MONTRÉAL — Les informations personnelles de 2,9 millions de membres du Mouvement Desjardins pourraient se trouver entre les mains de personnes mal intentionnées après avoir été transmises illégalement par un employé de la coopérative.
Ce dernier a été congédié, a expliqué le président et chef de la direction de Desjardins, Guy Cormier, jeudi, en conférence de presse, où il a dit s’être senti «trahi» par le comportement de cet individu — un spécialiste des données.
«C’est la première fois qu’une situation de cette ampleur-là arrive chez Desjardins», a-t-il dit, en prenant soin d’ajouter qu’il ne s’agissait pas d’une cyberattaque.
Le Mouvement Desjardins compte quelque 7 millions de membres. Au total, c’est 2,7 millions de particuliers et 173 000 entreprises, soit 41 pour cent de sa clientèle, qui sont affectés.
En fin d’après-midi, jeudi, la coopérative avait déjà envoyé, sur Accès D, des messages à ses membres concernés. La missive visait notamment à réitérer qu’il n’y aurait «aucune perte financière si des transactions non autorisées étaient réalisées».
Cette fuite constitue l’une des plus importantes au Canada à se produire à l’intérieur d’une organisation alors que généralement, au cours des dernières années, on a davantage assisté à des cyberattaques en provenance de l’extérieur.
Bouquet de détails
Des noms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels, — des informations prisées par les fraudeurs — ainsi que des renseignements en matière d’habitudes transactionnelles et de produits détenus ont été transmis illégalement à des tiers.
Toutefois, les mots de passe, les numéros d’identification personnels des membres et leurs questions de sécurité n’ont pas été compromis.
«Les systèmes de contrôle en place sont très serrés, a dit le chef de l’exploitation de Desjardins, Denis Berthiaume. La personne a usé de stratagèmes pour collecter les données. Ce n’est pas tant un spécialiste des technologies, mais quelqu’un qui travaillait dans les données.»
Néanmoins, Mourad Debbabi, professeur à l’Université Concordia et spécialiste de la cybersécurité, s’est montré étonné qu’autant de personnes soient affectées par les agissements d’un seul individu.
Au cours d’un entretien téléphonique, il a estimé que cela ne devrait pas être possible pour un employé d’une organisation d’avoir accès à une information sensible sans que cela ne soit détecté rapidement.
«Il y a quand même des numéros d’assurance sociale qui ont été transmis, c’est une information sensible, a dit M. Debbabi. Avec cela, on peut faire pas mal de choses. C’est quand même assez dramatique comme nouvelle.»
Peu de détails
Puisque l’enquête du Service de police de Laval est toujours en cours, personne n’a voulu s’avancer sur les motivations de l’employé à l’origine de la fuite et de l’endroit où pourraient se trouver les données transmises.
Si l’inspecteur François Dumais a indiqué que l’individu a été interpellé et interrogé, il n’a pas voulu dire si des accusations avaient été déposées à son endroit. Cette personne a toutefois été remise en liberté en attendant la suite des procédures.
«C’est une infraction criminelle qui s’est passée sur notre territoire qui nous a permis de débuter une enquête, et, au fil du temps, les éléments recueillis dans l’enquête nous ont permis de constater l’ampleur des actes qui avaient été posés», a-t-il dit.
L’affaire a débuté en décembre dernier à la suite d’une plainte déposée par Desjardins et c’est le 14 juin dernier que la police de Laval a donné une idée de l’ampleur de la situation au mouvement coopératif.
Malgré tout, une hausse des fraudes n’aurait pas été constatée, a indiqué Desjardins, qui dit avoir resserré la sécurité à l’interne.
Les membres touchés auront droit à un service personnalisé gratuit de surveillance du dossier de crédit et d’assurance en cas de vol d’identité pendant une année. Un microsite a été mis en ligne sur le site internet du mouvement coopératif dans le but de répondre aux questions.
L’Autorité des marchés financiers a indiqué qu’il s’agissait d’une «situation très sérieuse». Dans un communiqué, le gendarme boursier s’est montré «satisfait» des gestes posés «jusqu’ici» par Desjardins.
Des failles de sécurité sont survenues à la Banque de Montréal ainsi qu’à la Banque CIBC en mai. Equifax avait également annoncé en 2017 qu’une importante brèche avait compromis les informations personnelles et les détails des cartes de crédit de 143 millions d’Américains et de 100 000 Canadiens.
En août, quelque 20 000 clients d’Air Canada avaient également appris que leurs données personnelles avaient peut-être été compromises à la suite d’un imprévu avec l’application mobile de la compagnie.
— — —
Chronologie de l’affaire:
— Décembre 2018: Desjardins porte plainte auprès de la police de Laval à la suite d’une transaction suspecte.
— 22 mai: Des informations indiquent qu’un nombre «restreint» de membres, selon Desjardins, sont concernés.
— 14 juin: Desjardins prend connaissance de l’ampleur de la fuite à la suite des informations fournies par la police de Laval
— 20 juin: La coopérative annonce que les informations personnelles de quelque 2,9 millions de ses membres sont à risque.
