Des renseignements personnels volés chez Desjardins

«Desjardins a pris connaissance d’une situation «inquiétante» à la fin du mois de mai», a dit son président, Guy Cormier.
Photo: Michaël Monnier Le Devoir «Desjardins a pris connaissance d’une situation «inquiétante» à la fin du mois de mai», a dit son président, Guy Cormier.

Les renseignements de 2,7 millions de membres individuels et de 173 000 entreprises se sont soudainement retrouvés à l’extérieur des murs du Mouvement Desjardins, une situation sans précédent pour l’institution financière qui n’a pas hésité à congédier un employé « malveillant » pour des gestes « non autorisés et illégaux ».

Visiblement ébranlé par l’épisode, le président de Desjardins, Guy Cormier, a précisé lors d’une conférence de presse mise sur pied rapidement jeudi qu’il ne s’agit pas d’une cyberattaque et que les mots de passe n’ont pas été compromis, mais l’organisation a signalé que des renseignements comme le numéro d’assurance sociale, des noms et des adresses ont été touchés.

Desjardins a pris connaissance d’une situation « inquiétante » à la fin du mois de mai, a dit M. Cormier d’entrée de jeu. À ce moment, la police de Laval ne détenait que des informations partielles. « Il était alors question de renseignements personnels de certains de nos membres. » Le 14 juin, la police a fourni à Desjardins le nombre définitif de personnes et d’entreprises visées, qui comptent pour 40 % de la clientèle du Mouvement. Une enquête interne a alors été lancée.

Puisque l’enquête policière est toujours en cours, les autorités étaient avares d’informations au sujet de la personne congédiée, outre le fait qu’il s’agit d’un homme. Aucune accusation n’a encore été déposée.

« Ça fait 27 ans que je travaille au Mouvement Desjardins […], aujourd’hui, comme membre, je me sens trahi, a dit M. Cormier. Et comme président du Mouvement Desjardins, je… Qu’un membre ait décidé de trahir les autres membres, à mes yeux, c’est… Je ne vous dirai pas tous les mots que j’ai en tête actuellement, parce que je suis devant les caméras. Je suis indigné. »

Le Mouvement Desjardins n’a jamais vécu un événement d’une telle ampleur. En guise de comparaison, Simplii Financial (banque virtuelle de la CIBC) et la Banque de Montréal ont annoncé l’an dernier que des fraudeurs avaient potentiellement mis la main sur les données de 40 000 clients et « moins de 50 000 clients » respectivement. Dans le cas d’Equifax, un piratage de renseignements personnels avait touché 140 millions de clients dans le monde, mais seulement 19 000 Canadiens.

L’institution financière compte contacter directement — par la poste — les clients touchés. L’organisation a commencé jeudi après-midi à envoyer des courriels aux membres concernés et les aviser du fait qu’ils recevront du courrier sous peu. « Desjardins ne vous demandera jamais, de façon non sollicitée, des renseignements personnels par courriel ou message texte », peut-on lire dans la missive qui demande par ailleurs d’être vigilant quant aux transactions qui apparaissent dans les comptes.

Resserrement des mesures

Desjardins a également insisté sur le fait qu’il a resserré les mesures de sécurité pour les clients qui communiquent avec leur Caisse ou se branchent sur leur compte AccèsD, et offrira aux membres qui le souhaitent un service de surveillance de dossier de crédit de 12 mois auprès d’Equifax. Cela comprend aussi une assurance dans l’éventualité d’un vol d’identité.

Les conséquences potentielles d’un vol de renseignements sont connues. Selon le Commissariat à la protection de la vie privée du Canada, des données comme une date de naissance, une adresse, un numéro de carte de crédit ou un NAS « peuvent servir à obtenir une carte de crédit, à ouvrir un compte bancaire, à réacheminer le courrier », etc.

En analysant les données des derniers mois, « on ne constate pas de hausse du nombre de fraudes chez Desjardins », a dit Guy Cormier. Puisque la personne a été congédiée et que des mesures ont été prises, le stratagème « ne pourra plus jamais être mis en vigueur chez Desjardins ».

Dans le cas des particuliers, les renseignements compromis, selon Desjardins, sont : « nom, prénom, date de naissance, numéro d’assurance sociale, adresse, numéro de téléphone, courriel ainsi que certains renseignements au sujet d’habitudes transactionnelles et de produits détenus ». Pour les entreprises, il s’agit par exemple du nom de la société, du nom du propriétaire ou du nom de l’utilisateur du compte AccèsD Affaires.

M. Cormier a affirmé que les avoirs des membres « et les transactions qu’ils effectuent sont protégés. Advenant une perte financière liée à cette situation, ils seront remboursés ». Il était accompagné du premier vice-président exécutif et chef de l’exploitation, Denis Berthiaume.

L’Autorité des marchés financiers a indiqué dans un communiqué qu’elle a été « rapidement avisée de l’incident tôt après sa découverte » et qu’elle est « satisfaite des gestes posés jusqu’ici par Desjardins afin de protéger l’intérêt de ses membres et leurs actifs ».

« Cet incident majeur qui frappe aujourd’hui le Mouvement Desjardins met en perspective le risque omniprésent qui pèse désormais sur toutes les organisations en matière de risques liés à la sécurité de l’information », a ajouté l’AMF. Les institutions doivent tout faire pour évaluer « adéquatement les risques associés à leurs technologies de l’information », et doivent constamment renforcer « les mesures touchant la protection des renseignements personnels et la cybersécurité ».

6 commentaires
  • Bertrand Ouellet - Inscrit 21 juin 2019 07 h 05

    Desjardins vol de données

    Mr Cormier nous dit que nos transactions seront assurées contre la fraude pour une période de 1 an , c'est inaceptable , nous devrions être assurés contre toute fraude qui serait dû a cette situation peu importe le temps ou celle-ci sera effectué.

  • Marc Davignon - Abonné 21 juin 2019 07 h 43

    La prévention ce n’est pas simple (le président)

    Si vous y ajoutez les intentions malveillantes d'un individu, alors, cela devient impossible?

    La solution? Un forfait Equifax! Un forfait? Alors, que devient le rôle des banques?

    Alors, vous avez un forfait pour faire des retraits (?!), et vous avez un forfait Equifax. Ce dernier vous enverras des <alertes> (vrais ou fausses) sur votre cellulaire avec votre forfait <data>. Si cela ne fonctionne pas, ce sera de votre faute, car vous n'aurez pas surveillé vos affaires.

    Voilà comment est définie la responsabilité, aujourd'hui : elle appartient à celui qui paie les forfaits.

  • François Boulay - Abonné 21 juin 2019 09 h 20

    Desjardins

    Un employé à volé des données et il n'a pas encore été accusé. Il peut donc continuer à vendre nos renseignements personnels pendant l'enquête. BIZARRE

  • Serge Lamarche - Abonné 21 juin 2019 14 h 02

    Protéger des traitrises

    C'est le plus difficile. Il ne faut pas que les employés aient accès à autan de données. On parle de stratagème, donc plus compliqué et vraiment malin.

  • Samuel Prévert - Inscrit 21 juin 2019 16 h 10

    À vie

    En tant que victime, j'exige une protection À VIE de la part de Dejardins