Avis aux participants et participantes du programme de Rétablissement des liens familiaux
La Croix-Rouge canadienne a été avisée par le Comité international de la Croix-Rouge (CICR) d'un incident de cybersécurité lié au programme de Rétablissement des liens familiaux (RFL) du Mouvement de la Croix-Rouge et à ses services connexes. Les systèmes qui prennent en charge ces services sont exploités par le CICR et utilisés par les Sociétés nationales de la Croix-Rouge et du Croissant-Rouge dans le monde, y compris la Croix-Rouge canadienne. La Croix-Rouge canadienne est une organisation distincte du CICR, mais la CRC utilise un serveur du CICR pour le programme RLF. La Croix-Rouge canadienne est une organisation distincte du CICR, mais utilise un serveur du CICR pour le programme RLF.
Comme la Croix-Rouge canadienne travaille avec le CICR mais ne fait pas partie du CICR lui-même, la Croix-Rouge canadienne a temporairement suspendu certains de ses services RLF.
Nous souhaitons informer les personnes qui ont bénéficié du programme de RLF et de ses services connexes que les renseignements personnels fournis à la Croix-Rouge canadienne dans ce contexte peuvent avoir été touchés par cet incident.
Que s’est-il passé?
Les circonstances de l’incident font toujours l’objet d’une enquête par le CICR. En date d’aujourd’hui, le CICR pense qu’une attaque ciblée a touché les serveurs du CICR. Autrement dit, un tiers non autorisé a accédé au système de RLF et pourrait avoir eu accès aux informations personnelles des gens qui ont bénéficié du programme de RLF et de ses services connexes.
Pour l’instant, le CICR ne connaît ni l’auteur de cette attaque ni ses motivations. Cela dit, rien n’indique actuellement que les informations personnelles stockées dans le système de RLF aient été falsifiées, perdues, supprimées, utilisées à mauvais escient, publiées ou échangées. Le CICR suit la situation de près.
Quand l’incident s’est-il produit?
Le CICR a déterminé que les systèmes et outils numériques concernés ont été consultés pour la première fois par l’auteur de l’attaque le 9 novembre 2021. Le CICR et ses sous-traitants en cybersécurité ont découvert l’incident et ont mis en œuvre des mesures correctives le 18 janvier 2022.
Quelles informations personnelles ont été touchées?
Étant donné que le système de RLF reste suspendu pendant l’enquête et la résolution de l’incident, la Croix-Rouge n’a pas encore pleinement accès à tous les dossiers et renseignements visés par l’incident.
Selon ce que nous savons pour l’instant, l’incident a touché les dossiers de RLF, qui peuvent contenir les renseignements personnels d’une demanderesse ou d’un demandeur, d’une personne disparue/séparée (personne recherchée ou enfant séparé), de membres de la famille non accompagnés, d’une personne qui est ou a été détenue à l’extérieur du Canada (personne détenue), des destinataires des messages des personnes détenues et/ou les personnes représentant une demanderesse ou un demandeur. Selon la nature de chaque cas, ces informations peuvent inclure :
- le nom complet et/ou les coordonnées de chaque personne (y compris la dernière adresse connue, l’adresse postale, l’adresse courriel et le numéro de téléphone);
- le numéro CICR unique attribué à une personne détenue;
- tout renseignement personnel contenu dans le témoignage fourni à la CRC sur les circonstances liées à la demande d’une demanderesse ou d’un demandeur ou du bénéficiaire;
- des copies de la pièce d’identité, du soumissions de passeports étrangers et/ou de la photographie d’une personne recherchée ou détenue;
- la date de naissance d’une personne recherchée, d’un membre de la famille non accompagné ou d’une personne détenue;
- les dates, lieux et circonstances de l’arrestation/capture, de la détention, de la visite du CICR, de la libération, du rapatriement et/ou du décès d’une personne détenue;
- la nationalité de la personne détenue et le nom de jeune fille de sa mère;
- tout renseignement personnel/familial contenu dans toute communication entre une personne détenue et sa famille par l’intermédiaire de la Croix-Rouge canadienne et/ou du CICR;
- tout renseignement personnel sur la santé contenu dans le dossier d’une personne recherchée, par exemple si la personne a été vue pour la dernière fois à l’hôpital ou si elle a déclaré avoir un handicap.
Il est important de noter que ces informations au sein du système du CICR varient pour chaque personne et ne comprennent que les documents que vous avez fournis à la Croix-Rouge dans le cadre de la gestion de votre dossier. Nous ne collectons ni ne stockons aucune autre information que vous ne nous avez pas fournie.
La Croix-Rouge s’occupe également de transmettre certains documents, tels que les dossiers scolaires et les certificats de naissance, aux personnes en zone de conflit. Les dossiers de RLF concernés peuvent contenir des informations sur les expéditeurs et les destinataires de ces documents, y compris le nom complet ou les coordonnées d’une personne, ainsi que les autres renseignements au dossier.
Dans de rares cas, la Croix-Rouge canadienne traite les retours des documents de voyage d’urgence du CICR au siège du CICR à Genève, en Suisse. Les dossiers de RLF concernés peuvent contenir des informations sur un petit nombre de demanderesses et demandeurs de ce service, y compris le nom complet et les coordonnées d’une personne, sa photo, un itinéraire de voyage, des informations sur le visa de voyage et/ou une copie des empreintes digitales de la personne.
L’incident a également touché les informations de connexion d’un petit nombre d’employées, d’employés et de bénévoles de la Croix-Rouge et du Croissant-Rouge, y compris leur adresse électronique et leur numéro de téléphone de la Croix-Rouge canadienne, ainsi que leur correspondance et leurs notes au dossier concernant les services de RLF.
Quelles mesures correctives ont été prises à la suite de l’incident?
Lorsque le CICR a pris connaissance de l’incident, il a rapidement suspendu tout accès aux systèmes compromis et mis les serveurs compromis hors ligne. Le CICR est actuellement en train de cibler des solutions provisoires pour que les services de RLF puissent continuer. La Croix-Rouge canadienne comprend que le CICR a également signalé l’incident aux autorités policières en Suisse.
Avant l’incident, le CICR avait considérablement investi dans la cybersécurité, mis en place des systèmes visant à détecter les activités suspectes (lesquels ont permis au CICR de détecter cette attaque) et engagé une firme externe pour effectuer des audits annuels de son système. À la suite de cet incident, le CICR nous a informés qu’il investirait dans des ressources supplémentaires pour lutter contre les cyber-opérations très sophistiquées.
Le CICR a également engagé un cabinet d’audit indépendant pour confirmer l’intégrité des informations concernées. Le CICR examine actuellement chaque entrée en lien avec les d’applications concernées afin de mieux comprendre comment l’incident s’est produit. Il a par ailleurs nommé une équipe responsable de suivre les signalements d’informations concernées en ligne.
À l’interne, la Croix-Rouge canadienne s’efforce d’évaluer l’impact de cet incident sur les personnes qu’elle aide. Un examen indépendant des systèmes et services locaux est en cours pour assurer leur sécurité. Tous les employés et employées de la Croix-Rouge canadienne ayant accès au système de RLF ont été informés et ont changé leurs identifiants de connexion.
Quelles mesures de précaution pouvez-vous prendre pour vous protéger et protéger vos informations personnelles?
Nous invitons toutes les personnes qui ont bénéficié du programme de RLF et de ses services connexes à informer de cet incident toute personne dont les renseignements personnels ont été fournis à la Croix-Rouge canadienne ou au CICR.
Nous donnons également les conseils suivants aux personnes concernées :
- Méfiez-vous des attaques d’hameçonnage, qui consistent à envoyer des communications frauduleuses qui semblent provenir d’une source fiable.
- Supprimez immédiatement et évitez de transférer tout courriel ou SMS suspect, et raccrochez immédiatement si on vous demande par téléphone vos informations personnelles. Les auteurs de ces messages pourraient prétendre représenter la Croix-Rouge.
- Ne répondez pas aux messages suspects et ne donnez aucune information personnelle en réponse aux courriels, aux appels téléphoniques ou aux SMS non sollicités que vous pourriez recevoir. En cas de doute, veuillez communiquer avec la Croix-Rouge canadienne aux coordonnées ci-dessous avant de prendre les mesures correctives adéquates.
- Surveillez les interruptions de livraison de votre courrier. Si vous remarquez des irrégularités, signalez-les à Postes Canada ou à votre service postal local.
- Demandez une copie gratuite de votre rapport de solvabilité à l’un des deux bureaux de crédit nationaux du Canada et répétez ce processus périodiquement. Examinez les rapports et soyez à l’affût de toute information inexacte ou de demandes de créanciers pour lesquelles vous n’aviez pas entrepris de démarches ou que vous ne reconnaissez pas. Si vous voyez quelque chose que vous ne comprenez pas, appelez l’agence d’évaluation du crédit. Voici les coordonnées des bureaux de crédit nationaux du Canada :
- Demandez à l’un de ces bureaux de crédit de créer une alerte dans votre dossier de crédit. Notez que cette mesure encourage généralement les créanciers à faire des démarches supplémentaires pour valider votre identité avant d’ouvrir un nouveau compte à votre nom.
- Communiquez avec l’Agence du revenu du Canada (ARC) et demandez à mettre un mot de passe sur votre compte ou à désactiver l’accès en ligne à votre compte. Vous pouvez joindre la Ligne de renseignements fiscaux des particuliers de l’ARC au 1 800 959-8281.
- Si vous détectez une activité suspecte ou frauduleuse, informez-en rapidement (i) votre institution financière ou l’organisation responsable de votre compte; (ii) les autorités policières locales; (iii) le Centre antifraude du Canada; et (iv) la Croix-Rouge canadienne, aux coordonnées indiquées ci-dessous.
Où obtenir des informations supplémentaires?
L’Agent de la protection de la vie privée de la Croix-Rouge canadienne peut répondre aux questions liées à cet incident. Les questions peuvent être envoyées par courriel à
[email protected]. Si vous éprouvez des difficultés à accéder aux services en ligne, veuillez écrire à l’Agent de la protection de la vie privée à :
Agent de la protection de la vie privée
Société canadienne de la Croix-Rouge
400, rue Cooper, bureau 8000
Ottawa, Ontario
K2P 2H8
Canada
Vous pouvez également consulter périodiquement le
document de questions-réponses en ligne du CICR, qui est continuellement mis à jour par le CICR à mesure que de nouvelles informations sont connues. Veuillez noter que la Croix-Rouge canadienne n’est pas responsable du contenu du document de questions et réponses du CICR et ne le vérifie pas de manière indépendante.
Le message de la Croix-Rouge canadienne pour vous
Nous regrettons sincèrement que cet incident se soit produit. La Croix-Rouge canadienne s’engage à poursuivre ses efforts pour protéger les renseignements personnels de ses bénéficiaires. Nous travaillons dur pour rétablir les services que le Mouvement de la Croix-Rouge et du Croissant-Rouge est si fier d’offrir partout dans le monde et pour continuer à vous servir.
Sincèrement,
La Croix-Rouge canadienne
Retrouver votre famille
Le chaos et la confusion qui règnent à la suite d'un conflit ou d'une catastrophe naturelle séparent souvent les familles au moment où les gens ont le plus besoin de leurs proches. Le Programme de rétablissement des liens familiaux de la Croix-Rouge canadienne aide des personnes résidant au Canada à renouer le lien avec des membres de leur famille immédiate dont ils ont été séparés à cause d’un conflit armé, d’une catastrophe naturelle, d’une migration ou d’une autre crise humanitaire.
Que vous ayez été séparé d’un proche il y a des dizaines d’années ou tout récemment, la Croix-Rouge canadienne peut être en mesure de vous aider à rétablir le contact. Ce processus implique la collecte d'information sur des personnes portées disparues ou décédées, ainsi que sur des personnes vulnérables comme les enfants séparés de leur famille ou les personnes privées de liberté.
Les demandes de recherches sont acceptées en fonction :
- de la proximité de la relation;
- des raisons pour lesquelles le contact a été rompu;
- de la disponibilité de renseignements suffisants pour mener les recherches;
- des recherches entreprises par le demandeur pour localiser la personne recherchée, qui se sont révélées infructueuses.
Lorsqu’un proche est porté disparu
Si vous êtes à la recherche d’un membre de votre famille à l’étranger et désirez obtenir l’aide de la Croix-Rouge, communiquez avec nous :
En ligne
Rétablissement des liens familiaux – Demande en ligne
Par téléphone
En français 1 800 363-7305, poste 362-2909
En anglais 1 866 399-8412, poste 480-2214
Par courriel
[email protected]