Le pire des scénarios s’est produit pour des clients de Kaleido (ex-Universitas) : le REEE de leur enfant a été entièrement dérobé par des fraudeurs au cours des derniers jours. L’Autorité des marchés financiers (AMF) se dit « très préoccupée par la situation » et a réclamé « un plan d’action précis » à l’entreprise de Québec.
La semaine dernière, le spécialiste des régimes enregistrés d’épargne-études (REEE) a désactivé ses services en ligne à la suite d’activités potentiellement frauduleuses dans les comptes de ses clients.
Depuis, une cinquantaine de personnes ont été informées que « des tentatives de transactions non autorisées dans leur compte pourraient avoir une incidence financière », m’a précisé la vice-présidente au marketing et à l’expérience client, Julie Cyr.
Il appert que dans certains cas, les tentatives en question ont atteint leur objectif.
« C’était pas juste un petit bogue informatique ! », a commenté Linda Charrette, cliente de longue date de Kaleido. En parlant avec l’entreprise de Québec, mardi matin, elle a appris qu’il n’y avait plus un sou dans le REEE de sa fille qui fréquente l’université.
Les 10 000 $ qu’il contenait ont été retirés le 13 janvier. La somme était composée d’intérêts et de subventions gouvernementales. Il s’agit de la portion appelée PAE, pour « paiements d’aide aux études ».
« J’avais le goût de pleurer. J’ai demandé : ‟On fait quoi ? D’habitude, avec les banques, il y a une assurance. « Ils n’avaient pas d’information à ce sujet. Ils n’arrêtaient pas de dire que ce n’était pas de leur faute. La femme a dû me le dire 25 fois. Je m’en fous, c’est la faute de qui. Je veux ravoir mon argent », m’a raconté au téléphone la mère de deux grands enfants. Elle était évidemment contrariée. On le serait à moins.
La seule bonne nouvelle, c’est que le compte de son fils, qui n’a pas encore atteint l’âge pour effectuer des retraits d’un REEE, est intact. Les fraudeurs, lui a précisé Kaleido, ont fourni une fausse preuve d’inscription à un programme d’études pour mettre la main sur l’argent de sa fille. Ils ont aussi changé le numéro de compte de banque inscrit dans le dossier pour récupérer l’argent.
Une autre mère qui ne veut pas être identifiée a vécu la même chose. Le REEE de son enfant à l’université a été totalement vidé par des fraudeurs qui ont fourni à Kaleido une preuve d’études contrefaite pour effectuer des retraits totalisant une somme dans les cinq chiffres. Cette affaire a créé pas mal d’angoisse dans la famille.
Une troisième lectrice de La Presse m’a contactée après avoir reçu un appel de Kaleido. « Tous les fonds disponibles du REEE de mon enfant ont été décaissés à mon insu le 9 janvier dernier. »
Pour effectuer une demande de retrait d’un REEE en ligne, il faut accéder à son dossier avec un code d’identification à six chiffres fourni par Kaleido ainsi qu’un mot de passe.
Linda Charrette se demande bien comment les fraudeurs auraient pu avoir accès à ce code autrement qu’en accédant aux bases de données de Kaleido. Dans ses communications, l’entreprise soutient que les « données personnelles » utilisées de façon malveillante ont été obtenues « illégalement d’une autre source ».
Ce qui est encore plus préoccupant que le modus operandi des voleurs, c’est la question du remboursement des sommes dérobées. Linda Charrette jure qu’on ne lui a rien dit pour la rassurer, malgré ses questions précises sur le sujet. On doit la rappeler dans quelques jours.
Julie Cyr, de Kaleido, affirme que son organisation « bénéficie des protections usuelles » pour une institution comme la sienne.
Mais elle ajoute ceci : « Pour ne pas nuire au processus, nous ne pouvons pas commenter davantage. Notre volonté est que cette situation n’ait aucune conséquence négative sur nos clients. Nous travaillons de près avec nos parties prenantes pour trouver des solutions. »
Je ne suis pas certaine que je dormirais sur mes deux oreilles en lisant cela si j’avais perdu l’épargne-études de mon enfant. Kaleido ne m’a pas précisé combien d’argent avait été dérobé au total.
Kaleido est inscrit auprès de l’AMF, mais cette dernière protège uniquement les dépôts en cas de faillite d’une institution financière. Les évènements sont quand même pris au sérieux. « Nous comprenons l’inquiétude actuelle chez plusieurs souscripteurs. L’Autorité a demandé une série d’informations à l’entreprise ainsi qu’un plan d’action précis pour qu’elle prenne les mesures appropriées pour redresser la situation », m’a dit le porte-parole Sylvain Théberge.
L’AMF gère aussi un fonds d’indemnisation pour les victimes de fraudes commises par un employé détenant un permis. Il faudra attendre les résultats de l’enquête menée par Kaleido, la Gendarmerie royale du Canada et des experts en sécurité chez KPMG pour savoir si les victimes pourront y faire une réclamation.
Quant à la protection de la Société d’assurance-dépôts du Canada (SADC), elle couvre les épargnes dans les institutions financières de juridiction fédérale lors de faillites. Kaleido ne coche aucune des deux cases.
Mardi, Kaleido a réactivé ses services en ligne pour tous ses clients dont les comptes n’ont pas fait l’objet d’une « tentative malveillante ». L’entreprise encourage ses clients à modifier leur mot de passe et à valider la conformité des activités dans leur compte. Le niveau de surveillance de ses systèmes a été accru pour détecter en temps réel toute activité inhabituelle, assure Mme Cyr, et la double authentification doit être déployée en 2023.
« Selon notre firme externe de sécurité, notre indice de sécurité est supérieur à la moyenne des entreprises québécoises qui utilisent un référentiel pour les entreprises à haute maturité », a ajouté la représentante de Kaleido.
Si nos épargnes sont à risque de se faire voler dans une entreprise ayant un indice de sécurité supérieur à la moyenne, pouvons-nous encore dormir sur nos deux oreilles ?
Lisez la chronique « Kaleido désactive ses services en ligne »