Fuite chez Desjardins: plus rien comme avant

Le président de Desjardins, Guy Cormier, a révélé, vendredi, que ce ne sont pas 2,7 millions de membres de l’institution financière qui furent les victimes d’un vol de leurs renseignements personnels, mais bien la totalité de ses membres, soit 4,2 millions de personnes.

Comme l’écrivait La Fontaine dans sa fable Les animaux malades de la peste, « Ils ne mouraient pas tous, mais tous étaient frappés ». Tous égaux dans le malheur, pourrait-on ajouter, ce qui, dans un sens, correspond à l’esprit qui peut animer le mouvement coopératif dans les circonstances, mais ce qui ne peut apporter une quelconque consolation.

Desjardins n’avait aucune idée que ce vol de renseignements personnels, commis présumément par un simple employé de l’institution, avait fait davantage de victimes. Guy Cormier a indiqué que c’est la Sûreté du Québec qui l’avait informé jeudi du nouveau décompte et non pas les services de sécurité informatique de Desjardins.

Tout comme les autres victimes, ces membres auront accès, gratuitement et pendant cinq ans, à un service de surveillance et d’alerte de leur dossier de crédit fourni par la filiale canadienne de la société américaine Equifax. Au dire de Desjardins, Equifax serait en mesure de répondre à la demande et, après quelques bavures, elle pourrait même le faire en français. Surtout, Desjardins offre sa propre protection à ses membres : pour leurs avoirs qui lui sont confiés et leurs transactions financières. Les transactions visant d’autres institutions financières ne sont pas protégées, mais Desjardins rembourse certains frais engagés pour remédier à une usurpation d’identité. La vulnérabilité de Desjardins et l’ignorance dont le mouvement a fait preuve relativement à ce qui se passe en ses murs soulèvent bien des questions. « Le risque zéro n’existe pas », a répété son président. Osons tout de même espérer que l’institution a eu sa leçon.

Le gouvernement Legault a l’intention de présenter cet automne un projet de loi pour encadrer les agences de crédit : c’est loin d’être suffisant. Un autre projet de loi est en préparation afin de revoir en profondeur la loi sur la protection des renseignements personnels. Guy Cormier a lui-même plaidé pour l’abandon des numéros d’assurance sociale, un système dépassé, et l’instauration d’une identité numérique. Les partis d’opposition voudraient qu’une commission parlementaire examine ces enjeux. Compte tenu des préoccupations de millions de Québécois, un tel exercice s’impose.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

7 commentaires
  • Jean-Pierre Cloutier - Abonné 5 novembre 2019 08 h 48

    M. Cormier doit partir.

    Comme M. Myles l’avait déjà écrit en juillet dernier, Desjardins doit rendre des comptes sur sa gestion en lien avec le vol d’informations confidentielles de ses membres. Le problème du piratage et du vol de données est bien sûr plus vaste que cette affaire mais, de toute évidence, la Direction de Desjardins a failli dans sa gestion des risques et dans la mise en place de systèmes de protection adéquats. Toute la lumière doit être faite sur cette catastrophe et M. Cormier n’est pas la personne pour mener à bien cette revue en profondeur et prendre les mesures nécessaires pour corriger les failles.
    Lorsque vient le temps de justifier la rémunération généreuse de leurs dirigeants, les institutions financières ne tarissent pas d’arguments fondés principalement sur l’importance des responsabilités. L’envers de cette médaille c’est que, lorsque le système de protection ne peut empêcher le vol de données confidentielles de tous (100%) les membres par 1 seul employé muni d’une simple clé USB, le PDG doit prendre la responsabilité de ce désastre et démissionner. En fait M. Cormier devrait avoir quitté la Direction de Desjardins lors de la 1ère annonce en juin. S’il ne l’a pas fait en juin, il doit le faire maintenant suite à cette nouvelle révélation sur l’ampleur de la catastrophe qui est encore pire que ce qui avait été annoncé l’été dernier.

    • Françoise Labelle - Abonnée 5 novembre 2019 15 h 13

      Il ne s'agit pas d'un piratage mais du vol par un employé. C'est le patron direct de Boulanger-Dorval ou celui qui l'a embauché qui devrait payer, faute de faire payer l'appât du gain érigé en valeur sociale très très importante (hiouuuge!), séparant les winners des losers.

  • Marc-Antoine Parent - Abonné 5 novembre 2019 09 h 54

    Encore equifax

    Equifax s'est aussi fait pirater des données personnelles, et c'est à eux qu'on s'adresse?
    Je crois que le modèle d'identification des individus est problématique. Il faut arrêter de se servir de renseignements faciles à obtenir ou à voler comme marqueurs d'identité. L'informatique offre bien des alternatives (clés publiques, etc.) dont le vol n'aurait pas le même impact.

    • Françoise Labelle - Abonnée 5 novembre 2019 15 h 07

      Dans le cas d'Equifax, qui a touché le moitié des américains, selon Cnet, un serveur recueillant les constestations de données personnelles (Equifax dispute postal server) n'aurait pas fait l'objet d'une mise à niveau du système Apache, généralement utilisé pour configurer les serveurs. Les pirates n'auraient pas immédiatement exploité la brèche et l'intrusion n'aurait pas été détectée. Ils seraient revenu plus tard avec des instruments leur permettant d'interroger d'autres serveurs en lien avec le serveur piraté et permettant ainsi d'extraire les informations de l'ensemble des consommateurs fichés par Equifax.
      Cf. «US government releases post-mortem report on Equifax hack», Znet, 2018

      Dans le cas de Desjardins et Capital One, il s'agissait de la trahison d'un employé (d'une ex-employée pour Capital One). Une clé informatique devrait être stockée sur un serveur qui pourrait être vulnérable et on échappe pas à une trahison du personnel. J'ai l'impression que toute ouverture d'un nouveau compte, toute modification aux données d'un compte et toute transaction devrait nécessiter l'accord du détenteur. Bien sûr, c'est immense mais le problème est dans notre usage du crédit.

      J'ai été victime d'un vol d'identité un an avant la découverte de la trahison chez Desjardins. On avait appelé Visa et on avait réussi à changer mon adresse par téléphone(!) et augmenter mon AccordD à partir d'informations probablement glanées dans des poubelles. Puis on avait acheté des meubles (6,000$) par Internet.

  • Hélène Lecours - Abonnée 5 novembre 2019 11 h 07

    Faux courriel

    Je viens de communiquer avec les services bancaires en ligne de Desjardins à propos d'un COURRIEL récent me signifiant que mes services en lignes étaient interrompus suite à "des tentatives multiples et des échecs consignés dans nos registres de sécurité". On m'offrait de corriger cette situation en cliquant sur un lien pour réactiver ce service. Et bien, c'était un FAUX COURRIEL. Desjardins ne communique JAMAIS par courriel avec ses membres m'a t'on dit. OUF, heureusement que j'ai retenu mon réflexe de cliqueuse. Bon à savoir n'est-ce pas pour les 4,2 millions de membres affectés?.

  • Diane Boissinot - Abonnée 5 novembre 2019 14 h 15

    Une question qui n'a pas été posée encore

    Est-ce que les données des personnes qui ne sont plus membres de Desjardins sont également en péril?

  • Olivier Côté - Abonné 5 novembre 2019 20 h 30

    Attentes impossibles.

    Le gouvernement demande présentement aux compagnies de planter des clous avec un tournevis et il se demande pourquoi ça ne marche pas. Sa solution? Faire des lois pour obliger les compagnies à planter des clous avec un tournevis!

    Pourtant, le problème relève autant, sinon plus, du gouvernement que de ces compagnies. En effet, le gouvernement a échoué à fournir à la société des méthodes d'authentification des citoyens. Il force donc les compagnies à utiliser des informations d'identification pour faire de l'authentification, ce qui est un non-sens complet. Ce n'est pas le bon outil. Un NAS, c'est utilisé partout. On doit le donner sans cesse, à toute sorte d'organismes, pour tout de sorte de raison. Ce n'est pas unique pour chacune des utilisations qu'on en fait. Ça doit être conservé de manière réversible dans les systèmes informatiques. C'est utilisé en sortie pour communiquer de l'information à d'autres systèmes, au gouvernement. Ça ne peut pas être changé.

    Bref, ce n'est pas possible d'avoir de bonnes méthodes de sécurité avec ça. Et, c'est de la faute aux gouvernements si nous n'avons pas autre chose de mieux. Il faut un système d'authentification centralisé, qui émet de jetons uniques pour chaque utilisation, qui peuvent être conservés de manière non réversible, qui peuvent être cryptés avec des clés privées, qui peuvent être révoqués...

    Quand le gouvernement aura fait ses devoirs, qu'il ne demandera plus aux compagnies (et à ses propres services) d'utiliser un tournevis pour planter des clous, il pourra passer ses lois, menacer, montrer les dents, faire la morale. D'ici là, désolé, mais vous êtes en grande partie responsables de ce bordel, auquel vous ne comprenez visiblement rien.