L’ancien employé de Desjardins soupçonné d’avoir volé les données personnelles de 2,9 millions de clients se pose en victime. Il veut braquer les projecteurs sur des prêteurs privés et des financiers de Québec qui auraient acheté le butin pour mousser leurs affaires.

Sébastien Boulanger Dorval n’a pas touché d’argent comptant pour les données dérobées. Selon nos sources, les acheteurs l’ont plutôt payé avec quelques milliers de dollars... en cartes-cadeaux d’épicerie et des restaurants Saint-Hubert.

Après des jours de recherche, notre Bureau d’enquête et l’équipe de l’émission J.E. l’ont retrouvé dans le modeste appartement de sa conjointe, sur la Rive-Sud de Québec. Elle vient d’emménager dans le logement, pauvrement meublé et situé dans un vieux triplex.

À l’arrivée des journalistes, Boulanger Dorval se précipite dans une petite pièce adjacente à la cuisine. « Il n’a jamais voulu de mal à personne. Il n’a jamais voulu que ça, ça arrive », assure sa conjointe.

Puis, l’ancien spécialiste en marketing congédié par Desjardins finit par se montrer. Avec sa barbe de quelques jours et sa chevelure négligée, il affiche une mine défaite et se tient en retrait, dans l’embrasure d’une porte.

Il se dit « complètement démoli » par l’affaire. Sur les conseils de son avocat, il ne fait aucune déclaration sur l’enquête qui le vise.

« Tout va croche dans ma vie présentement », dit le père de famille.

Il n’exprime toutefois aucune pensée pour les 2,9 millions de personnes et d’entreprises victimes du vol de données confidentielles qu’il aurait commis.

« J’en ai marre »

Le couple voudrait que l’attention se porte sur une poignée d’hommes d’affaires qui profiteraient aujourd’hui des données.

« J’en ai marre que ça te tombe tout sur le dos, puis que les autres font comme si de rien n’était », lui dit sa compagne.

Méfiant, Boulanger Dorval se plaint d’avoir reçu des menaces de mort après la publication de son nom.

« C’est pour ça que je fais attention. Les gens qui viennent près de la maison, je les regarde. »

Une lettre de Desjardins à son attention traîne sur la table. Manque de fonds, chèques sans provision... l’entreprise est vraisemblablement sur son cas.

Plein accès aux données

Selon nos informations, le suspect n’a rien d’un pirate informatique. Il a pu facilement extraire les informations dérobées.

Après les avoir copiées sur au moins deux clés USB, Boulanger Dorval les aurait revendues à un ami qui faisait dans le prêt privé.

Il s’agit de Jean-Loup Leullier Masse, 27 ans. Dès le 6 juin, la police de Laval perquisitionnait d’ailleurs dans les bureaux de son entreprise, avenue de la Gare, à Montmagny. Les policiers l’ont ensuite interpellé le 19 septembre, comme 16 autres « sujets d’intérêt ». Il aurait refusé de collaborer, sur les conseils de son avocat.

Pour lui, ces renseignements valent de l’or : 2,9 millions de lignes présentant les informations bancaires de clients de Desjardins, leurs numéros d’assurance sociale et de téléphone, leur adresse, leur carte de crédit...

Une partie des informations serait ensuite passée à un deuxième prêteur privé, également courtier hypothécaire, et à son partenaire, conseiller en placement et en assurances. Selon le registre des entreprises, les deux associés détiennent un « cabinet de services financiers ».

La police les considère comme un suspect et un « sujet d’intérêt ».

Ils ont pu se servir des données pour cibler d’éventuels clients ayant une hypothèque à renouveler ou une carte de crédit à rembourser, par exemple.

Les deux individus ont pris leurs jambes à leur cou quand l’équipe de J.E. les a approchés. Aucun d’eux n’a accepté de s’expliquer, malgré nos multiples tentatives de les joindre et les messages laissés dans leurs boîtes vocales et celles de leurs proches.

Aucune accusation n’a encore été déposée en lien avec le pire cas connu de vol de renseignements personnels au Québec. LA SAGA EN QUELQUES DATES 2017 Sébastien Boulanger Dorval commence à extraire des données du système de Desjardins et à les remettre à un ami prêteur privé, Jean-Loup Leullier Masse. Décembre 2018 Desjardins détecte une transaction suspecte à Laval. La Sûreté du Québec réalise qu’elle est liée à un vol de données. 6 juin 2019 La police de Laval perquisitionne à Montmagny, dans les locaux des firmes de prêts privés de Jean-Loup Leullier Masse. 20 juin 2019 Desjardins annonce avoir été victime du vol des informations confidentielles de 2,9 millions de clients. Septembre 2019 La Sûreté du Québec procède à une vague de perquisitions et interroge 17 « personnes d’intérêt » dans le cadre de son projet Portier consacré à la fuite. De graves lacunes de sécurité dans les données Le vol massif de données provoque un constat brutal chez Desjardins : la sécurité de l’information n’était pas à la hauteur. Sébastien Boulanger Dorval, l’ex-employé soupçonné d’avoir dérobé les informations confidentielles de 2,9 millions de clients, était loin d’être le seul à pouvoir consulter ces renseignements. En fait, au moins une cinquantaine de ses collègues manipulaient ces données jusqu’au 20 juin dernier, a appris notre Bureau d’enquête. « Il n’y avait pas d’alertes en place pour détecter les comportements louches », déplore une source au sein de l’institution financière, qui doit rester anonyme parce qu’elle n’a pas l’autorisation de parler. Pas de piratage Boulanger Dorval, un spécialiste en données de marché, n’a donc pas eu à « pirater » quoi que ce soit pour voler ces informations, selon notre informateur. « C’était sa job de fouiller dans ces données pour générer des rapports et alimenter les gens de stratégies marketing. » Desjardins nie cependant cette version des faits. « L’employé à l’origine de la fuite de données n’avait pas les accès pour obtenir les informations qu’il a transmises à l’extérieur de l’organisation, il a dû utiliser un stratagème pour les obtenir », dit la porte-parole Chantal Corbeil, sans plus de précisions. Les renseignements volés proviennent de l’« entrepôt de données » de Desjardins. À l’interne, les employés de l’institution financière l’appellent FMCDI. Il regroupe l’ensemble des bases de données des caisses : bancaires, placements, assurances... Dès 2017 Boulanger Dorval s’y serait pris à trois fois pour télécharger les informations volées, de 2017 à décembre 2018. À deux reprises, il aurait d’abord dérobé quelques milliers de profils. Finalement, Boulanger Dorval serait retourné dans l’entrepôt de données pour y siphonner les informations sur près de 3 millions de clients. Pour accéder à FMCDI, les employés utilisent le logiciel SAS Grid Manager. À l’époque des vols, Desjardins ne l’avait pas programmé pour permettre de savoir exactement ce que Boulanger Dorval aurait pu en extraire. Le groupe financier a toutefois obtenu, le 27 mai, une ordonnance « Anton Piller » pour faire saisir chez lui les clés USB sur lesquelles sont stockées les données. Cette procédure civile permet de mettre la main sur des éléments de preuve avant qu’ils ne soient détruits. Le hic : la police, elle, n’a pas accès à cette preuve, placée sous scellé. Ça expliquerait en partie pourquoi Boulanger Dorval n’est toujours pas accusé. Nouvelles mesures de sécurité À partir de mai, Desjardins a mis en place de nouvelles mesures de sécurité. Le mouvement coopératif a notamment déployé le « Projet Blanc », qui resserre le nombre d’employés pouvant accéder à son entrepôt de données. « Une initiative vient d’être lancée afin de journaliser tous les accès aux renseignements personnels d’un certain groupe de membres, comme les policiers et certaines personnes “sensibles”, ajoute la source. Le but étant de savoir qui a accédé à ces données. » Les autorités craignent justement que des profils de juges, d’avocats, de policiers ou de ministres se soient retrouvés entre les mains du crime organisé. Le PDG de Desjardins, Guy Cormier, n’avait « pas de temps » pour nos questions, selon le vice-président aux communications, Marc-Brian Chamberland.

Les suspects et personnes d’intérêt Les informations sur 2,9 millions de clients volées à Desjardins seraient passées aux mains d’un prêteur privé douteux, avant d’aboutir dans les ordinateurs de petits financiers habitant des maisons cossues du quartier Cap-Rouge à Québec et de Lac-Beauport. Plusieurs de ceux qui ont eu accès à ces renseignements personnels traînent un passé trouble. À ce jour, aucune accusation criminelle ne pèse contre eux dans le dossier Desjardins. 1. Le voleur allégué

Sébastien Boulanger Dorval (38 ans) Capture d'écran

Tout a commencé avec ce spécialiste de la segmentation des marchés, un travail qui consiste à utiliser des bases de données pour faire du marketing.

Sébastien Boulanger Dorval est soupçonné d’avoir volé les données et de les avoir revendues à une connaissance, Jean-Loup Leullier Masse, un prêteur privé de Chaudière-Appalaches. Le prix ? Quelques milliers de dollars en cartes-cadeaux de supermarchés et de restaurants Saint-Hubert.

Boulanger Dorval lui aurait d’abord remis une première clé USB avec quelques milliers de profils, puis au moins une autre avec le reste des informations.

Les clés portaient les mentions « 1 de 3 » et « 2 de 3 », mais ni la police ni Desjardins n’en ont trouvé de troisième.

2. L’intermédiaire