Le principal suspect dans le vol massif de données confidentielles chez Desjardins a demandé de l’argent pour se mettre à table, révèlent des documents décaviardés rendus publics lundi.

Publié le 17 janvier
Hugo Joncas
Hugo Joncas La Presse

Sébastien Boulanger-Dorval a d’abord refusé de donner aux enquêteurs du Mouvement le nom de ceux qui auraient acheté les renseignements volés, selon des déclarations sous serment déposées en cour. « Il précise qu’il veut une entente de collaboration financière avec Desjardins et qu’après il collaborera », indique la déclaration d’une détective de la police de Laval, déposée pour obtenir un mandat de perquisition en 2019.

L’ancien employé au département de marketing du Mouvement avait aussi d’autres conditions, selon une autre déclaration, de la Sûreté du Québec (SQ) celle-là, également rendue publique. Il aurait « imploré » de pouvoir obtenir de l’assurance-emploi après son congédiement et « de ne pas avoir d’accusation au criminel ».

Sébastien Boulanger-Dorval a aussi demandé à Desjardins de ne faire « aucune médiatisation de l’évènement en échange du nom de la compagnie à qui il a vendu des informations ».

Les enquêteurs du Mouvement n’avaient toutefois plus besoin de son aide pour savoir qui avait racheté les informations. Ils avaient déjà trouvé à son bureau des documents dans une base de données pour Prêt Argent 500. Jusqu’à ce que la police de Laval perquisitionne dans ses locaux de Montmagny en juin 2019, cette entreprise avait comme président Jean-Loup Leullier-Masse, aujourd’hui soupçonné d’avoir mis la main sur les données volées.

Desjardins a ensuite saisi le matériel informatique de son employé le 26 mai 2019 en vertu d’une procédure rare, une ordonnance Anton Piller, qui permet à une partie civile de faire une perquisition. Vers minuit le soir même, Sébastien Boulanger-Dorval a accepté d’aller parler avec trois enquêteurs du Mouvement au siège social de Lévis.

Il avait alors indiqué avoir éprouvé « des problèmes d’alcool » après une séparation qui lui a causé « des pressions financières », selon la déclaration de la SQ. C’est ainsi qu’il en serait venu à vendre les données de Desjardins.

Passeports et pièces d’identité

En plus des renseignements personnels et financiers sur des clients du Mouvement, Sébastien Boulanger-Dorval aurait eu en sa possession « un fichier qui contenait des numéros de passeport ou de pièces d’identité ». « Il était impossible de confirmer que ces fichiers provenaient de Desjardins », indique la déclaration de la SQ.

L’enquête du Mouvement a déterminé que Sébastien Boulanger-Dorval avait utilisé des clés USB pour télécharger illégalement les données confidentielles à partir de son réseau. En tout, il en aurait connecté pas moins d’une cinquantaine à l’ordinateur portable que lui fournissait son employeur, relève la police.

Dans un téléphone que le Mouvement a saisi, l’un de ses employés a trouvé « 15 photos de mots de passe », associés notamment à « Doiron », « Franc » et « JL ». Ces noms et initiales semblent correspondre à trois suspects dans l’enquête : Nicolas Doiron, François Baillargeon-Bouchard et Jean-Loup Leullier-Masse.

Encore à ce jour, ni eux ni Sébastien Boulanger-Dorval ne font l’objet d’accusations.

Dures relations avec les enquêteurs privés

Encore une fois, les documents démontrent les difficiles relations qu’a eues la SQ avec les enquêteurs qui travaillaient pour le compte de Desjardins, notamment ceux de la firme américaine de cybersécurité Mandiant.

L’un de ses experts, Martin Tremblay, a refusé que les policiers filment son interrogatoire. Il a invoqué son entente de confidentialité pour refuser de répondre à des questions sur l’enquête interne.

En octobre 2020, une personne dont le nom est toujours caviardé affirmait que « tout est privilégié concernant Mandiant puisqu’ils ont été mandatés par la firme McCarthy Tétrault », les avocats externes de Desjardins.

Encore aujourd’hui, le Mouvement refuse de lever ce privilège, selon ce qu’explique une porte-parole dans un courriel à La Presse.

« Nous avons transmis à la police l’information qui était nécessaire pour inculper la personne qui doit l’être […], écrit Chantal Corbeil. Toutefois, certaines informations, notamment celles détenues par Mandiant, sont soit privilégiées ou ne sont pas nécessaires pour l’enquête policière, car elles concernent nos stratégies internes. »

Dans un autre passage de sa déclaration, la SQ souligne que Desjardins considérait que le nombre de victimes du vol de données était aussi un « élément privilégié ». Le document laisse entendre que la police a connu le total des personnes touchées (9,7 millions) seulement lorsque la Commission d’accès à l’information a rendu public son rapport sur les évènements, en décembre 2020.