Cyberattaque contre Viamonde: beaucoup de données personnelles ont été volées

Les auteurs de la cyberattaque du 17 octobre, qui a perturbé pendant deux semaines les systèmes informatiques du Conseil scolaire Viamonde, ont volé des renseignements personnels des membres de toute la communauté.

«Les personnes concernées par l’incident peuvent être des membres du personnel (actuels et passés), des membres élus du conseil, des élèves, ainsi que leurs parents», indique la direction du Conseil dans un long communiqué diffusé ce 14 novembre.

Les membres du personnel de plusieurs organisations partenaires entre 2002 et 2024 sont également touchés: Centre d’excellence SAP, Service de transport Francobus, Association des conseils scolaires des écoles publiques de l’Ontario, Centre d’excellence en approvisionnement FRANCOachat. «Les employés à temps plein et ceux à contrat de courte durée sont visés», précise-t-on.

Bref, la cyberattaque a fait beaucoup de dégâts.

Ces employés, contractuels et partenaires sont impactés par «l’exposition de leur numéro d’assurance sociale, leur date de naissance, leur genre, leur adresse postale, leur numéro de téléphone, leur adresse électronique, leur numéro d’employé»…

Les informations volées portent sur «le salaire et la rémunération, des informations sur les congés, les dossiers de formation, les informations de détachement en prêt de service, des données d’assiduité, la date de départ à la retraite»…

Surveillance du crédit

En réponse à l’incident, le Conseil fournira gratuitement à ses employés un service de surveillance du crédit avec TransUnion d’une durée de deux ans.

Ce service permet de surveiller les signes éventuels de fraude identitaire, de manière à ce que les adhérents puissent réagir en cas de tentative d’usurpation d’identité.

Le Conseil enverra des informations complémentaires sur ce service par courrier à tous les anciens membres du personnel ayant été employés entre 2019 et 2024, et bien sûr aux membres actuels du personnel.

Les autres personnes éligibles (les membres du personnel ayant œuvré au Conseil depuis 2002 mais qui ont quitté avant 2019) et qui souhaitent bénéficier du service de surveillance de crédit sont invitées à contacter le Conseil à l’adresse courriel [email protected], en fournissant leur prénom, nom, dernier bureau ou dernière école du Conseil où ils ont travaillé, période d’emploi, poste occupé.

Élèves et parents

La cyberattaque a aussi touché des élèves inscrits dans les écoles élémentaires et secondaires du Conseil scolaire Viamonde.

«Tous les élèves fréquentant actuellement une école du Conseil sont probablement concernés par l’exposition des renseignements suivants: nom, numéro d’immatriculation scolaire de l’Ontario, date de naissance, genre, nom de l’école, classe, nom du titulaire»…

Les élèves inscrits dans neuf écoles durant certaines années sont également visés: Collège français (2023-2024); Étienne-Brûlé (2023-2024); Lamothe-Cadillac (2023-2024); LaMarsh (2023-2024); Académie de la Pinède (2023-2024); Les Rapides (2023-2024); Nouvel-Horizon (2022-2023, 2023-2024); Patricia-Picknell (2023-2024); Roméo-Dallaire (2020-2021, 2022-2023, 2023-2024).

Guichet Viamonde/SchoolDay

Certains renseignements fournis par les clients ayant effectué un achat ou plus sur le Guichet Viamonde/SchoolDay entre 2017 et 2023, ont probablement été exposés. Ces renseignements incluent le nom et le numéro de l’élève, le nom de la personne ayant effectué la transaction, le type et le montant de l’achat.

Mais «aucun compte bancaire et aucune carte de crédit n’ont été compromis».

Et «rien ne porte à croire que les adresses à domicile des élèves et de leurs parents, tutrices et tuteurs ont été exposées».

«Il est déplorable que nos institutions publiques soient si fréquemment ciblées par des cybercriminels, exposant ainsi nos renseignements personnels de manière répétée», soulignent les responsables de Viamonde. «Cela souligne la nécessité d’une vigilance constante pour assurer notre protection.»

On recommande de s’inscrire au service de surveillance de crédit, de rester vigilants face aux tentatives de phishing et autres communications suspectes, et de vérifier régulièrement nos relevés de compte afin de repérer toute transaction non autorisée.

L’enquête se poursuit

L’incident a été rapporté au Service de police de Toronto et au Commissaire à l’information et à la protection de la vie privée de l’Ontario.

«Notre enquête se poursuit et nous pourrions devoir notifier d’autres personnes ou envoyer des lettres de notification pour traiter des circonstances spécifiques», indique la direction de Viamonde.

«Nous nous engageons à renforcer notre programme de cybersécurité pour mieux nous protéger contre de futurs incidents.»

Le site csviamonde.ca/cyberincident contient une Foire aux questions. On peut aussi écrire à [email protected] pour obtenir des informations supplémentaires.