La fuite chez Desjardins n’épargne personne

Les membres touchés commenceront à être avisés dès lundi par l’entremise de la plateforme AccèsD.
Photo: Olivier Zuida Le Devoir Les membres touchés commenceront à être avisés dès lundi par l’entremise de la plateforme AccèsD.

Des centaines de milliers de clients du Mouvement Desjardins qu’on croyait jusqu’ici épargnés par la fuite de renseignements personnels seront avisés à partir de lundi qu’ils font eux aussi partie des victimes, l’organisation ayant été informée par la Sûreté du Québec que les données de 4,2 millions de membres particuliers ont été dérobées, et non 2,7 millions comme on l’estimait cet été. L’annonce a suscité de hauts cris à Québec, où l’opposition réclame depuis des mois une commission parlementaire sur la protection des données.

Informé par la SQ jeudi soir, le président de Desjardins, Guy Cormier, a convoqué la presse à 90 minutes d’avis vendredi matin pour procéder à l’annonce, tout en précisant qu’il « ne s’agit pas d’une nouvelle fuite » de renseignements. « C’est toujours la même enquête sur le même délit, commis par le même ex-employé malveillant qui a agi selon un stratagème qui a été démantelé. »

La SQ n’a fourni aucune autre information à Desjardins. Avant l’appel des enquêteurs, la direction de Desjardins n’avait aucun indice suggérant que le nombre de membres touchés pouvait être supérieur, a ajouté M. Cormier. Le groupe coopératif a rappelé que « la situation ne concerne que des membres détenant un compte bancaire avec Desjardins ».

Cependant, la direction de Desjardins ignore pour l’instant si le nombre de membres entreprises touchés est supérieur à l’estimation de 173 000 produite cet été. Il y a environ 350 000 membres entreprises au total.

 
Photo: Graham Hughes La Presse canadienne Le président du Mouvement Desjardins, Guy Cormier, était l’invité de la Chambre de commerce de Montréal vendredi. La veille, il avait appris de la Sûreté du Québec que le vol de données dont la coopérative a été victime venait de prendre de l’ampleur.

Pour épauler ses membres, Desjardins a offert cet été de fournir des codes d’activation permettant d’avoir accès gratuitement à un programme de surveillance du dossier de crédit. La durée du programme est de cinq ans. De nombreux clients se sont plaints d’une longue attente au téléphone, de même qu’un site Internet boiteux.

Invité à commenter cette insatisfaction, M. Cormier s’est fait rassurant. « On apprend. J’ai l’impression de répéter un film. » La capacité du site Internet d’Equifax s’est améliorée, a-t-il déclaré, et l’entreprise a procédé à l’embauche de personnel supplémentaire. Depuis juin, 40 % des membres touchés ont activé leur code pour déclencher le programme de surveillance.

Les membres touchés commenceront à être avisés dès lundi par l’entremise de la plateforme AccèsD, où ils recevront leur code. De plus, l’organisation s’est engagée cet été à protéger les actifs de ses membres qui seraient touchés par des transactions non autorisées dans leur compte.

En septembre dernier, la SQ a interrogé 17 personnes d’intérêt à la suite d’une série de perquisitions menées dans le cadre de l’enquête Portier. Le corps policier a rencontré 91 témoins dans les secteurs de Québec, Montréal et Laval, sans procéder à une arrestation formelle. Jusqu’à présent, l’enquête a démontré qu’un employé malveillant de Desjardins, qui a été congédié, a agi de manière illégale.

Le Mouvement Desjardins a déjà provisionné 70 millions pour faire face aux coûts engendrés par la protection de ses membres. Ce chiffre ne devrait pas changer, a dit M. Cormier en conférence de presse.

De manière générale, il peut arriver que de nouveaux éléments émergent au cours d’une d’enquête, selon un expert. « Quand on fait l’analyse plus poussée des disques durs, c’est parfois là qu’on obtient des données qu’on n’avait pas initialement », a dit en entrevue Micho Schumann, consultant en cybersécurité.

Pression sur les gouvernements

Le hasard a voulu que M. Cormier avait accepté il y a des mois de prononcer vendredi midi une allocution devant la Chambre de commerce du Montréal métropolitain. Le président de Desjardins a profité de la tribune pour affirmer que partout dans le monde, des gouvernements « marchent dans la direction de l’identité numérique ». « Le Canada et le Québec, qui se présentent comme des leaders dans les technologies de pointe, doivent se mettre au travail. Le nouveau gouvernement du Canada doit donner un signal très clair en ce sens-là », a-t-il dit en précisant qu’il entend « mettre de la pression ».

Par ailleurs, un groupe de travail mis sur place en interne chez Desjardins devrait produire au début de 2020 un rapport sur les connaissances de la population en matière de renseignements personnels, sur l’amélioration de la gestion des données dans les entreprises et sur ce que font les gouvernements dans le monde en matière de protection d’identité numérique.

Examen en commission

Le Parti québécois et le Parti libéral sont revenus à la charge vendredi avec une nouvelle demande de commission spéciale sur la protection des données. « Si on regarde le nombre de personnes touchées, ça représente presque la moitié du Québec au grand complet », a constaté le député péquiste Martin Ouellet. Les caquistes ont déjà refusé deux mandats d’initiative. Ils rejettent l’idée de faire témoigner Revenu Québec, même si ce ministère a lui aussi été victime d’une fuite de données durant l’été. « On vient de perdre quatre mois, a déploré la députée libérale Lise Thériault. On n’a toujours pas de projet de loi. »

Le gouvernement est peu rassurant, selon Québec solidaire. « C’est une digue dont nous avons besoin pour nous protéger des fuites », a réagi le député Vincent Marissal par communiqué.

Le ministre des Finances, Eric Girard, s’est dit ouvert à un mandat d’initiative « ciblé et circonscrit ». Selon lui, la réponse de Desjardins est « adéquate » et l’institution financière va « en sortir grandie » dans la mesure où elle « continue de prouver à ses membres » qu’elle est « une institution financière solide ». « Cet incident-là va nous amener à un autre niveau des meilleures pratiques », a-t-il affirmé.

M. Girard a rappelé que deux projets de loi sont en cours d’élaboration, l’un pour encadrer les agences de crédit et l’autre pour protéger les renseignements personnels détenus par les entreprises privées, les organismes publics et les partis politiques. Le gouvernement travaille également sur une politique sur la cybersécurité.