Vol de données chez Desjardins: 4,2 millions de victimes

La crise déclenchée chez Desjardins par un vol de données qui aurait été commis par un « employé malveillant » est pire qu’on ne l’avait initialement annoncé. Ce sont vraisemblablement tous les particuliers membres du mouvement – soit 4,2 millions de personnes – qui en sont victimes. 

Le chef de la direction de Desjardins, Guy Cormier, en a fait l’annonce vendredi, peu avant un discours devant la Chambre de commerce du Montréal métropolitain. 

Ainsi, 1,5 million de membres supplémentaires seraient touchés par cette fuite majeure, dont les premiers détails ont été révélés en juin dernier. 

C’est la Sûreté du Québec qui a contacté Desjardins pour lui en faire part jeudi. « Effectivement, notre enquête tend à démontrer que ce sont tous les membres qui sont affectés », affirme Béatrice d’Orsainville, porte-parole de la SQ. « L’enquête est en cours et le dossier continue d’évoluer. » 

Les données volées liées aux 4,2 millions de comptes de particuliers touchés contiennent les noms et prénoms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, adresses de courriel, habitudes transactionnelles et des détails sur les produits financiers détenus par les clients. 

Desjardins affirme que les mots de passe, questions d’identification et codes secrets n’ont pas été compromis. 

« Ce que nous annonçons aujourd’hui n’est pas une nouvelle fuite. Il s’agit d’une mise à jour sur la même fuite faite par un individu malveillant », a insisté le président et chef de la direction de Desjardins, Guy Cormier. 

Desjardins avait indiqué en juin que près de 200 000 comptes d’entreprises avaient aussi été touchés par la fuite

Aucune arrestation

La Sûreté du Québec n’a, à ce jour, procédé à aucune arrestation dans ce dossier. L’employé soupçonné du vol de données, Sébastien Boulanger-Dorval, aurait transmis les informations à un groupe de courtiers immobiliers de Québec, qui s’en servaient pour se donner un avantage concurrentiel pour solliciter leurs clients. M. Boulanger-Dorval aurait été payé en cartes-cadeaux pour son larcin. 

Desjardins a annoncé jeudi un nouveau service d’alerte d’Equifax, qui sera accessible directement à l’ensemble des membres sur la plateforme AccèsD. Tous les membres vont recevoir au cours des prochaines semaines un code d’accès pour activer ce service de surveillance du dossier de crédit. Ils auront jusqu’au 30 avril 2020 pour le faire. 

Deux cabinets d’avocats qui avaient lancé des démarches distinctes pour intenter une action collective au nom des victimes de la fuite ont uni leurs efforts au cours des dernières semaines. L’annonce de vendredi risque de modifier certains éléments de la requête. « Ce ne sont pas des éléments de nature à rassurer les membres sur ces événements », estime l’avocat Karim Diallo, qui s’occupe du dossier au nom du cabinet Siskinds Desmeules.

« Toutes les nouvelles victimes, qui n’avaient pas jugé nécessaire de se protéger quand Desjardins avait dit qu’elles n’étaient pas touchées, ont été sujettes pendant quatre mois à des risques plus élevés. On prend tous ces éléments en compte », ajoute M^e Diallo. 

La demande d’actions collectives vise l’obtention de dommages compensatoires de 1000 $ par membre, plus 100 $ de dommages punitifs. « Nous demandons aussi une protection supplémentaire afin que le service de surveillance d’Equifax soit assuré à vie. Les membres qui nous ont contactés nous ont dit que cinq ans, ce n’était clairement pas suffisant », explique M^e Diallo. 

Plus de personnel francophone

Le déploiement de ce service de surveillance avait connu d’importants ratés à son lancement en juillet. Le chef de la direction de Desjardins, Guy Cormier, dit avoir bon espoir que les choses iront plus rondement cette fois-ci.

Selon lui, Equifax a embauché davantage de personnel francophone afin de faire face aux demandes des membres. 

M. Cormier s’est félicité du fait que 40 % des victimes initiales de la fuite avaient à ce jour activé le service de surveillance d’Equifax, qui leur est offert gracieusement. « Les gens d’Equifax, qui offrent ce genre de service partout dans le monde, nous disent que dans les meilleurs des cas, ce sont en moyenne 5 % des victimes de fuites de renseignements qui activent un code. Les gens d’Equifax n’ont presque jamais vu ça à travers le monde », a dit M. Cormier.

Pour le spécialiste en sécurité informatique Jean Loup Le Roux, Desjardins a toutefois « manqué une belle occasion de faire preuve de leadership dans ce dossier ». « Le système de protection est basé sur des agences de crédit qui fonctionnent à l’ancienne, qui ne sont absolument pas dignes de confiance », dit M. Le Roux. 

« Il y a un problème culturel de Desjardins, à l’interne. Ils pensent sincèrement qu’ils ont bien géré cette crise, alors que toutes les mesures qu’ils ont annoncées n’ont rien de préventif ou de structurel. La maison est en train de brûler, on appelle les pompiers, mais on n’a pas amélioré le système anti-incendie », avance M. Le Roux.

Desjardins dit ne pas en savoir davantage sur l’évolution de l’enquête policière, mais affirme qu’elle n’a « pas vu de hausse significative » du nombre de fraudes concernant les cartes de débit ou de crédit de ses membres depuis la découverte de la fuite. 

L’Autorité des marchés financiers estime que les mesures de surveillance déjà mises en œuvre, ainsi que celles annoncées vendredi, « permettront de protéger et d’assister les membres touchés ». 

Québec défend son approche 

Le ministre des Finances du Québec, Eric Girard, a défendu vendredi l’approche du gouvernement dans sa gestion du vol des données personnelles des membres de Desjardins. 

« C’est un incident extrêmement sérieux [et] l’institution financière gère bien la situation », a-t-il dit.

Le ministre Girard a réitéré son engagement de déposer d’ici décembre un projet de loi qui encadre les agences de crédit et a promis de tenir des consultations publiques. Québec compte aussi déposer prochainement un projet de loi qui encadre la protection des données personnelles et une stratégie gouvernementale sur la cybersécurité des données personnelles que détient le gouvernement. 

Du côté des oppositions, le Parti libéral, Québec solidaire et le Parti québécois ont à nouveau demandé vendredi qu’un mandat d’initiative soit confié à une commission parlementaire pour inviter Desjardins, d’autres institutions financières et des experts en protection des données à venir répondre aux questions des élus à l’Assemblée nationale. 

« On vient de perdre quatre mois. On n’a toujours pas de projet de loi et quand on se rend compte que plus de 4 millions de Québécois sont touchés, c’est inquiétant », a dénoncé la libérale Lise Thériault. 

« On revient à la charge. [Ce mandat d’initiative] nous a été refusé deux fois, mais on trouve que c’est toujours pertinent, d’autant plus avec ce qu’on vient d’apprendre », a renchéri Martin Ouellet du Parti québécois. 

« Le gouvernement doit envoyer le signal qu’à partir de maintenant, les choses vont changer avant que la crise de la protection des données personnelles prenne encore plus d’ampleur. C’est une préoccupation de tous les Québécois », a de son côté dit le solidaire Vincent Marissal. 

Un vol de plus en plus coûteux

L’aggravation considérable du vol de renseignements personnels de 4,2 millions de membres du Mouvement Desjardins laisse entrevoir des répercussions encore plus coûteuses sur ses prochains résultats trimestriels, attendus dans deux semaines.

Probablement au-delà des 100 millions de dollars, en continuité des coûts de 70 millions déjà comptabilisés à la fin du deuxième trimestre, le 30 juin dernier, 10 jours après la première divulgation du vol de renseignements personnels de 2,7 millions de membres chez Desjardins.

En conférence de presse hier à Montréal, le président du Mouvement Desjardins, Guy Cormier, s’est gardé de réévaluer publiquement les coûts imputables à ce vol aggravé de renseignements personnels.

Tout au plus, il a indiqué que Desjardins ne prévoyait pas rehausser dans ses prochains résultats le montant de 40 millions déjà comptabilisé à titre de provisions pour pertes et indemnisations des clients en cas d’activités frauduleuses dans leurs comptes, qui découleraient du vol de leurs renseignements personnels.

Entre-temps, ce montant de 40 millions en provisions ne constitue qu’une partie des coûts déjà comptabilisés dans les résultats du deuxième trimestre. Et ces coûts de 70 millions concernaient alors un nombre initial de 2,7 millions de membres touchés par le vol, soit l’équivalent de 25 $ par membre.

Mais en appliquant cette moyenne de 25 $ à un nombre beaucoup plus élevé de 4,2 millions de membres, le montant comptabilisé dans les prochains énoncés de résultats trimestriels chez Desjardins pourrait dépasser les 100 millions de dollars.

L’AMF aux aguets

L’évolution de ce montant de coûts initiaux et de provisions pour pertes futures compte d’ailleurs parmi les informations qui font l’objet d’une surveillance particulière de la part de l’Autorité des marchés financiers (AMF) du Québec, qui a la première juridiction réglementaire sur Desjardins.

« Il s’agit d’une situation très sérieuse que l’Autorité suit de près avec Desjardins afin d’obtenir toutes les informations requises face à ce nouveau développement », a indiqué l’AMF dans un communiqué officiel diffusé pendant que le président de Desjardins, Guy Cormier, tenait une conférence de presse spéciale sur l’aggravation du vol de renseignements personnels.

« Face aux circonstances des dernières heures, l’Autorité tient à réitérer ses messages de prudence à l’endroit des membres de Desjardins à propos des risques de courriels, messages textes et appels frauduleux dont ils pourraient faire l’objet », lit-on dans le communiqué.

Entre-temps, l’AMF considère que « les mesures déjà en place [chez Desjardins depuis la fin de juin] ainsi que celles annoncées aujourd’hui [vendredi] permettront de protéger et d’assister les membres touchés », ainsi que de « protéger en totalité les actifs et les transactions de ses membres ».