/investigations
Navigation

Le vol des données de Desjardins touche tous ses membres

Depuis juillet, l’institution financière nie que ses 4,2 M de clients particuliers sont concernés

Guy Cormier, le président et chef de la direction de Desjardins, lors d’une conférence de presse hier à Montréal.
Photo Agence QMI, TOMA ICZKOVITS Guy Cormier, le président et chef de la direction de Desjardins, lors d’une conférence de presse hier à Montréal.

Coup d'oeil sur cet article

Le mouvement Desjardins nie depuis plus de trois mois que le vol de données qu’il a subi a touché l’ensemble de ses clients bancaires, tel que le PDG Guy Cormier l’a finalement reconnu hier en conférence de presse.
« Il n’y a aucun autre fichier qui n’a pas été comptabilisé dans le total des 2,9 millions (incluant 173 000 entreprises aussi victimes de la fuite) de membres concernés, écrivait la porte-parole Chantal Corbeil à notre Bureau d’enquête le 22 juillet. Depuis le début, nous avons été transparent (sic). Nous avons dévoilé le chiffre exact. S’il y avait eu plus de membres touchés, nous l’aurions dit. »
 
Le Journal venait de recevoir un message anonyme provenant d’un serveur de courriels encryptés. L’auteur disait travailler au département de sécurité chez Desjardins.
 
« Les listes obtenues ont été données par la police, mentionnait le sonneur d’alarme. Lorsqu'on parle aux experts internes, il est clair que toute la base de données a été extraite. »
 
Une autre source au fait de l’enquête interne nous a confié la même information, à la même époque.
 
Notre Bureau d’enquête avait donc écrit à Marc-Brian Chamberland, vice-président aux communications chez Desjardins, pour lui faire part de ces renseignements, indiquant que « les informations personnelles de la totalité des membres sont potentiellement compromises » par la fuite.
 
Il n’avait pas rappelé et la porte-parole avait répondu en niant.
 
Appelée à expliquer ses réponses aujourd’hui contredites, Chantal Corbeil affirme que « rien ne laissait croire » en juillet que la fuite touchait plus de 2,7 M de personnes. « Comme M. Cormier l’expliquait dans le point de presse (hier) matin, c’est seulement (...) jeudi 31 octobre que la Sûreté du Québec nous informait que la fuite concernait plutôt 4,2 M de membres particuliers. »
 
À ce nombre, il faut ajouter au moins 173 000 entreprises également touchées, pour un total de 4,4 M de clients.
 
Toujours la même fuite
 
« Il ne s’agit pas d’une nouvelle fuite de renseignements personnels. C’est toujours la même enquête sur le même délit commis par le même ex-employé malveillant. [...] », souligne Guy Cormier en conférence de presse.
 
Il dit avoir « l’impression d’être dans un film ». « On apprend de la situation qui s’est passé. »
 
Graves lacunes
 
Le 10 octobre, notre Bureau d’enquête rapportait que les policiers avaient trouvé deux supports informatiques lors des perquisitions chez l’ex-employé de Desjardins, Sébastien Boulanger Dorval. Les clés USB portaient les mentions « 1 de 3 » et « 2 de 3 », mais les agents n’en avaient pas trouvé de troisième.
 
Jusqu’en juin, pas moins d’une cinquantaine de personnes avaient accès aux informations volées, soit les renseignements sur l’ensemble des clients bancaires contenus dans l’entrepôt de données de Desjardins.
 
« Il n’y avait pas d’alertes en place pour détecter les comportements louches », déplorait dans notre reportage une source au sein de l’institution financière, qui doit rester anonyme parce qu’elle n’a pas l’autorisation de parler.
 
Depuis l’annonce de la fuite, près d’une centaine de personnes ont été rencontrées. Dix-sept personnes intéressent principalement la SQ dans cette enquête, le projet Portier. 
 
Protection élargie
 
L’institution financière a aussi annoncé hier qu’elle étend à tous ses clients la protection d’Equifax contre le vol d’identité et son plan de protection des membres, pendant cinq ans. 
 
En août dernier, Desjardins affirmait que la fuite de données lui avait coûté 70 M$.
 
De ce montant, 30 M $ ont servi à couvrir les frais reliés à la fuite, notamment pour l’ensemble des ententes de protection avec les firmes de crédit Equifax et TransUnion.
 
Quant aux 40 M $ restants, il s’agit « d’une provision » pour la nouvelle Protection membres Desjardins contre le vol d’identité, offerte depuis quelques semaines.
 
- Avec Francis Halin, Journal de Montréal
 

Les nouvelles victimes

  • Particulier ayant un compte bancaire et n’ayant pas reçu le premier avis de fuite de données
  • Ancien membre ayant déjà eu un compte avec Desjardins
  • Les membres en Ontario sont aussi touchés
Les exceptions
  • Client possédant seulement un produit financier, telle une assurance-vie
  • Membre aux États-Unis
Les données volées
  • Prénom et nom
  • Date de naissance
  • Adresse
  • Numéro d’assurance sociale
  • Numéro de téléphone
  • Courriel
  • Habitudes transactionnelles
  • Produits détenus

 

D’autres victimes ?

La plus grande institution financière au Québec n’est peut-être pas au bout de ses peines. Le Mouvement Desjardins n’était pas en mesure de dire, vendredi, si d’autres données d’entreprises auraient pu être dérobées.

En juin dernier, la direction de la coopérative annonçait que pas moins de 2,7 millions de particuliers avaient été touchés par la fuite de données, ce qui représentait 60 % de l’ensemble de ses membres. Quelque 173 000 entreprises étaient aussi concernées, soit 49 % du total. Desjardins brasse des affaires avec 350 000 compagnies au Québec.

«À l’heure actuelle, il n’y a pas plus d’information permettant de savoir s’il y a plus de membres entreprises touchées par cette situation», a indiqué l’institution financière dans un communiqué publié en avant-midi.

Le président et chef de la direction, Guy Cormier, a réitéré cette réponse lors de son passage devant les journalistes. La Sûreté du Québec poursuit son enquête. Aucune accusation n’a encore été portée.
À ce jour, le nombre de membres et d’entreprises chez Desjardins touchés par la fuite s’élève à 4,4 millions.

Pas une surprise

Selon le PDG d’EVA-Technologies, une firme en cybersécurité, il ne serait pas surprenant d’apprendre au cours des prochains mois que l’ensemble de la division pour les entreprises chez Desjardins a également été ciblé.

«C’est très inquiétant de voir qu’il a fallu plusieurs mois avant de constater que la fuite touchait l’ensemble des particuliers. Nous n’avons aucune raison de croire que le chiffre ne pourrait pas continuer de grimper avec les données pour les entreprises», indique au Journal Éric Parent.

«Depuis le début, Desjardins assurait qu’il n’avait pas d’autres membres impliqués. La confiance n’est plus là. Cela démontre que la coopérative n’avait pas les systèmes adéquats pour dire ce qui a été touché. C’est l’enquête des policiers qui le découvre. C’est difficile ensuite d’imaginer qu’il n’aura pas d’autres choses... Est-ce qu’on va finalement apprendre, par exemple, que les mots de passe ont été volés?», poursuit-il.

Ce dernier explique bien mal comment l’ancien employé chez Desjardins a pu extirper l’ensemble des renseignements personnels des particuliers sans que l’institution financière s’en rende compte.


► Si vous avez de l’information sur le vol de données chez Desjardins, contactez notre journaliste en toute confidentialité: hjoncas@protonmail.com et 438 396-5546 (cellulaire, Signal)