L’employé de Desjardins qui aurait orchestré la plus importante fuite de données du secteur bancaire au Canada a eu accès, pendant 26 mois, à un répertoire partagé où se trouvaient des renseignements confidentiels qu’il n’aurait jamais dû pouvoir transférer aussi facilement sur une clé USB. Plus d’un an après la découverte du larcin numérique, l’employé et ses complices présumés courent toujours, échappant pour le moment à toute accusation criminelle.

Sébastien Boulanger-Dorval, ancien employé du marketing de Desjardins qui est soupçonné d’avoir subtilisé les données de centaines de milliers de membres, n’avait officiellement pas accès au répertoire de données bancaires confidentielles de Desjardins, révèle le rapport d’enquête publié lundi par la Commission d’accès à l’information.

Par contre, grâce aux permissions lui donnant accès à un « entrepôt de données » de crédit ainsi qu’à un répertoire partagé par les employés du marketing où se trouvaient des informations confidentielles, il a pu, « à l’aide de ses propres scripts, compiler les données des entrepôts de données auxquelles il avait accès avec celles auxquelles il n’avait pas accès. Il a alors pu constituer des fichiers d’extraction qu’il a fait transiter sur son poste de travail, conclut le rapport d’enquête. Par la suite, il a pu les exporter sur des périphériques amovibles de stockage de type clés USB ».

« C’est comme ça qu’il a pu avoir accès à de l’information confidentielle à laquelle il n’avait normalement pas accès », a précisé MDiane Poitras, présidente de la Commission d’accès à l’information, en conférence de presse lundi.

Ce qui est advenu des données confidentielles de près de 9,7 millions de personnes visées par le vol ne fait toutefois pas partie des conclusions du rapport, puisque la Commission d’accès à l’information n’avait pas à s’y pencher.

Encore à ce jour, l’employé soupçonné du vol n’a pas été accusé au criminel, et ce volet de l’affaire reste nébuleux. « Il y a encore des démarches d’enquête en cours », affirme le porte-parole de la Sûreté du Québec, Hugo Fournier, qui reconnaît qu’il s’agit d’une « enquête complexe ».

Un « bourbier juridique »

Selon différentes sources, la façon dont Desjardins s’y est prise pour neutraliser l’employé lorsqu’elle s’est rendu compte du vol massif de données explique en grande partie ces difficultés. Desjardins a obtenu, dans le cadre de sa propre enquête interne, une injonction de type Anton Piller – un recours d’exception souvent surnommé la « bombe nucléaire » du droit civil – pour saisir sans préavis le matériel informatique au domicile de l’employé. La technique, qui vise à protéger les données avant et pendant la saisie, se déroule généralement en présence de huissiers, de policiers et d’avocats. Elle est accordée par le juge sans que la personne saisie ne soit informée de la démarche, ce qui est normalement réservé aux recours de nature criminelle.

Or, cette saisie de nature civile a aussi provoqué un « bourbier juridique » qui a rendu la preuve difficile à gérer dans le cadre d’un éventuel procès criminel, affirme l’ancien policier de la Sûreté du Québec Paul Laurier, spécialiste en informatique judiciaire. « Cette situation amène des délais et des questions, entre autres sur ce qui sera admissible ou pas devant la cour, affirme-t-il. Le chemin de la preuve est assez tortueux. »

La présidente de la Commission d’accès à l’information, MDiane Poitras, a souligné dans le rapport d’enquête rendu public lundi qu’aucun blocage des ports USB des ordinateurs chez Desjardins n’avait été mis en place et que les employés pouvaient télécharger sans limites le contenu qui se trouvait sur les bases de données auxquelles ils avaient accès. Toujours selon le rapport, l’employé avait signé une « attestation à l’effet qu’il avait pris connaissance du Code de déontologie » de Desjardins. Mais la surveillance des transferts de données était « essentiellement passive, car elle se faisait uniquement à la suite d’un incident », note le rapport.

La fuite s’est déroulée pendant une période de 26 mois avant que Desjardins s’en aperçoive et la rende publique en juin 2019. Cependant, l’entreprise savait, à la suite de rapports de vérification internes, que le fait que les employés pouvaient accéder aux ports USB de ses ordinateurs représentait une vulnérabilité importante.

Au courant de la menace

« Malgré le fait que Desjardins était au courant de cette menace, elle n’a pas agi de façon diligente. Pour nous, ce n’est pas acceptable », a commenté MPoitras.

Compte tenu de la quantité de données détenues par Desjardins et de la sensibilité de celles-ci, Desjardins aurait dû avoir des « systèmes proactifs » en place pour déceler les transferts anormaux, estime pour sa part le commissaire fédéral à la protection de la vie privée, Daniel Therrien, dans son rapport d’analyse également publié lundi.

« Desjardins n’a pas fait preuve de la prudence nécessaire à l’égard des données personnelles sensibles qui lui ont été confiées », conclut M. Therrien. Selon lui, l’entreprise avait déjà décelé certains des problèmes qui ont mené au vol massif de données, mais elle a été « trop lente à réagir ».

L’Autorité des marchés financiers (AMF), qui s’est également penchée sur le dossier, a pour sa part conclu que la haute direction et le conseil d’administration des Desjardins « ont manqué à leur obligation d’agir avec diligence dans l’exercice de leurs fonctions » en ne mettant pas en place des mesures de contrôle suffisamment robustes. L’Autorité ordonne à Desjardins de mettre en place des pratiques visant à « rendre imputables les personnes responsables à l’égard de l’incident » ainsi que tous les correctifs nécessaires.

Action collective

Desjardins dit prendre acte des conclusions des enquêtes et ne conteste pas les faits, mais n’a pas voulu commenter directement les conclusions des commissaires et de l’AMF. L’entreprise souligne avoir pleinement coopéré aux enquêtes « et a établi depuis l’année dernière des stratégies qui couvrent leurs recommandations, qui sont déjà implantées ou en voie de l’être », affirme le Mouvement dans un communiqué.

Desjardins fait toujours face à une demande d’action collective au nom de tous les membres « dont les informations personnelles détenues par la Fédération des Caisses Desjardins du Québec ont été transmises sans autorisation suite au vol de données ».

L’audition pour la demande d’autorisation de l’action collective devait avoir lieu les 10 et 11 décembre, mais elle a été reportée au début de l’année 2021, a indiqué à La Presse un des avocats du dossier, MKarim Diallo, du cabinet Siskinds Desmeules.