•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données chez Desjardins : tous les membres particuliers touchés

Guy Cormier éclairé dans le noir.

Le président de Desjardins, Guy Cormier

Photo : Radio-Canada / Ivanoh Demers

Radio-Canada

Le président de Desjardins, Guy Cormier, affirme avoir été prévenu par la Sûreté du Québec que le vol de données dont l'entreprise a été la cible touchait finalement l'ensemble des 4,2 millions de particuliers membres du Mouvement.

Selon les enquêteurs de la SQ, c’est 1,5 million de clients de plus, soit l’ensemble des particuliers qui détiennent un compte chez Desjardins, qui ont vu leurs informations personnelles compromises par ce vol de données à grande échelle.

Ce que nous annonçons n'est pas une nouvelle fuite, a tenu à préciser Guy Cormier. Il s'agit d'une mise à jour sur la même fuite faite par un individu malveillant.

En juin dernier, la direction du Mouvement Desjardins a annoncé qu’un de ses employés avait volé les données personnelles de 2,7 millions de membres et de plus de 173 000 entreprises, soit 40 % des clients du groupe financier.

Selon Desjardins, des millions de noms, prénoms, dates de naissance, numéros d'assurance sociale, adresses, numéros de téléphone, courriels ainsi que d'autres renseignements portant sur les habitudes transactionnelles et les produits bancaires détenus par ses clients avaient été transmis illégalement à des tiers.

Comme en juin, ni les mots de passe, ni les questions d’identification, ni les codes secrets n’ont été compromis par cette fuite de renseignements, a rappelé le président de Desjardins.

Hier, de nouveaux éléments nous ont été communiqués. […] Selon la Sûreté du Québec, ce sont les 4,2 millions, donc tous les membres particuliers, qui sont touchés par la fuite de renseignements.

Guy Cormier, président du Mouvement Desjardins

Vol de données chez Desjardins: entrevue avec Guy Cormier

La Sûreté du Québec avait arrêté l’employé en question pour l’interroger, mais l’avait libéré peu de temps après sans donner davantage de détails. Cet ex-employé est toujours le seul suspect ayant travaillé chez Desjardins impliqué dans cette affaire, a précisé vendredi la direction du Mouvement dans un communiqué.

Pour protéger sa clientèle contre les fraudes et les vols d'identité, Desjardins avait réagi en lançant en juillet un gigantesque plan de protection et de surveillance des données personnelles de ses membres avec la collaboration de la firme Equifax qui a été rapidement débordée par le flot de demandes générées par cette mesure qui a coûté plus de 70 millions de dollars.

La protection d'Equifax étendue à tous les membres

Considérant l’ampleur inédite de ce vol d’informations, la direction de Desjardins répète dans un communiqué que tous ses membres sont protégés par son plan de protection qui permet notamment de rembourser les montants qui ont été volés à ses membres lors de fraude ou de vols d’identité.

Desjardins ajoute que le service de surveillance du crédit de la compagnie Equifax, qui n'était offert à l'origine qu'aux membres touchés par le vol, sera désormais étendu à l'ensemble de ses clients.

Dès la semaine prochaine, les codes d'activation du service de surveillance du crédit d'Equifax seront graduellement transmis aux membres qui n'ont pas déjà reçu de lettre à la suite de l'annonce du 20 juin, par l'entremise de la boîte de messages AccèsD, peut-on lire dans le communiqué de Desjardins.

Les membres intéressés à consulter leur dossier de crédit Equifax, incluant la réception d'alertes lors d'activités dans leur dossier de crédit, devront activer leur code d'ici le 30 avril 2020, prévient Desjardins.

Desjardins « gère bien l’incident », dit le ministre des Finances

Pour le ministre des Finances, Eric Girard, la nouvelle information que l’on apprend aujourd’hui confirme que c’est un incident extrêmement sérieux. En conférence de presse vendredi après-midi, il a toutefois tenté de rassurer la population.

Il s’agit toujours du même incident. On ne sait pas à ce stade-ci combien des données volées ont été vendues. Il n’y a pas de hausse de fraude significative chez Desjardins et les données ne sont pas plus visibles sur le darkweb qu’elles ne l’étaient précédemment, a-t-il déclaré.

En tant que ministre des Finances, M. Girard pense que son rôle est de s’assurer que l’incident est bien géré, ce que Desjardins fait de façon adéquate, juge-t-il.

La première chose à faire était de colmater les brèches informatiques. Ça a été fait. Ensuite, de protéger les avoirs et les renseignements des citoyens. Ça aussi, c’est fait.

Eric Girard, ministre des Finances

Quant aux démarches entreprises par le gouvernement, elles ont commencé dès le 14 juin, dès que l’on a appris que Desjardins avait été victime d’un gigantesque vol de données, a-t-il assuré.

Depuis que j’ai eu cette information le 14 juin, c’est le dossier numéro un. J’ai travaillé sur ce dossier tout l’été, a indiqué le ministre, expliquant qu’il travaillait sur une loi visant à encadrer les agences de crédit.

Le projet de loi définira entre autres les responsabilités des agences de crédit et l’autorité qui les supervisera. Il devrait permettre également le gel du crédit des consommateurs quand une fraude est suspectée, une mesure qui n’est pas utilisée pour le moment au pays.

Nous sommes la seule province au Canada qui n’a pas de loi sur les agences de crédit. On est les derniers, alors on veut avoir la meilleure loi au Canada, a lancé Eric Girard.

La fraude chez Desjardins a aussi mis en branle l’élaboration de deux autres projets de loi. Le premier, sur la protection des renseignements personnels, est piloté par la ministre de la Justice, Sonia LeBel, alors qu’un autre sur la cybersécurité est supervisé par le ministre délégué à la Transformation numérique, Éric Caire.

Un groupe d'entreprises ciblé par les enquêteurs

À la mi-octobre, des informations transmises à Radio-Canada révélaient que des entreprises de la région de Québec qui oeuvrent dans les secteurs des prêts personnels, du financement hypothécaire et de l'assurance étaient ciblées par des enquêteurs de la Sûreté du Québec relativement au vol de données chez Desjardins.

Selon nos sources, les dirigeants de ces entreprises avaient été interrogés par les enquêteurs après avoir obtenu des données personnelles qui proviendraient du Mouvement Desjardins. Ces données auraient été utilisées pour mieux cibler leur clientèle.

Au moins une demi-douzaine de perquisitions ont été menées en septembre dans la région de Québec relativement à cette affaire, selon la Sûreté du Québec. Une autre perquisition avait aussi été menée en juin par le Service de police de Laval, assisté de la Sûreté du Québec, dans une entreprise de prêts personnels de Montmagny.

Un système « archaïque »

L’expert en cybersécurité Éric Parent affirme qu’il n’est pas surpris par l’ampleur que prend le vol de données.

Selon lui, souvent les grandes entreprises sont très en retard pour ce qui est de la cybersécurité, du contrôle de l’accès à l’information des employés.

L’employé qui est malicieux peut partir avec des données sensibles et on ne s’en apercevra pas. Ça va peut-être laisser des traces sur lesquelles on pourra enquêter plus tard, mais souvent ça ne laisse aucune trace.

Éric Parent, expert en cybersécurité

Ces systèmes archaïques, qui datent de bien des années, devraient changer, croit-il, même si cela ne peut pas se faire du jour au lendemain. Pour l’instant, ils sont la norme, dit-il.

Cybersécurité

Économie