Desjardins a révélé hier s’être fait voler les renseignements personnels d’un Québécois sur trois, permettant à des fraudeurs d’ouvrir un compte bancaire ou d’obtenir une carte de crédit à leur nom.

Le butin vaut des millions de dollars.

Le présumé cambrioleur : un employé de l’institution financière qui a trompé la vigilance de son employeur.

Le grand patron de Desjardins en a fait l’annonce hier après-midi. Guy Cormier s’est dit choqué par les actes de cet individu congédié et arrêté, mais toujours pas accusé. « Je me sens trahi », a-t-il dit.

On ne sait pas encore avec précision comment le voleur a utilisé ces noms, dates de naissance, numéros d’assurance sociale et adresses de 2,9 millions de personnes. Mais elles valent leur pesant d’or, selon des spécialistes de la cybersécurité.

Elles ont « une grande valeur sur le marché noir », estime Eric Parent, PDG de la firme EVA Technologies.

Selon lui, un dossier contenant l’adresse, la date de naissance, le nom, le numéro de téléphone et surtout le numéro d’assurance sociale d’une personne pourrait facilement trouver preneur sur le marché noir, à un prix qu’il estime entre 1 $ et 3 $ pièce. « Ça fait dans les 3 à 9 millions de dollars. C’est toujours alléchant quand on est assis sur une telle masse d’informations. Et votre numéro d’assurance sociale et votre date de naissance, ce sont les seules informations que vous ne pouvez pratiquement pas changer… »

Le grand patron « indigné »

En conférence de presse dans un hôtel du centre-ville de Montréal, le grand patron de Desjardins a expliqué que l’institution avait d’abord détecté une transaction suspecte à la fin de 2018. Elle avait porté plainte à la police de Laval – une opération de routine.

Puis, le mois dernier, les enquêteurs ont compris qu’il ne s’agissait pas d’une tentative de fraude comme les autres. La semaine dernière, ils ont rencontré Desjardins pour lui expliquer qu’elle avait un énorme problème entre les mains : la fuite venait de l’intérieur et elle était gigantesque.

« Je suis indigné, je trouve ça complètement inacceptable. La fraude interne, c’est la fraude la plus difficile et la plus complexe à détecter. »

— Guy Cormier, PDG de Desjardins

Mais selon deux experts, le modus operandi de cette fuite pourrait trahir l’existence d’un problème plus profond de sécurité chez Desjardins.

« Comment est-il possible qu’une personne mal intentionnée ait eu accès à autant de données, qu’elle ait pu les sortir du réseau sans qu’un système de sécurité le détecte ? », s’est demandé David Masson, directeur général de Darktrace Canada, en entrevue. « C’est peut-être une faiblesse du réseau de Desjardins. Cela dit, elle est très commune. »

Selon Jean-Loup Le Roux, PDG de I & I Strategy, le fait que le voleur ait réussi à réunir autant d’informations disparates semble indiquer un problème à protéger les informations à la source.

« La méthode la plus efficace, c’est de faire descendre la sécurité jusqu’au niveau de la donnée, plutôt que de verrouiller à triple tour les ordinateurs portables ou les bases de données, a-t-il dit. Si la donnée avait été cryptée, par exemple, l’employé aurait pu la sortir du réseau, mais les informations auraient été protégées, personne n’aurait pu les lire. »

Pas de hausse des fraudes

Desjardins, quant à elle, assure faire le maximum pour protéger les renseignements personnels que ses clients lui confient.

L’employé en cause serait un spécialiste des données. Il aurait abusé de la confiance de certains collègues pour réussir à réunir différentes bases de données stockées séparément pour des raisons de sécurité. À l’instar d’autres entreprises qui gèrent d’énormes quantités de renseignements personnels, Desjardins les segmente, grâce à des listes de noms sans numéro d’assurance sociale ou des listes de numéros d’assurance sociale sans nom, par exemple.

« Il n’y a personne chez Desjardins qui ouvre son ordinateur et qui a accès à tout ça. On est beaucoup plus sécuritaires que ça. »

— Denis Berthiaume, premier vice-président exécutif

Le cambrioleur aurait trouvé un moyen d’associer ces listes. Des mesures sont en place pour éviter qu’un tel stratagème soit possible, mais l’individu les aurait déjouées.

Le groupe financier dit ne pas avoir constaté une hausse des fraudes depuis cette brèche dans la sécurité. Les membres touchés seront tous avisés et ils auront droit à un service spécial gratuit de surveillance pour éviter tout détournement de fonds.

Mais le danger demeure, estime David Masson, de Darktrace Canada. « Les consommateurs ont raison d’avoir des craintes : en cette ère de cybercriminalité, de telles informations, c’est de l’argent facile pour les crapules, a-t-il dit. J’espère que Desjardins compte les informer adéquatement des risques, qu’on leur conseille quoi faire si leurs informations ont été piratées. »

« On demande aux gens d’être vigilants, de faire le suivi de l’ensemble de leurs transactions », a fait valoir François Dumais, inspecteur à la police de Laval. Le policier a qualifié la fraude par vol d’identité de « fléau ».

L’enquête se poursuit. Des perquisitions ont été effectuées. « On garde l’esprit ouvert, ce n’est pas impossible que cette personne ait travaillé avec d’autres personnes », a ajouté M. Dumais.

Des données délicates éparpillées

Chose certaine, a souligné Eric Parent, d’EVA Technologies, il y a là une leçon pour les plus petites entreprises, qui sont loin de consacrer autant de moyens que Desjardins à la sécurité.

« Je rencontre des PDG et des responsables d’entreprise tous les deux ou trois jours qui ont le “syndrome du surhomme”, qui croient que leur technologie est solide et qu’ils sont en sécurité, a-t-il rapporté. Ça me fait bien rire : si Desjardins n’est pas capable de se protéger, ça remet en question toutes les entreprises. »

Ces petites entreprises sont particulièrement à risque en matière de segmentation des données avec la multiplication des plateformes. Un problème qui se propage dans les grandes entreprises, selon Jean-Loup Le Roux.

« La notion de périmètre est en train de tomber, a-t-il déploré. Tout le monde a de l’information dans son ordinateur portable, dans ses courriels, sur Slack [plateforme professionnelle de partage d’informations]. Dans les petites boîtes, la segmentation ne veut plus rien dire. »

Des mesures de sécurité à renforcer

« Cet incident majeur qui frappe aujourd’hui le Mouvement Desjardins met en perspective le risque omniprésent qui pèse de nos jours sur toutes les organisations en matière de risques liés à la sécurité de l’information. Comme elle en fait état publiquement depuis plusieurs années, l’Autorité insiste auprès des institutions financières qu’elle encadre sur l’importance que celles-ci évaluent adéquatement les risques associés à leurs technologies de l’information et qu’elles renforcent les mesures touchant la protection des renseignements personnels et la cybersécurité. L’Autorité s’est donc assurée que Desjardins avait déployé immédiatement les mesures de renforcement additionnelles requises à la lumière de la faille découverte dans le cadre de cet incident. »

— L’Autorité des marchés financiers, dans un communiqué

Un risque réputationnel

« Il y a un risque réputationnel pour Desjardins. On l’a vu avec le cas de piratage d’Equifax. Ça lui a porté ombrage. [L’agence a été blâmée à la suite du vol d’informations confidentielles de 143 millions de personnes en 2017.] Sur le plan judiciaire, ce n’est pas impossible qu’il y ait une action par des membres. On a vu des actions collectives dans d’autres cas. Mais ça ne veut pas dire qu’un juge déterminera que Desjardins a fait une faute. C’est du cas par cas. Ce n’est pas impossible non plus que la Commission d’accès à l’information du Québec se penche sur cette question. Un bris de sécurité inquiète toujours les consommateurs. Il y a un grand travail de relations publiques à faire pour redonner confiance aux consommateurs. Est-ce que le remède offert, soit le service de surveillance du dossier de crédit gratuit pendant 12 mois, sera suffisant ? »

— Alexandre Plourde, avocat et analyste d’Option consommateurs

Une cote d’amour à protéger

« En matière de gestion des dommages, Guy Cormier [président et chef de la direction] a fait la bonne affaire. Il a pris sa responsabilité publiquement. Il n’a pas joué à la victime. Cela dit, il y aura une enquête sur la responsabilité de Desjardins. Si on apprend qu’elle est en faute, qu’un rapport interne existait depuis longtemps indiquant qu’il y avait des risques de fuite, ça pourrait lui faire mal. Pour le moment, elle ne devrait pas perdre de membres. Il y a eu peu de réactions pour Sony, à l’époque. Des brèches, il y en a eu d’autres. Mais il ne faut pas que Desjardins oublie la cote d’amour de ses membres. Les attentes sont plus élevées envers elle, car elle fait partie du patrimoine. Ce n’est pas une banque. Si elle répond avec le ton corporatiste des grandes banques, comme elle le fait quand on parle de la fermeture des guichets automatiques en région, ça va lui nuire. »

— Stéphane Mailhiot, vice-président, stratégie, de l’agence de publicité Havas Montréal

(Propos recueillis par Isabelle Massé, La Presse)

Les clients touchés seront informés, notamment par l’intermédiaire du service AccèsD.

« Vous ne subirez aucune perte financière si des transactions non autorisées étaient réalisées dans vos comptes Desjardins en lien avec cette situation », assure Desjardins.

Desjardins fera parvenir aux clients touchés un code pour activer gratuitement un forfait de surveillance de leur dossier de crédit et d’assurance en cas de vol d’identité dans une firme spécialisée.

La coopérative dit avoir haussé sa vigilance. « Lors de vos prochaines communications téléphoniques avec nous, vous constaterez que les procédures pour confirmer votre identité ont été renforcées », indique-t-elle.

Desjardins a indiqué qu'elle ne demandera jamais, de façon non sollicitée, de renseignements personnels par courriel ou par message texte.

— Philippe Teisceira-Lessard, La Presse