Fuite de données importante au Petro-Canada: Une action collective a été déposée au Québec
Il n'y a pas que le prix de l'essence qui fait jaser quand on parle de carburant ces derniers jours dans la province. Ce 7 juillet 2023, la firme LPC Avocats a déposé une action collective nationale à la Cour supérieure du Québec contre Petro-Canada à cause d'une fuite de données survenue le 21 juin dernier visant la clientèle canadienne. La durée de l'incident est imprécise, il est donc possible qu'elle ait eu lieu pendant plusieurs jours au pays. La gestion de l'entreprise est alors pointée du doigt par les plaignant.es qui demandent des dédommagements.
D'après les documents présentés au tribunal, cette action collective concerne « toutes les personnes au Canada dont les renseignements personnels ou financiers détenus par Petro-Canada ont été compromis lors de l’incident de cybersécurité survenu le ou vers le 21 juin 2023 ou après, ou qui ont reçu une notification de Petro-Canada les informant de cet incident de cybersécurité. »
Qu'est-ce qui est arrivé le 21 juin au Petro-Canada?
C'est le 26 juin 2023 que Petro-Canada a indiqué à sa clientèle avoir fait l'objet d'un incident de cybersécurité sur Twitter.
« Petro-Canada est une entreprise de Suncor et ensemble, nous répondons à un incident de cybersécurité. Bien que nos établissements soient ouverts, vous pouvez subir des interruptions de certains services. À l’heure actuelle, certains de nos établissements n’acceptent que l’argent comptant et la connexion à notre application et aux Petro-Points n’est pas disponible. Les lave-autos pourraient également ne pas être disponibles à certains emplacements », ont-ils prévenu.
Puis, le 29 juin, il a été déclaré dans la mise à jour concernant cet incident que les établissements de Petro-Canada étaient rouverts et qu'il était de nouveau possible d'opérer des transactions de débit et de crédit dans la plupart des emplacements, en plus des paiements en argent comptant. Par contre, l'application, le programme Petro-Points ainsi que certains lave-autos restaient indisponibles.
Le 6 juillet, donc plus d'une dizaine de jours après l'incident, l'entreprise a enfin dévoilé plus d'informations concernant cette fuite de données.
« Selon notre enquête à ce jour, nous avons déterminé qu'une partie non autorisée avait accédé à notre réseau TI le 21 juin 2023 ou autour de cette date et que notre programme Petro-Points avait été touché. La partie non autorisée a obtenu l'information sur les coordonnées de base des membres. Par mesure de précaution, nous avons désactivé nos systèmes Petro-Points, incluant notre application et notre site Web et nous menons une surveillance de sécurité accrue », a annoncé la firme sur le même réseau social.
L'entreprise a ensuite révélé que la fonction d'échange de points avait été désactivée, mais que le solde de la clientèle est resté intact. En guise de compensation, un crédit sera offert pour les points accumulés lors de l'interruption.
Notons que lorsqu'on parle de coordonnées de base des membres, il est spécifié qu'il s'agit du nom complet, du courriel, de l'adresse courriel ou postale, ou encore de la date de naissance.
Il est d'ailleurs recommandé d'être particulièrement vigilant.e aux courriels ou autres messages inhabituels que tu pourrais recevoir ces prochains temps si tu es concerné.e. Tu devrais confirmer toute demande de jumelage, de téléchargement ou d'invitation à un appel.
« La sécurité de vos renseignements personnels est importante pour nous. Nous regrettons que cet incident se soit produit et nous vous remercions de votre patience et votre compréhension tandis que nous cherchons à résoudre la situation », a ajouté l'entreprise.
Notons qu'à cause de ces interruptions, plusieurs succursales n'acceptaient que l'argent comptant.
Qui est concerné par l'action collective?
Il est indiqué dans le document fourni à Narcity que cette action collective s'adresse à « toutes les personnes au Canada dont les renseignements personnels ou financiers détenus par Petro-Canada ont été compromis lors de "l’incident de cybersécurité" survenu le ou vers le 21 juin 2023 ou après, ou qui ont reçu une notification de Petro-Canada les informant de cet incident de cybersécurité. »
La clientèle concernée doit aussi avoir un compte Petro-Points avec une adresse courriel valide, une carte de paiement RBC liée ou avoir effectué un échange d'argent récemment.
Qu'est-ce que réclame l'action collective?
L'action collective réclame des dommages-intérêts pour troubles et désagrément pour la clientèle.
« Les défendeurs n'ont offert aucune surveillance de crédit ni aucun montant d'assurance politique de remboursement aux membres du groupe. [...] Les défendeurs ont été négligents et ont commis des fautes à cet égard puisqu'ils n'ont pas activé les services TransUnion et Equifax pour leurs clients canadiens, et de nombreux membres du groupe ne sont même pas au courant de la violation de données.
« En choisissant de ne pas activer automatiquement la surveillance du crédit des deux agences de crédit et en ne publiant pas les alertes de fraude appropriées pour tous les membres du groupe (ce qui aurait pu être fait rapidement par courriel, SMS ou notification sur leurs applications pour téléphones intelligents), les défendeurs ont clairement choisi d'économiser de l'argent à la place d'aider à protéger les membres du groupe. En effet, il existe des frais payants pour TransUnion et Equifax Canada pour activer les services de surveillance du crédit et/ou pour publier une alerte à la fraude, mais les défendeurs ne l'offrent pas et n'ont pas payé pour activer automatiquement ces services », est-il indiqué dans l'action collective.
Le montant exact alloué sera déterminé par la suite, si cette action collective reçoit l'autorisation de la Cour pour se rendre au tribunal et entendre le fond du litige.
Quelles sont les prochaines étapes?
Cette fuite de données est nationale, elle concerne donc plusieurs provinces.
