Un employé malveillant du Mouvement Desjardins a volé les données personnelles de 2,9 millions de membres particuliers et de membres entreprises. Bien que le voleur n'ait pas eu accès aux mots de passe et aux questions secrètes des clients, des informations sensibles figurent parmi les informations dérobées. Et celles-ci pourraient très bien se trouver entre les mains de personnes mal intentionnées.

En conférence de presse, jeudi, le président et chef de la direction de Desjardins, Guy Cormier, a précisé dès le départ que l'employé à l'origine de la fuite – un spécialiste des données – « a rapidement été congédié » et que « le stratagème qu'il a mis au point a été démantelé ».

Je peux vous assurer que ce stratagème-là ne pourra plus jamais être mis en vigueur chez Desjardins. Guy Cormier, président et chef de la direction de Desjardins

Ce vol de données est d'une ampleur sans précédent pour le mouvement coopératif, a admis M. Cormier.

« Je suis indigné et je trouve totalement inacceptable ce qui vient de se passer », a-t-il dit, affirmant au passage qu'il ne s'agissait pas d'une cyberattaque, mais bien d'« un geste perpétré à l'interne par un employé malveillant ».

Un contenu vidéo est disponible pour cet article Entrevue avec Guy Cormier, président et chef de la direction de Desjardins, au Téléjournal 18 h

C'est une transaction suspecte survenue à Laval en décembre 2018 qui a éveillé les soupçons de Desjardins, qui a porté plainte auprès du Service de police de Laval (SPL). Mais ce n'est que le 14 juin dernier que celui-ci a confirmé au mouvement coopératif l'ampleur de la situation.

Selon une source proche du dossier, les données ont été retrouvées sur des clefs USB. Elles concernent 2,7 millions de particuliers ainsi que 173 000 entreprises, soit un peu plus de 40 % des clients du groupe financier.

Des noms, prénoms, dates de naissance, numéros d'assurance sociale, adresses, numéros de téléphone, courriels ainsi que d'autres renseignements portant sur les « habitudes transactionnelles » et les « produits » bancaires détenus par les clients de Desjardins ont été transmis illégalement à des tiers. Toutefois, les mots de passe, les numéros d'identification personnels (NIP) des membres et leurs questions de sécurité n'ont pas été compromis.

Le suspect arrêté, puis libéré

L'employé à l'origine de la fuite a été interpellé et interrogé, a précisé l'inspecteur François Dumais après la conférence de presse. Mais comme aucune accusation n'a encore été déposée contre lui, rien ne peut être dit en ce qui a trait à son identité, outre le fait qu'il a été remis en liberté en attendant la suite des procédures judiciaires.

Sur les circonstances du crime, l'inspecteur Dumais s'est également fait avare de détails. « C'est une infraction criminelle qui s'est passée sur notre territoire qui nous a permis de débuter une enquête, et, au fil du temps, les éléments recueillis dans l'enquête nous ont permis de constater l'ampleur des actes qui avaient été posés et de l'événement », s'est-il contenté de dire.

Le SPL a confié l'enquête criminelle à son équipe de lutte contre la fraude. Celle-ci n'a pas effectué d'autres arrestations jusqu'à maintenant. « Mais on garde l'esprit ouvert », a déclaré François Dumais.

L'inspecteur François Dumais, du Service de police de Laval Photo : Radio-Canada / Ivanoh Demers

La police de Laval n'en est pas à sa première enquête du genre, a spécifié l'inspecteur.

« Depuis le début de l'année, au niveau de la Ville de Laval, on a environ 450 dossiers de fraude. Un petit peu plus du tiers d'entre eux sont reliés à des vols d'identité. C'est un fléau. Encore une fois, on demande aux gens d'être très vigilants envers leurs données personnelles et de faire un suivi sur les différentes demandes de crédit qui pourraient être faites en leur nom. »

Un contenu vidéo est disponible pour cet article Entrevue avec Michel Carlos

Michel Carlos, ex-chef de l'escouade des crimes économiques à la Sûreté du Québec, est aujourd'hui vice-président des opérations pour la firme Artemis Renseignement, qui conseille plusieurs entreprises, dont des banques. De passage à l'émission 24/60, jeudi, il a expliqué que la qualité des informations obtenues illégalement a probablement déjà été testée par de petites fraudes, puisque ce type de données personnelles est généralement vendu sur le web invisible (dark web) à de petits fraudeurs par paquets de 1000 à 5000 noms.

Si le passé est garant de l'avenir, une demande de recours collectif pourrait fort bien être déposée contre Desjardins, a souligné M. Carlos, rappelant que les 90 000 clients de la BMO et de Simplii Financial (CIBC) qui se sont fait voler leurs renseignements personnels en mai 2018 n'ont pas hésité à déposer une action collective contre ces deux banques.

Sécurité renforcée à l'interne

Le Mouvement Desjardins affirme que le nombre de fraudes répertoriées dans son réseau n'a pas augmenté depuis le vol. Il assure néanmoins qu'« advenant une perte financière liée à cette situation, [les membres et les clients touchés] seront remboursés ».

« Les membres constateront aussi que les procédures pour confirmer leur identité ont été resserrées dans les caisses Desjardins et les centres d'appels, ajoute-t-il dans son communiqué. D'autres mesures, que Desjardins ne peut dévoiler afin de ne pas nuire à leur efficacité, ont également été mises en place. »

Le groupe financier affirme en outre qu'il communiquera par lettre avec chacun des membres touchés au cours des deux prochaines semaines et qu'il offrira à ceux qui le désirent un service de surveillance contre les vols d'identité assuré par la société Equifax. Ce service sera offert pour une durée d'un an, mais il pourra être prolongé au besoin, a mentionné Denis Berthiaume, premier vice-président exécutif et chef de l'exploitation de Desjardins. (Mise à jour : Desjardins a annoncé le 21 juin qu'il étendait la durée de la protection d'Equifax à cinq ans.)

Denis Berthiaume, premier vice-président exécutif et chef de l'exploitation de Desjardins Photo : Radio-Canada / Ivanoh Demers

Un microsite ﻿ (Nouvelle fenêtre)﻿ a également été mis en ligne sur le site web du mouvement coopératif dans le but de répondre aux questions des gens touchés.

Québec réitère sa confiance envers Desjardins

Le cabinet du premier ministre François Legault a tôt fait de réagir, jeudi après-midi.

« Cet événement nous rappelle que la sécurité liée aux TI [technologies de l'information, NDLR] est un enjeu auquel font face toutes les organisations, indique-t-il dans une déclaration écrite transmise à Radio-Canada. Nous avons échangé avec les dirigeants de Desjardins, qui sont en contrôle de la situation. Nous leur faisons confiance. »

Nous sommes satisfaits des actions prises par Desjardins à ce stade-ci et de la transparence dont ils font preuve dans ce dossier. Le cabinet du premier ministre François Legault

Quant à l'Autorité des marchés financiers (AMF), elle croit qu'« il s'agit d'une situation très sérieuse [qui] met en perspective le risque omniprésent qui pèse désormais sur toutes les organisations en matière de risques liés à la sécurité de l'information ».

Elle se dit toutefois « satisfaite des gestes posés jusqu'ici par Desjardins afin de protéger l'intérêt de ses membres et leurs actifs » et « demeure confiante que les dirigeants de l'institution ont pris la situation en charge avec la rigueur, la transparence et la célérité que commande la situation ».

Desjardins compte près de 7 millions de membres et clients, ainsi que 46 216 employés. Son actif est évalué à plus de 300 milliards de dollars.

Avec la collaboration de Jacaudrey Charbonneau et La Presse canadienne