Pour Credit Karma, le gigantesque vol d’identité au Mouvement Desjardins ne pouvait mieux tomber. Arrivée au Québec il y a sept mois, la firme américaine offre aux consommateurs de vérifier leur dossier et leur cote de crédit gratuitement. Alors vous pensez bien que la firme s’annonce à qui mieux mieux, depuis le début de l’été, avec ses publicités à saveur humoristique.

Stéphanie Grammond Stéphanie Grammond
La Presse

Mais plusieurs victimes récentes de vol d’identité n’entendent pas à rire. Bien loin de les aider à se protéger contre la fraude, Credit Karma a plutôt ouvert leur précieux dossier de crédit aux voleurs, qui ont maintenant accès à l’ensemble de leur vie financière.

J’ai discuté avec trois victimes. Le Centre antifraude du Canada a reçu sept dossiers similaires. Ces histoires donnent froid dans le dos…

Nathalie Lachance s’est rendu compte que quelque chose ne tournait pas rond en allant acheter une pinte de lait chez Provi-Soir, à la mi-juin. Le terminal a indiqué à la caissière de garder la carte de crédit et de téléphoner chez MasterCard.

En s’adressant à la Banque de Montréal, qui est l’émetteur de sa carte, la cliente a appris qu’un fraudeur avait appelé la veille pour faire émettre une autre carte à une nouvelle adresse.

Bon réflexe : Mme Lachance a tout de suite demandé à Equifax et à TransUnion de placer des alertes dans son dossier de crédit. « Chez TransUnion, le gars m’a dit : “Avez-vous fait une demande d’information chez Credit Karma ?” », raconte Mme Lachance. Heu… non !

La dame a découvert que le fraudeur avait ouvert un compte à son nom chez Credit Karma à partir d’une fausse adresse courriel, similaire à son nom. 

Ne connaissant pas le mot de passe, Mme Lachance ne pouvait pas accéder à son propre compte qui a finalement été suspendu.

Mais la conclusion est choquante : Mme Lachance a été doublement volée. D’abord chez Desjardins. Puis un malfaiteur s’est emparé de son dossier chez Credit Karma. Le rêve ultime de tout usurpateur d’identité.

***

Comment cela est-il possible ? De quel droit cette entreprise se permet-elle de faire le commerce de nos données personnelles ?

En fait, en ouvrant un compte chez Credit Karma, le client autorise la firme « et ses sociétés affiliées » à accéder à son dossier de crédit chez TransUnion « en tout temps pour aussi longtemps » que son compte reste ouvert.

Pour valider l’identité du client, Credit Karma « a besoin de quelques détails » comme le nom, l’adresse, la date de naissance et le numéro d’assurance sociale… des renseignements qui ont été dérobés en vrac chez Desjardins.

Ensuite, la plateforme pose trois questions à choix multiple à partir de l’information contenue dans le dossier de crédit : quel est votre fournisseur de cellulaire ? Votre tranche d’âge ? Votre ancienne adresse ?

« Les informations volées chez Desjardins sont insuffisantes pour ouvrir un compte chez Credit Karma », insiste la porte-parole du Mouvement Desjardins, Chantale Corbeil.

Alors comment les fraudeurs peuvent-ils répondre correctement aux questions de sécurité ?

Mystère et boule de gomme.

***

Chose certaine, lorsque le fraudeur a accès au dossier, toute la vie financière du consommateur se déroule sous ses yeux : cartes de crédit, prêts, marge de crédit, hypothèque, fournisseurs de téléphonie mobile. Les institutions financières, les sommes dues, tout y est consigné. Même les anciennes adresses s’y trouvent.

Avec ces informations en main, les fraudeurs sont encore mieux équipés pour obtenir du crédit, a malheureusement constaté David Gagnon, un autre membre de Desjardins qui a été victime de fraude financière en novembre dernier.

L’arnaqueur s’est présenté chez un concessionnaire automobile de Calgary pour acheter un Land Rover de 99 000 $. Il connaissait la valeur de la maison et de l’hypothèque de M. Gagnon, comme le prouve la demande de crédit qu’il a remplie au magasin. Le voleur connaissait aussi la marque et la valeur de son véhicule, ainsi que le montant précis d’autres prêts, des renseignements n’ayant aucun lien avec Desjardins.

« C’est troublant. La seule façon dont il a pu avoir accès à toutes ces informations-là, c’est par Credit Karma », estime M. Gagnon. En téléphonant chez TransUnion, il a justement appris que le fraudeur avait fait une demande chez Credit Karma, avec une fausse adresse courriel.

Finalement, l’achat du Land Rover n’a pas fonctionné. Mais le fraudeur a fait l’acquisition d’une BMW de 95 000 $ chez un concessionnaire juste en face.

***

« Se faire voler son identité, c’est vraiment comme si quelqu’un entrait chez vous et ramassait vos affaires », m’a raconté un troisième client de Desjardins qui préfère ne pas être nommé. Lui aussi s’est fait frauder, en janvier dernier, après que les fraudeurs eurent accédé à son dossier chez Credit Karma.

Il se demande d’où sort cette entreprise.

Fondée en 2007 à San Francisco, Credit Karma compte 700 employés et 85 millions d’utilisateurs en Amérique du Nord. La firme s’est installée au Canada en novembre 2016 et au Québec en décembre 2018. Elle compte plus de 2 millions de membres au Canada.

La société ne facture rien aux consommateurs. Pour l’avoir testée, sa plateforme fonctionne bien et permet de consulter rapidement sa cote de crédit. 

La firme est rémunérée par les institutions financières vers lesquelles elle dirige sa clientèle. Credit Karma se targue d’être à l’origine de 40 milliards de dollars de cartes de crédit, prêts, hypothèques, financements auto, etc.

La société américaine reste principalement détenue par ses cofondateurs, même si elle a reçu du financement de plusieurs grands investisseurs comme Silver Lake, qui lui a confié 500 millions l’an dernier, et Google, qui a déjà injecté des dizaines de millions.

Et que pense l’entreprise du fait que des fraudeurs utilisent sa plateforme pour voler des dossiers de crédit ?

« La confiance et la sécurité sont très importantes chez nous. Nous travaillons avec nos partenaires pour prévenir la fraude et les abus », m’a fait savoir l’entreprise par courriel, sans répondre directement à mes questions.

Mais, en 2015, Credit Karma s’est fait épingler par la Federal Trade Commission, aux États-Unis, pour avoir négligé les règles de sécurité de millions d’utilisateurs de son service mobile et mis à risque leurs informations personnelles.