En ce début de session dans les cégeps et les universités, les parents qui souhaitent puiser dans un REEE chez Kaleido (ex-Universitas) devront patienter. Les services en ligne de l’entreprise sont désactivés depuis quelques jours en raison de problèmes de sécurité. Aucune date de rétablissement n’a été annoncée.

Quand Steve a voulu retirer des fonds du régime enregistré d’épargne-études (REEE) de son fils qui fréquente un cégep, il a découvert que le site de Kaleido ne fonctionnait plus. Comme les autres clients, il a reçu la semaine dernière un bref courriel d’explication à ce sujet.

« Le 18 janvier, nos experts en sécurité ont détecté des tentatives de transactions frauduleuses dans les comptes en ligne de certains clients utilisant l’Espace client. Par souci de précaution, nous avons immédiatement interrompu nos services en ligne, déclenché une enquête et alerté les autorités », indique la communication signée par la présidente et chef de la direction, Isabelle Grenier.

Des « tentatives malveillantes » auraient été réalisées à l’aide d’informations personnelles « acquises illégalement ». « Celles-ci ne proviennent pas de nos bases de données », ajoute Kaleido en promettant de continuer à informer ses clients. Jusqu’ici, toutefois, c’est silence radio.

Pour Steve, l’attente ne pose pas de problème, car il a les moyens d’aider son fils en attendant de pouvoir puiser dans le REEE. Mais d’autres parents misent assurément sur ce compte d’épargne pour payer quelques factures liées aux études de leur progéniture. Après tout, c’est précisément à cela qu’il sert !

Cette affaire, qui n’a fait aucun bruit jusqu’ici, suscite des questions et une certaine angoisse chez d’autres clients.

Sophie, qui cotise encore dans le REEE de ses filles, qualifie le message reçu de Kaleido d’« aucunement rassurant ». Elle donc a cherché des informations additionnelles sur l’internet, mais n’a rien trouvé. « On est lundi. J’ai reçu le message la semaine passée. Ça fait cinq jours. Je trouve ça inquiétant. Autant pour mon argent que mes renseignements personnels. »

CAPTURE D’ÉCRAN FOURNIE PAR DES LECTEURS DE LA PRESSE

Message transmis par Kaleido à ses clients

De fait, comme on en sait très peu sur ce qui s’est produit, il y a de quoi être préoccupé. Des comptes ont-ils été vidés ? Les fraudeurs ont-ils pu voler les subventions offertes par le gouvernement ? Si oui, je n’ose pas imaginer les soucis pour récupérer les sommes évaporées.

Les fraudeurs se sont-ils emparés de numéros d’assurance sociale (NAS) ? La question se pose, puisque les dossiers des clients de Kaleido contiennent cette information.

Malheureusement, il faudra attendre pour avoir des réponses.

J’ai bien sûr tenté d’en apprendre un peu plus, mais la personne chargée de répondre aux médias ne m’a pas rappelée. Elle m’a plutôt transmis le courriel envoyé aux clients. Tout comme Steve, j’ai tenté de joindre le service à la clientèle, mais ça ne répondait pas.

Peut-être sont-ils inondés d’appels, et qu’on aurait fini par décrocher après des heures d’attente. Mais personne n’a autant de temps à perdre. Et quand on s’inquiète pour son argent ou qu’on veut y avoir accès, on souhaite obtenir des réponses rapidement. À la quantité d’histoires de fraudes qu’on entend, de comptes vidés et de vols d’identité qui provoquent toutes sortes de problèmes, il est normal de vouloir comprendre ce qui se passe.

La vice-présidente au marketing et à l’expérience client, Julie Cyr, m’a écrit en début de soirée pour que je lui transmette mes questions par courriel. Les réponses viendront sans doute ce mardi.

L’Autorité des marchés financiers sait que le site Kaleido ne fonctionne plus. Mais elle avait, elle aussi, peu de choses à dire sur le sujet.

Kaleido étant une entreprise inscrite auprès de l’Autorité à titre de courtier en plans de bourses d’études et gestionnaire de fonds d’investissement, elle nous a effectivement avisés de la situation. Tout ce que nous pouvons dire pour le moment c’est que nous sommes en contact avec Kaleido et nous suivons la situation de près.

Sylvain Théberge, porte-parole de l’Autorité des marchés financiers

Selon l’expert en sécurité informatique et cofondateur du Hackfest.ca Patrick Mathieu, Kaleido ne semble pas être victime d’un rançongiciel. Le message aux clients laisse plutôt croire qu’il s’agit d’un cas classique de fraudeurs qui tentent d’entrer dans les comptes des clients avec des mots de passe utilisés sur d’autres sites ou des mots de passe populaires comme 123456, qwerty ou abc123.

« Les entreprises qui ont des données sensibles de clients doivent mettre en place davantage de sécurité. Leur système d’authentification n’était pas assez robuste. C’est un problème standard. On est un peu en retard au Québec », dit Patrick Mathieu. Au minimum, il faut deux facteurs d’identification (envoi d’un code par courriel ou texto) et des mots de passe de 16 à 18 caractères, ajoute l’expert. Bien sûr, il faut alors se doter d’un logiciel pour gérer tout ça, mais c’est une autre histoire.

Pour revenir à Kaleido, on ne peut qu’espérer une mise à jour de la situation très rapidement, et un dénouement du type « plus de peur que de mal ».