Publicité
L'article provient de TVA Nouvelles
Affaires

Fuite massive de données chez un prêteur à taux élevé: 150 000 Québécois exposés, aucun avertissement donné

Gestion Kronos et son propriétaire ont plaidé coupable en février dernier. Ils ont soutiré illégalement de l’argent aux emprunteurs.
Gestion Kronos et son propriétaire ont plaidé coupable en février dernier. Ils ont soutiré illégalement de l’argent aux emprunteurs. MONTAGE LE JOURNAL
Partager
Photo portrait de Julien McEvoy

Julien McEvoy

2025-05-01T04:00:00Z
Partager

Un prêteur privé québécois à des taux exorbitants a été victime d’une fuite massive de données en mai 2024 sans en informer ni les autorités ni les 150 000 personnes touchées. 

• À lire aussi: Fausses signatures: Desjardins encore dans l’embarras

• À lire aussi: Protection des informations personnelles: pas besoin de donner son nom et son numéro de téléphone pour acheter une paire de bas, prévient un expert en cybersécurité

Des informations ultrasensibles, comme des numéros d’assurance sociale, des relevés bancaires et des adresses complètes circulent aujourd’hui dans des réseaux criminels.

L’entreprise en cause, Gestion Kronos, opère une dizaine de sites web de prêts «rapides» souvent utilisés par des Québécois en situation financière difficile.

Un prêt de 500$ devra être remboursé par 16 paiements hebdomadaires de 52,28$, soit 836,48$ ou 67% d'intérêts.
Un prêt de 500$ devra être remboursé par 16 paiements hebdomadaires de 52,28$, soit 836,48$ ou 67% d'intérêts. CAPTURE d'écran du site PretFormula.ca

Le silence de l’entreprise est inacceptable pour l’expert en cybersécurité Stéphane Auger. Selon lui, cela représente «un manque d’éthique flagrant au détriment des victimes».

La fuite aurait été orchestrée par un pirate notoire surnommé «Chucky», actif dans des forums russophones, qui a publié la base de données volée sur un site clandestin. Bien que celui-ci soit désormais hors ligne, des captures d’écran montrent que les informations exposées incluent des noms, des NAS, des adresses, des relevés bancaires, des fiches de paie et même les sommes empruntées.

Publicité
Le pirate informatique surnommé «Chucky» a annoncé son larcin en mai 2024.
Le pirate informatique surnommé «Chucky» a annoncé son larcin en mai 2024. capture d'écran du site LeakBase

La loi oblige pourtant les entreprises à signaler rapidement ce genre d’incident à la Commission d’accès à l’information et à prévenir les personnes concernées. Mais Kronos, fondée par Maxime William Martin, a gardé le silence. Aucune alerte, aucune notification.

«Certaines entreprises préfèrent encaisser un scandale médiatique de deux jours plutôt que de risquer une amende pouvant atteindre 10 millions $», souffle un observateur bien informé du dossier.

Résultat: des victimes sont déjà ciblées par des courriels frauduleux où les expéditeurs se font passer pour Kronos et menacent de représailles en cas de non-paiement.

Des clients de Kronos se plaignent en ligne depuis le début du mois d'avril 2025.
Des clients de Kronos se plaignent en ligne depuis le début du mois d'avril 2025. capture d'écran du site Fraude-alerte.ca

Pour obtenir un prêt chez Kronos, les clients doivent transmettre leurs données bancaires via un système de vérification instantanée fourni par Flinks, une entreprise appartenant à la Banque Nationale. Il est peu probable que la banque ait été informée de la brèche, selon nos sources.

«Juste avec un nom, une adresse et un courriel, on peut lancer des campagnes massives d’hameçonnage. Et ici, les fraudeurs ont bien plus», insiste Stéphane Auger.

capture d'écran du site LeakBase
capture d'écran du site LeakBase

Kronos n’a pas répondu aux demandes d’entrevue. Pendant ce temps, 150 000 Québécois ignorent toujours que leur vie numérique est peut-être déjà entre de mauvaises mains.

Une police, mais pas d'amende

Depuis le 22 septembre 2023, la Commission d’accès à l’information (CAI) peut imposer des sanctions allant jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial d’une entreprise. Ces amendes s’appliquent notamment en cas d’incident de sécurité non déclaré ou lorsqu’un risque sérieux de préjudice est ignoré. Les facteurs aggravants incluent la répétition, la sensibilité des données ou l’omission de mesures de protection. Malgré 531 incidents déclarés, aucune sanction n’a encore été imposée.

La loi 25 bafouée

La loi 25 a été conçue pour protéger les citoyens en cas de fuite de données, en obligeant les entreprises à informer les victimes rapidement. Or, dans le cas de Kronos, environ 150 000 personnes n’ont jamais été averties que leurs informations personnelles avaient été compromises. Selon Stéphane Auger, cette omission constitue une faute grave et une violation claire de la loi.

• Écoutez aussi cet épisode balado tiré de l'émission d’Isabelle Maréchal, diffusée sur les plateformes QUB et simultanément sur le 99.5 FM Montréal :

Les 11 sites de Gestion Kronos impliqués

Vous avez un scoop à nous transmettre?

Vous avez des informations à nous communiquer à propos de cette histoire?

Écrivez-nous à l'adresse ou appelez-nous directement au 1 800-63SCOOP.

Publicité
Publicité