2,9 millions de membres exposés à la fraude
Oubliez les pistolets, les cagoules et les otages. En 2019, les braquages de banques les plus payants se commettent en toute discrétion, derrière un écran.
Desjardins a révélé hier s’être fait voler les renseignements personnels d’un Québécois sur trois, permettant à des fraudeurs d’ouvrir un compte bancaire ou d’obtenir une carte de crédit à leur nom.
Le butin vaut des millions de dollars.
Le présumé cambrioleur : un employé de l’institution financière qui a trompé la vigilance de son employeur.
Le grand patron de Desjardins en a fait l’annonce hier après-midi. Guy Cormier s’est dit choqué par les actes de cet individu congédié et arrêté, mais toujours pas accusé. « Je me sens trahi », a-t-il dit.
On ne sait pas encore avec précision comment le voleur a utilisé ces noms, dates de naissance, numéros d’assurance sociale et adresses de 2,9 millions de personnes. Mais elles valent leur pesant d’or, selon des spécialistes de la cybersécurité.
Elles ont « une grande valeur sur le marché noir », estime Eric Parent, PDG de la firme EVA Technologies.
Selon lui, un dossier contenant l’adresse, la date de naissance, le nom, le numéro de téléphone et surtout le numéro d’assurance sociale d’une personne pourrait facilement trouver preneur sur le marché noir, à un prix qu’il estime entre 1 $ et 3 $ pièce. « Ça fait dans les 3 à 9 millions de dollars. C’est toujours alléchant quand on est assis sur une telle masse d’informations. Et votre numéro d’assurance sociale et votre date de naissance, ce sont les seules informations que vous ne pouvez pratiquement pas changer… »
En conférence de presse dans un hôtel du centre-ville de Montréal, le grand patron de Desjardins a expliqué que l’institution avait d’abord détecté une transaction suspecte à la fin de 2018. Elle avait porté plainte à la police de Laval – une opération de routine.
Puis, le mois dernier, les enquêteurs ont compris qu’il ne s’agissait pas d’une tentative de fraude comme les autres. La semaine dernière, ils ont rencontré Desjardins pour lui expliquer qu’elle avait un énorme problème entre les mains : la fuite venait de l’intérieur et elle était gigantesque.
« Je suis indigné, je trouve ça complètement inacceptable. La fraude interne, c’est la fraude la plus difficile et la plus complexe à détecter. »
— Guy Cormier, PDG de Desjardins
Mais selon deux experts, le modus operandi de cette fuite pourrait trahir l’existence d’un problème plus profond de sécurité chez Desjardins.
« Comment est-il possible qu’une personne mal intentionnée ait eu accès à autant de données, qu’elle ait pu les sortir du réseau sans qu’un système de sécurité le détecte ? », s’est demandé David Masson, directeur général de Darktrace Canada, en entrevue. « C’est peut-être une faiblesse du réseau de Desjardins. Cela dit, elle est très commune. »
Selon Jean-Loup Le Roux, PDG de I & I Strategy, le fait que le voleur ait réussi à réunir autant d’informations disparates semble indiquer un problème à protéger les informations à la source.
« La méthode la plus efficace, c’est de faire descendre la sécurité jusqu’au niveau de la donnée, plutôt que de verrouiller à triple tour les ordinateurs portables ou les bases de données, a-t-il dit. Si la donnée avait été cryptée, par exemple, l’employé aurait pu la sortir du réseau, mais les informations auraient été protégées, personne n’aurait pu les lire. »
Desjardins, quant à elle, assure faire le maximum pour protéger les renseignements personnels que ses clients lui confient.
L’employé en cause serait un spécialiste des données. Il aurait abusé de la confiance de certains collègues pour réussir à réunir différentes bases de données stockées séparément pour des raisons de sécurité. À l’instar d’autres entreprises qui gèrent d’énormes quantités de renseignements personnels, Desjardins les segmente, grâce à des listes de noms sans numéro d’assurance sociale ou des listes de numéros d’assurance sociale sans nom, par exemple.
« Il n’y a personne chez Desjardins qui ouvre son ordinateur et qui a accès à tout ça. On est beaucoup plus sécuritaires que ça. »
— Denis Berthiaume, premier vice-président exécutif
Le cambrioleur aurait trouvé un moyen d’associer ces listes. Des mesures sont en place pour éviter qu’un tel stratagème soit possible, mais l’individu les aurait déjouées.
Le groupe financier dit ne pas avoir constaté une hausse des fraudes depuis cette brèche dans la sécurité. Les membres touchés seront tous avisés et ils auront droit à un service spécial gratuit de surveillance pour éviter tout détournement de fonds.
Mais le danger demeure, estime David Masson, de Darktrace Canada. « Les consommateurs ont raison d’avoir des craintes : en cette ère de cybercriminalité, de telles informations, c’est de l’argent facile pour les crapules, a-t-il dit. J’espère que Desjardins compte les informer adéquatement des risques, qu’on leur conseille quoi faire si leurs informations ont été piratées. »
« On demande aux gens d’être vigilants, de faire le suivi de l’ensemble de leurs transactions », a fait valoir François Dumais, inspecteur à la police de Laval. Le policier a qualifié la fraude par vol d’identité de « fléau ».
L’enquête se poursuit. Des perquisitions ont été effectuées. « On garde l’esprit ouvert, ce n’est pas impossible que cette personne ait travaillé avec d’autres personnes », a ajouté M. Dumais.
Chose certaine, a souligné Eric Parent, d’EVA Technologies, il y a là une leçon pour les plus petites entreprises, qui sont loin de consacrer autant de moyens que Desjardins à la sécurité.
« Je rencontre des PDG et des responsables d’entreprise tous les deux ou trois jours qui ont le “syndrome du surhomme”, qui croient que leur technologie est solide et qu’ils sont en sécurité, a-t-il rapporté. Ça me fait bien rire : si Desjardins n’est pas capable de se protéger, ça remet en question toutes les entreprises. »
Ces petites entreprises sont particulièrement à risque en matière de segmentation des données avec la multiplication des plateformes. Un problème qui se propage dans les grandes entreprises, selon Jean-Loup Le Roux.
« La notion de périmètre est en train de tomber, a-t-il déploré. Tout le monde a de l’information dans son ordinateur portable, dans ses courriels, sur Slack [plateforme professionnelle de partage d’informations]. Dans les petites boîtes, la segmentation ne veut plus rien dire. »