Ce site utilise des témoins pour que vous viviez la meilleure expérience possible. En continuant d'utiliser le site, vous acceptez les conditions de notre politique de confidentialité. Apprenez à désactiver les témoins.

Nous avons commencé à informer directement les Canadiens touchés par le cyberincident le 7 août 2019, par courriel. Nous continuerons à aviser les personnes touchées au cours des prochaines semaines, par courriel ou par la poste. Sachez que nous ne communiquerons pas avec qui que ce soit par téléphone ou message texte au sujet de cet incident.

Mis à jour le vendredi 9 août 2019, à 12 h 00 HE

Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One.

Nous avons immédiatement éliminé la vulnérabilité de la configuration que la personne avait exploitée et rapidement commencé à travailler avec le FBI (Federal Bureau of Investigation), aux États-Unis, ce qui a mené à l’arrestation de la personne, le 29 juillet 2019. Cette personne est maintenant en détention préventive.

Nous travaillons de près avec les autorités compétentes du Canada et des États-Unis, y compris le Commissariat à la protection de la vie privée du Canada, pour protéger les personnes touchées. Des services de surveillance du crédit et une assurance contre le vol d’identité seront mis à la disposition des personnes touchées, sans frais.

« Je suis soulagé que l’auteur de l’infraction ait été appréhendé, a déclaré Richard D. Fairbank, fondateur, président et chef de la direction, mais je suis profondément navré de ce qui est arrivé. Je suis sincèrement désolé des préoccupations tout à fait compréhensibles que cet incident peut occasionner aux personnes touchées, et je suis fermement engagé à prendre les bonnes mesures. »

Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que la personne ait utilisé les renseignements à des fins frauduleuses ou qu’elle les ait disséminés. Cependant, nous poursuivons notre enquête.

Jusqu’à présent, nos analyses ont révélé que cet incident aurait touché environ 6 millions de personnes au Canada et quelque 100 millions de personnes aux États-Unis. Les renseignements qui sont principalement visés sont ceux que les consommateurs ont fournis au moment de soumettre une demande pour l’une de nos cartes de crédit à partir de 2005 jusqu’au début de 2019. Il s’agit notamment de renseignements personnels que Capital One recueille systématiquement au moment où elle reçoit des demandes de cartes de crédit, y compris les noms, les adresses, les codes postaux, les numéros de téléphone, les adresses courriel, les dates de naissance et les revenus.

Aucun identifiant d’ouverture de session n’a été compromis. En plus des données des demandes de cartes de crédit, la personne a obtenu des portions de données sur des clients, dont les suivantes :

  • Numéros d’assurance sociale d’environ 1 million de titulaires de cartes de crédit du Canada
  • Données sur la situation des clients, comme les cotes de crédit, les limites de crédit, les soldes, l’historique des paiements et les coordonnées
  • Éléments de données sur des transactions sur un total de 23 jours en 2016, en 2017 et en 2018

Nous avons commencé à informer directement les Canadiens touchés par le cyberincident le 7 août 2019, par courriel. Nous continuerons à aviser les personnes touchées au cours des prochaines semaines, par courriel ou par la poste. Veuillez consulter régulièrement ce site pour prendre connaissance des mises à jour.

La protection des renseignements de nos demandeurs de cartes et de nos clients est essentielle à notre mission et à notre rôle en tant qu’institution financière. Nous investissons massivement dans la cybersécurité et continuerons de renforcer nos cyberdéfenses.

L’enquête se poursuit et notre analyse pourrait changer. À mesure que nous en apprendrons plus sur la situation, nous mettrons à jour ce site web et vous fournirons de plus amples renseignements.

Les titulaires de cartes de crédit des États-Unis sont priés de consulter cette page web.

Si vous souhaitez parler à un agent, composez le 1‑833‑727‑1234.

Questions et réponses

  • 1) Qu’est-il arrivé?

    ‏Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One.

    ‏Nous avons immédiatement éliminé la vulnérabilité de la configuration que la personne avait exploitée et rapidement commencé à travailler avec les autorités policières fédérales des États-Unis. Le FBI a appréhendé la personne responsable. Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que la personne ait utilisé les renseignements à des fins frauduleuses ou qu’elle les ait disséminés. Cependant, nous poursuivons notre enquête.

  • 2) Comment avez-vous découvert l’incident?

    ‏Comme de nombreuses entreprises, nous disposons d’un programme d’information responsable qui offre aux chercheurs en sécurité éthique une voie leur permettant de nous signaler directement toute vulnérabilité. La vulnérabilité de la configuration nous a été signalée le 17 juillet 2019 par un chercheur en sécurité de l’externe, dans le cadre de notre programme d’information responsable. C’est alors que nous avons amorcé notre propre enquête interne, qui a mené à la découverte de l’incident, le 19 juillet 2019.

  • 3) Quand l’incident s’est-il produit?

    ‏Le 19 juillet 2019, nous avons déterminé qu’il y a eu un accès non autorisé par une personne de l’extérieur qui a obtenu certains types de renseignements personnels concernant des personnes ayant soumis des demandes pour nos cartes de crédit et des titulaires de cartes de crédit Capital One. L’incident s’est produit les 22 et 23 mars 2019.

  • 4) Mes renseignements ont-ils fait l’objet d’un accès non autorisé?

    ‏Nous avons commencé à informer directement les Canadiens touchés par le cyberincident le 7 août 2019, par courriel. Nous continuerons à aviser les personnes touchées au cours des prochaines semaines, par courriel ou par la poste. Un service de surveillance du crédit et une assurance contre le vol d’identité seront mis à leur disposition sans frais.

    Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que la personne ait utilisé les renseignements à des fins frauduleuses ou qu’elle les ait disséminés. Cependant, nous poursuivons notre enquête.

  • 5) Quel type de renseignements a fait l’objet d’un accès non autorisé?

    Parmi les données compromises, il y a les données de demandes de cartes de crédit soumises au Canada et des portions de données sur des titulaires de cartes de crédit, dont les numéros d’assurance sociale d’environ 1 million de Canadiens, des cotes de crédit, des limites de crédit, des soldes, des historiques de paiement, des coordonnées et des éléments de données sur des transactions sur un total de 23 jours en 2016, en 2017 et en 2018.

  • 6) Qui est responsable de ce cyberincident?

    ‏Le FBI a appréhendé la personne responsable de ce cyberincident, et cette personne a été mise en détention préventive. Selon l’analyse que nous avons effectuée à ce jour, nous estimons qu’il est peu probable que la personne ait utilisé les renseignements à des fins frauduleuses ou qu’elle les ait disséminés.

  • 7) Que fait Capital One pour me protéger après cet incident? Comment puis-je m’inscrire aux services de surveillance du crédit et d’assurance contre le vol d’identité?

    Nous avons commencé à informer directement les Canadiens touchés par le cyberincident le 7 août 2019, par courriel. Nous continuerons à aviser les personnes touchées au cours des prochaines semaines, par courriel ou par la poste. Nous mettons à leur disposition, sans frais, un service de surveillance du crédit et une assurance contre le vol d’identité offerts par TransUnionMD, pour une période de 2 ans.

    Pour vous inscrire à ces services, utilisez le code d’activation fourni dans le courriel ou la lettre que vous avez reçu et suivez les étapes indiquées. Si vous avez des questions concernant la solution myTrueIdentity de TransUnion ou si vous avez de la difficulté à vous y inscrire, veuillez joindre TransUnion au 1‑888‑228‑4939, entre 8 h 30 et 17 h HE du lundi au vendredi (sauf les jours fériés).

    ‏Nous disposons de systèmes antifraude ultra-perfectionnés qui surveillent constamment nos systèmes et nos cyberdéfenses pour cerner toute activité inhabituelle et protéger nos clients contre tout acte non autorisé. 

    Capital One encourage ses clients à s’inscrire au service d’alertes sur le compte pour rester au fait des transactions effectuées sur leurs comptes. Les clients n’ont qu’à ouvrir une session sur les services bancaires en ligne et à régler des alertes par message texte ou courriel. Ils peuvent aussi s’inscrire aux notifications poussées pour obtenir des alertes de transaction en temps réel sur notre application mobile.

    L’assurance contre le vol d’identité est offerte par La Compagnie d’assurance AIG du Canada.

  • 8) Je n’ai pas reçu de courriel ou de lettre concernant l’incident. Est-ce que ça veut dire que je ne suis pas touché(e)?

    Nous avons commencé à informer directement les personnes touchées par le cyberincident le 7 août 2019, et ce processus se déroulera sur plusieurs semaines. Les personnes touchées seront avisées par courriel ou par lettre seulement. Nous n’allons pas communiquer avec qui que ce soit par téléphone ou message texte au sujet de cet incident.

    ‏Le courriel et la lettre expliqueront aux personnes touchées comment se prévaloir du service de surveillance du crédit et de l’assurance contre le vol d’identité de TransUnion, que nous leur offrons sans frais pour une période de 2 ans.

  • 9) Comment traitez-vous mes renseignements personnels?

    ‏En tant qu’entreprise d’envergure mondiale, Capital One traite les données sur les consommateurs avec un degré élevé de rigueur.

    Nous agissons de façon transparente avec les consommateurs au moyen de nos renseignements importants sur les données personnelles que nous recueillons et les pratiques que nous utilisons pour traiter et protéger leurs renseignements. Nous recueillons les données des consommateurs pour traiter les demandes de cartes de crédit, et pour gérer les comptes de cartes de crédit et offrir des services aux titulaires de ces comptes.

    Pour en savoir plus à ce sujet, veuillez consulter notre politique de confidentialité.

  • 10) Je pense avoir reçu un courriel frauduleux lié au cyberincident contre Capital One. Que dois-je faire?

    ‏Les clients doivent faire attention aux courriels hameçons pouvant résulter de cet incident. L’hameçonnage consiste en une tentative d’acquérir des renseignements personnels. L’auteur vise parfois à compromettre des comptes bancaires en ligne en se faisant passer pour une entreprise légitime dans une communication électronique. Ces courriels ne proviennent pas de Capital One. Si vous pensez avoir reçu un courriel frauduleux prétendument envoyé par Capital One, veuillez prendre les mesures suivantes :

    • Ne répondez pas au courriel.

    • Ne cliquez sur aucun lien fourni dans le courriel.

    • ‏Faites suivre le courriel à abuse@capitalone.com.

    • Après avoir transmis le courriel à Capital One pour enquête, supprimez-le.

    • Assurez-vous de surveiller votre compte et téléphonez-nous si vous remarquez toute activité inhabituelle.

    Visitez notre page Protection contre la fraude pour en savoir plus sur les façons de repérer les courriels et messages frauduleux.

  • 11) J’ai reçu un appel ou un message texte de Capital One relativement au cyberincident et on m’a demandé des renseignements personnels. Que dois-je faire?

    Capital One ne téléphone pas à ses clients ni ne leur envoie des messages textes au sujet du cyberincident, et ne demande pas de renseignements sur des cartes de crédit et des comptes ni de numéros d’assurance sociale par téléphone ou courriel.

    Si vous avez fourni des renseignements personnels au téléphone ou en répondant à un message texte frauduleux, veuillez procéder comme suit :

    1. Appelez-nous immédiatement pour signaler que les renseignements sur votre compte pourraient avoir été compromis.

    2. Ouvrez une session des services bancaires en ligne de Capital One et changez votre mot de passe.

    3. Vérifiez si vos comptes présentent des transactions ou activités frauduleuses.

  • 12) Je suis titulaire d’une carte Capital One. Que puis-je faire pour protéger mon compte?

    Nous encourageons nos clients à s’inscrire au service d’alertes sur le compte pour rester au fait des transactions effectuées sur leurs comptes. Ils n’ont qu’à ouvrir une session sur les services bancaires en ligne et à régler des alertes par messagerie texte ou courriel. Ils peuvent aussi s’inscrire aux notifications poussées pour obtenir des alertes de transaction en temps réel sur notre application mobile.

    Nous recommandons aussi aux clients de surveiller leurs comptes au cas où ils y verraient des transactions inhabituelles ou suspectes. S’ils remarquent toute transaction dont ils ne sont pas au courant, nous les prions de nous téléphoner le plus tôt possible au numéro indiqué au dos de leur carte Capital One ou sur leur relevé de compte.

  • 13) Quelles autres mesures puis-je prendre pour me protéger contre la fraude et le vol d’identité?

    ‏Vous pouvez commander une copie de votre rapport de solvabilité auprès de l’une des deux agences d’évaluation du crédit du Canada, soit Equifax Canada et TransUnion Canada. Chaque agence d’évaluation du crédit pourrait avoir des renseignements différents sur la façon dont vous avez utilisé le crédit dans le passé.

    • ‏Une fois que vous aurez reçu vos rapports de solvabilité, vérifiez s’ils indiquent des activités suspectes, comme des enquêtes d’entreprises avec lesquelles vous n’avez pas communiqué, des comptes que vous n’avez pas ouverts et des dettes sur vos comptes que vous n’avez pas autorisées.

    • Vérifiez l’exactitude de votre numéro d’assurance sociale, de votre ou de vos adresses, de votre nom (assurez-vous qu’il est complet) et du nom de votre ou de vos employeurs.

    • ‏Informez les agences d’évaluation du crédit de tout renseignement erroné pour qu’elles le corrigent ou le suppriment.

    Vous pouvez commander une copie de votre rapport de solvabilité par la poste, par télécopieur ou par téléphone :

    • Faites votre demande par écrit au moyen des formulaires fournis par EquifaxMD et TransUnion

    • Téléphonez aux agences d’évaluation du crédit et suivez les instructions de l’agent :

      • Equifax Canada
        Tél. : 1‑800‑465‑7166

      • TransUnion Canada
        Tél. : 1‑800‑663‑9980 (sauf pour les résidents du Québec)
        Tél. : 1‑877‑713‑3393 (pour les résidents du Québec)

    Pour obtenir plus de renseignements sur la surveillance du crédit et la demande de rapport de solvabilité, veuillez consulter le site web de l’Agence de la consommation en matière financière du Canada.

    De plus, vous pouvez demander à l’une des deux agences d’évaluation du crédit du Canada (Equifax et TransUnion) d’ajouter une alerte de fraude à votre dossier de crédit. L’une et l’autre des agences conservent ces alertes pendant six ans.

    • Pour ajouter une alerte de fraude à votre dossier de crédit TransUnion, veuillez remplir ce formulaire, puis soumettre le formulaire rempli et les photocopies de pièces d’identité par la poste ou par télécopieur. Vous pouvez aussi téléphoner à TransUnion au 1‑800‑663‑9980.

    • ‏Pour ajouter une alerte de fraude à votre dossier de crédit Equifax, veuillez appeler Equifax au 1‑800‑465‑7166.