Benoît Nadeau est tombé des nues, lundi, quand le Mouvement Desjardins a annoncé qu’il accorderait une protection à vie contre le vol d’identité à l’ensemble de sa clientèle.

Isabelle Hachey Isabelle Hachey
La Presse

Ce n’est pas la générosité du geste qui l’a sidéré, mais bien sa justification. Un maigre 13 % des 2,7 millions de membres touchés par le vol massif de données s’étaient inscrits au système de surveillance du crédit d’Equifax.

« On constate qu’il y a un plafond, où seulement 15 ou 20 % des gens touchés vont s’inscrire, a expliqué le président de la coopérative, Guy Cormier. Desjardins ne veut pas laisser 80 % de ses membres sans protection. »

PHOTO KEVIN D. LILES, ARCHIVES THE NEW YORK TIMES

En 2017, le système Equifax a lui-même laissé fuiter les données de 143 millions de clients.

Ce qui a fait bondir Benoît Nadeau, un ingénieur de Québec, c’est que Desjardins présente le service d’Equifax comme une option plus ou moins populaire auprès de ses membres.

Ce n’est pas comme s’il n’avait pas essayé de s’inscrire !

Voilà trois semaines qu’il tente désespérément de le faire. Jour après jour, nuit après nuit, au bureau, à la maison, sur trois ordinateurs et deux fureteurs différents. Rien à faire.

Il a passé des heures à rafraîchir la page d’accueil d’Equifax. À quelques reprises, il s’est rendu à la deuxième page. Il reprenait alors espoir… jusqu’à ce que le système plante à nouveau.

Au bout de dix jours, Benoît Nadeau était à bout de nerfs. Comme des milliers d’autres clients.

Face à la grogne, Desjardins a annoncé qu’ils pourraient désormais compter sur l’aide de ses employés pour s’inscrire à Equifax.

Benoît Nadeau s’est donc rendu à sa succursale, où les employés avaient un accès privilégié à l’agence américaine de surveillance du crédit. Du moins, c’est ce qu’il croyait.

Après trois heures de vaines tentatives, une employée a fini par lui obtenir un mot de passe temporaire.

« Elle m’explique que je vais recevoir un e-mail d’Equifax et qu’il est très important d’entrer ce mot de passe, valide seulement 24 heures, pour confirmer mon inscription. »

Trois jours plus tard, il reçoit le précieux mot de passe par courriel.

Il clique tout de suite sur le lien. La page d’Equifax ne se charge pas. Il rafraîchit la page. Encore. Clic. Clic. Clic.

Bingo ! Une fenêtre apparaît : « Entrez le mot de passe temporaire. »

Il entre le mot de passe, appuie sur « Enter »…

Le mot de passe est invalide.

***

Il y a maintenant un mois que Desjardins a confessé qu’un employé avait copié les données de 2,7 millions de clients sur une clé USB pour les vendre aux plus offrants.

Un mois que 2,7 millions de Québécois vivent dans l’incertitude et, sans doute, pour certains, dans l’angoisse de se faire dérober leur identité numérique à tout moment.

Quand Desjardins a dévoilé la fuite, le 20 juin, je ne me suis pas sentie concernée. Ce n’est que lorsque j’ai reçu une lettre de la coopérative que je me suis rappelé ce vieux compte en dormance, oublié depuis des années.

Mon premier réflexe a été de vérifier s’il contenait encore quelques dollars. Pas de chance. On peut toujours rêver.

Mon second réflexe a été de fermer sans attendre ce compte inutile. J’ai appelé Desjardins. On a noté mes coordonnées et on m’a assuré qu’on me rappellerait d’ici 24 à 48 heures.

Ça fait plus d’une semaine et mon compte est toujours ouvert. C’est aussi bien comme ça, remarquez, parce qu’entre-temps, Desjardins a annoncé que ses clients bénéficieraient d’une protection permanente… tant qu’ils feraient affaire avec elle.

De toute façon, fermer mon compte ne servirait strictement à rien. Le mal est fait. Mes données personnelles se baladent déjà dans les tréfonds poisseux du dark web.

Mon nom, ma date de naissance, mon adresse et mon numéro d’assurance sociale sont sans doute déjà en possession de la pègre de Montréal, de Macao ou de la Moldavie.

Heureusement, les réponses aux questions de sécurité n’ont pas été dérobées. Les cyberpirates ne pourront jamais deviner le nom de jeune fille de ma mère, à moins qu’ils n’aient l’idée saugrenue d’aller vérifier sur mon fil Facebook.

Tout va bien.

Je rigole, mais je me fais du souci. J’ai assez entendu de témoignages de victimes de vol d’identité pour avoir une idée du cauchemar qui me pend au bout du nez.

Et je ne peux pas faire grand-chose pour l’éviter. Changer mon numéro d’assurance sociale ? Ça ne servirait à rien, disent les experts. Ce serait même pire, puisque ça m’obligerait à protéger deux numéros d’une fraude éventuelle.

M’inscrire à Equifax ? Je fais partie des chanceux qui y sont parvenus. Traitez-moi de rabat-joie, mais je doute de la capacité d’un système qui fait chaque jour la preuve de sa déficience à détecter la moindre activité suspecte impliquant mes renseignements personnels.

Un système qui a lui-même laissé fuiter les données de 143 millions de clients en 2017 – et dont le commissaire à la protection de la vie privée du Canada a souligné les « lacunes déconcertantes » pas plus tard qu’en avril.

Benoît Nadeau s’interroge, lui aussi. « Est-on vraiment protégé avec Equifax ? Le premier principe en finances, c’est de ne pas mettre tous ses œufs dans le même panier. Pourquoi Desjardins ne nous offre-t-elle pas d’alternatives ? »

Guy Cormier a expliqué lundi que Desjardins s’était simplement tournée vers la plus grosse entreprise du genre, qui détient 70 % des parts du marché. Le PDG a révélé faire partie des victimes du vol de données et avoir dû s’inscrire à Equifax.

L’histoire ne dit pas combien de temps il a poireauté avant d’y parvenir.

***

Benoît Nadeau s’est présenté à nouveau au comptoir de sa succursale, mardi. Il a expliqué que le mot de passe temporaire qu’on lui avait donné était invalide. « C’est curieux, lui a dit l’employée, avec d’autres clients, cela a bien fonctionné… »

Ça n’a pas réglé son problème. Ni apaisé sa frustration.

L’employée n’a pas réussi à entrer en communication avec Equifax. Elle lui a promis de l’appeler quand elle aurait des nouvelles.

Benoît Nadeau est rentré chez lui.

L’employée l’a rappelé en fin de journée pour lui dire que le mot de passe devrait fonctionner, en principe.

Qu’il devrait réessayer.