Il me disait qu'il y avait beaucoup de monde qui essayait de l'avoir, et c'était normal parce que le prix était bon, et il m'a dit que, comme il y avait beaucoup de [personnes intéressées], il aimerait que je lui fasse un virement de 850 $, sans lui donner le mot de passe et la question, juste pour lui montrer que j'étais intéressé , explique le jeune homme.

Une heure plus tard, le vendeur lui signale qu’il n’a rien reçu. Il propose donc à Emerick Scarpino de lui envoyer un deuxième virement de seulement 1 $, avec une question et une réponse différentes, dans le but de s’assurer que le tout fonctionne bien.

Avant de procéder, Emerick Scarpino effectue quelques recherches pour s’assurer que ce deuxième virement ne nuise pas au premier. J'ai regardé sur la plateforme Interac pour voir si un deuxième transfert allait changer les choses sur le premier, si ça allait avoir une incidence et je n'ai rien trouvé, donc je me suis dit que ça allait être correct, j'ai appelé mon père aussi. Je me suis dit que dans le pire des cas, j'allais perdre un dollar et que mon 850 était protégé , raconte-t-il.

Emerick Scarpino décide donc de procéder au deuxième virement, mais à sa grande surprise, le vendeur a été en mesure d’encaisser les 850 $ envoyés lors du premier virement avec la réponse du deuxième virement de 1 $.

Au terme d'une enquête, Desjardins a remboursé Emerick Scarpino pour l'argent perdu lors d'un de ses virements Interac. Photo : Radio-Canada

Un fonctionnement propre à certaines institutions bancaires, mais qui est remis en question

Un porte-parole du Mouvement Desjardins explique que la question de sécurité est reliée au destinataire et non au virement seulement. Ce qui fait que, lorsqu'on change un mot de passe, on le change pour l'ensemble des transactions passées, mais aussi pour les transactions futures , affirme Jean-Benoît Turcotti.

Il ajoute que d’autres institutions financières fonctionnent de cette façon. Radio-Canada a fait le test avec certaines banques. Chez BMO et la Banque Nationale, les questions et réponses ne sont pas interchangeables entre transactions.

M. Turcotti affirme que Desjardins a fait ce choix pour des questions de simplicité. Souvent, [nos membres] font [des virements] de façon régulière avec des membres de leur famille, des amis, et entrer des questions de façon systématique pour chaque transaction était un irritant , souligne-t-il.

Cette méthode est remise en question par un expert en cybercriminalité. On choisit de garder une mauvaise pratique , déplore le président de Vigiteck, Paul Laurier.

« C'est une faille chez Desjardins de pouvoir réutiliser le même mot de passe. C'est facile pour les utilisateurs, mais ça facilite la fraude. » — Une citation de Paul Laurier, président de Vigiteck

Emerick Scarpino a pu retrouver ses 850 $ après une enquête de cinq jours, mais ce n'est pas le cas pour tout le monde, selon Desjardins.

Le Mouvement Desjardins invite les clients qui seraient victimes de fraude à contacter son service à la clientèle.