toute possibilité de fraude future.
• Même si les données volées ne permettent pas en tant que telles de commettre des fraudes financières, elles pourraient être utilisées par des fraudeurs pour mieux cibler leurs victimes. Ces derniers pourraient par exemple se faire passer pour des employés de Bell et sous prétexte de revoir leurs services obtenir des informations beaucoup plus sensibles. Le risque ne réside donc pas dans les données volées, mais dans la capacité que ces dernières offrent à des fraudeurs potentiels d'établir une relation de confiance avec leurs victimes.

Il n'y a finalement que la Commissaire à la protection de la vie privée du Canada qui ait demandé à Bell de fournir des explications plus détaillées, notamment sur les raisons du délai de plusieurs semaines qui s'est écoulé entre la découverte par Bell du vol et sa révélation au public.