En raison de la fuite massive de données personnelles chez Desjardins, 2,9 millions de membres redoutent un vol d’identité. Voici l’histoire de deux victimes d’une telle fraude ainsi que des conseils pour vous protéger. 

Karim Benessaieh Karim Benessaieh
La Presse

« Ma vie a été chamboulée »

Ils font partie des 2,9 millions de membres Desjardins dont les renseignements ont été dérobés et ont connu, à six mois d’intervalle, un cauchemar semblable : ils se sont fait voler leur identité.

Marie-Josée Suzor, de Shawinigan, et David Gagnon, de Saint-Lambert, ne peuvent établir en toute certitude un lien direct entre la fuite de données chez Desjardins et ce qui leur est arrivé. Les deux ont cependant reçu depuis jeudi la fameuse lettre de l’institution financière les informant que « certains de [leurs] renseignements personnels sont concernés » par la fuite et y ont trouvé une explication à leurs malheurs.

« Ma vie a été chamboulée, dit Mme Suzor, commissaire industrielle à la Ville de Shawinigan. Je n’ai plus de vie. »

Tout a commencé pour elle il y a deux semaines. Lors d’un congrès à Québec, elle s’est aperçue que son cellulaire et ses cartes de paiement ne fonctionnaient plus.

En appelant son fournisseur mobile, Rogers, le mystère s’épaissit : elle n’a plus de compte à cet endroit, car son numéro de cellulaire depuis plus de 10 ans a été transféré à Bell. Pas moyen de payer sa note d’hôtel ou de restaurant, sa carte de crédit est refusée. On soupçonne un vol d’identité et on lui conseille de porter plainte à la police de Québec.

Une autre surprise l’attend : « La dame qui prend ma déposition me dit que j’habite à Anjou, raconte au téléphone la résidante de Shawinigan. Là, je ne comprends plus rien. »

Trois cartes obtenues

Rapidement, les événements déboulent : sa sœur reçoit par texto des demandes d’argent au nom de Marie-Josée Suzor, elle apprend qu’un VTT a été acheté en son nom et que Desjardins a bloqué toutes ses cartes de paiement, par mesure de précaution et sans l’en aviser.

J’aurais aimé qu’ils m’avertissent, qu’ils me donnent un petit indice en me disant que je n’étais pas la seule dans cette situation.

Marie-Josée Suzor, victime de vol d’identité

Elle est « raisonnablement certaine » que la fraude chez Desjardins est la cause de ses malheurs, car aucun de ses comptes dans deux autres institutions bancaires — ses REER et ses placements, essentiellement — n’a été touché.

Un appel chez Equifax et Mme Suzor est consternée : le ou les fraudeurs ont obtenu trois cartes de crédit à son nom et ont dépensé à qui mieux mieux.

« J’avais la meilleure cote de crédit, mon crédit est maintenant complètement pourri. »

Incapable d’acheter un billet d’avion, elle a annulé un voyage qu’elle prévoyait faire prochainement en Corse. Elle va plutôt utiliser une semaine de vacances pour tenter de corriger la situation et multiplier les appels pour récupérer son identité. Ses appels pour ravoir son numéro de téléphone cellulaire chez Rogers puis chez Bell sont restés sans effet, dans un premier temps. « Bell ne faisait rien, alors la police est intervenue et lui a donné une demi-journée pour agir. J’ai pu récupérer mon numéro, au moins. »

Quand elle a appris jeudi en fin de journée que Desjardins avait été victime d’une fuite de données, Mme Suzor a pleuré. « De joie, et pendant deux heures, moi qui ne pleure presque jamais. Ça soulage, au moins, de comprendre, de savoir d’où c’est venu. »

Une BMW à son nom

David Gagnon, un mixeur pigiste de Saint-Lambert, se débat dans un cauchemar semblable depuis novembre dernier. Selon ce qui a été rapporté jeudi, c’est à cette époque que Desjardins a détecté une première transaction suspecte.

PHOTO ANDRÉ PICHETTE, LA PRESSE

David Gagnon, de Saint-Lambert, s’est fait voler son identité il y a six mois. « Le stress, l’impact que ça a sur ma vie, la frustration permanente : ce n’est pas vrai qu’il n’y a pas de dommages au vol d’identité. »

M. Gagnon a reçu deux certificats d’assurance pour deux véhicules de luxe achetés en son nom à Calgary, une Land Rover et une BMW. Il accède à son dossier de crédit chez Equifax et est stupéfait : des demandes de crédit auprès de la BMO et de la Banque Scotia et une dizaine de transactions « complémentaires », puis un prêt de 15 000 $ auprès d’un obscur prêteur en ligne lui démontrent qu’on a usurpé son identité.

Il pousse son enquête plus loin et découvre que le fraudeur s’est présenté aux deux concessionnaires à Calgary avec des fausses cartes comportant ses numéros de permis de conduire et d’assurance sociale.

Commence alors le cauchemar administratif visant à régulariser la situation. Il y patauge encore. « C’est là que la marde pogne, c’est l’enfer. Techniquement, il faut appeler Equifax et TransUnion, enlever toutes les transactions et, dans certains cas, contacter les institutions financières et les commerçants. C’est long, c’est hallucinant. »

Défaut de paiement

Après des péripéties et des renvois interminables, la question du prêt accordé par BMW Financial n’est toujours pas réglée auprès d’Equifax, alors que TransUnion a pris acte. M. Gagnon est toujours considéré comme en défaut de paiement pour deux mois consécutifs, ce qui a ruiné sa cote de crédit.

Il a récemment voulu changer de fournisseur de services de télécommunications et opter pour Vidéotron. Lui qui avait une cote impeccable avant cette mésaventure a dû verser un acompte équivalant à trois mois de service. Il craint que le scénario se répète pour le renouvellement de son hypothèque, qui arrive à échéance bientôt.

« La police dit que c’est simple, mais c’est faux, on est laissé à nous-même, dénonce M. Gagnon. Il faut pédaler, j’ai dû passer 20 ou 30 heures là-dedans, je fais des démarches dans le vide ! »

Il en veut plus particulièrement à Equifax où, affirme-t-il, « il n’y a pas moyen de parler à quelqu’un ». « Il faut que je refasse le même processus pour la troisième fois, je ne sais plus quoi faire, j’arrive à un cul-de-sac. Le stress, l’impact que ça a sur ma vie, la frustration permanente : ce n’est pas vrai qu’il n’y a pas de dommages au vol d’identité. »

Comment se protéger ?

PHOTO ELISE AMENDOLA, ARCHIVES ASSOCIATED PRESS

On estime qu’environ 36 000 Canadiens ont été victimes de vol d’identité en 2016, selon les statistiques les plus récentes du Centre antifraude du Canada.

On estime qu’environ 36 000 Canadiens ont été victimes de vol d’identité en 2016, selon les statistiques les plus récentes du Centre antifraude du Canada. Ce phénomène en hausse croissante, dont les victimes seraient en réalité bien plus nombreuses, est de plus en plus difficile à contrer alors que l’accès au crédit et les opérations en ligne font partie du quotidien en 2019. Voici les règles de base pour limiter les risques.

Vérification annuelle

On recommande de demander une copie de son dossier de crédit au moins une fois par année, auprès d’une des deux institutions principales au Canada, Equifax et TransUnion. Si vous croyez être particulièrement à risque, par exemple à la suite d’un vol de documents, les deux entreprises offrent, pour environ 20 $, une assurance pouvant aller jusqu’à 50 000 $ et un service de surveillance qui vous alertera en cas de changement majeur dans votre dossier. Dans le même esprit, vérifiez soigneusement vos relevés bancaires régulièrement. Il s’agit de repérer le plus rapidement possible toutes les transactions suspectes, les demandes de crédit et de vérification qui pourraient indiquer qu’un fraudeur tente d’utiliser votre identité.

Miser sur la discrétion 

Évidemment, il est difficile de se protéger quand votre institution financière, à qui vous avez confié des données confidentielles, est elle-même victime d’une fraude. En dehors de cette éventualité, il est conseillé de ne pas donner accès aux données les plus recherchées par les fraudeurs, soit la date de naissance, le numéro d’assurance sociale, l’adresse intégrale, les numéros de compte et de passeport. Comment ? « Les poubelles sont une mine d’or pour les voleurs d’identité, précise dans un premier temps la Gendarmerie royale du Canada (GRC). Assurez-vous de déchiqueter vos documents personnels ou financiers avant de les jeter à la poubelle. » On recommande par ailleurs de ne garder sur soi que les documents dont on a besoin régulièrement, ce qui exclut la carte d’assurance sociale et le passeport, afin de limiter les conséquences d’un vol ou d’une perte de son portefeuille, par exemple.

Attention à l’hameçonnage

Une des méthodes les plus efficaces pour récolter des données confidentielles consiste à se faire passer pour des institutions financières ou des services auxquels vous êtes abonné en imitant leurs courriels. La GRC a également relevé certains cas où une telle fraude était effectuée par téléphone. Dans tous les cas, les recommandations sont les mêmes : les entreprises légitimes ne vous demanderont jamais au téléphone ou par courriel des informations confidentielles comme votre mot de passe ou votre numéro d’assurance sociale. Dans les courriels, ne cliquez pas sur les pièces jointes provenant d’expéditeurs douteux ni sur les liens. « Fiez-vous à votre instinct, résume le Centre antifraude du Canada. Si un courriel semble frauduleux, il l’est probablement. »

Attention à la boîte aux lettres

Même en 2019, une bonne partie de l’organisation des fraudeurs repose sur le bon vieux courrier à domicile. Votre boîte aux lettres est particulièrement attirante pour y voler des documents, et changer ou utiliser votre adresse est souvent l’un des premiers gestes que font les fraudeurs. Première précaution : « Lorsque vous changez d’adresse, assurez-vous d’avertir le bureau de poste local et toutes les institutions financières concernées », précise la GRC. TransUnion recommande en outre d’« installer une boîte aux lettres avec verrou à votre résidence afin de réduire le vol de courrier ». Prévenir Postes Canada est également conseillé si vous craignez de voir votre courrier détourné par un fraudeur.

Ne dites pas tout

Beaucoup d’organisations se montrent très gourmandes en informations confidentielles, alors qu’elles sont loin d’être toutes nécessaires pour le service offert. Le problème, c’est qu’en multipliant les dépositaires de ces informations, vous vous exposez à ce que l’un d’entre eux les laisse fuiter. Il n’est pas nécessaire, par exemple, de donner son numéro d’assurance sociale à votre propriétaire ou lors d’une demande d’emploi, ou de présenter votre permis de conduire lors d’une banale transaction. « Soyez sceptique à l’égard des offres qui demandent votre numéro d’assurance sociale ou vos renseignements financiers ou de crédit comme condition d’abonnement », prévient en outre TransUnion sur son site.

Agir rapidement

Si vous croyez être victime d’un vol d’identité, il est primordial d’agir vite pour limiter les dégâts. Première étape : signalez le vol à la police. C’est avec le numéro d’événement que vous pourrez ensuite prouver aux institutions financières et aux créanciers que vous avez été victime de fraude. Il faut ensuite évaluer les dégâts en demandant son dossier de crédit, fermer les faux comptes, et communiquer avec tous les créanciers contactés par le fraudeur pour annuler les transactions. Il est également indispensable d’aviser tous les organismes gouvernementaux émetteurs d’un document qui aurait pu être falsifié. Prenez des notes sur toutes vos communications.

Sources : Gendarmerie royale du Canada, TransUnion, Centre antifraude du Canada

PHOTO MARTIN CHAMBERLAND, LA PRESSE

Les renseignements personnels de 2,9 millions de membres des caisses populaires — 2,7 millions de particuliers et 173 000 entreprises — ont été volés dans les systèmes informatiques de Desjardins.

Quelle est la situation chez Desjardins ?

Martin Vallières Martin Vallières
La Presse

Qui est concerné ?

Les renseignements personnels de 2,9 millions de membres des caisses populaires — 2,7 millions de particuliers et 173 000 entreprises — ont été volés dans les systèmes informatiques de Desjardins. Cela correspond à une bonne majorité (60 %) des 4,5 millions de membres particuliers de Desjardins, et un peu moins de la moitié (45 %) de ses 400 000 membres entreprises. En contrepartie, les quelque deux millions de comptes de clients de Desjardins qui ne sont pas membres d’une caisse populaire — des clients des services d’assurance, par exemple — ne sont pas concernés par ce vol de renseignements personnels d’une ampleur rare dans le système financier et bancaire au Canada.

Quels types de renseignements ont été volés ?

Membres particuliers des caisses Renseignements volés : nom et prénom, date de naissance, numéro d’assurance sociale, adresse, numéro de téléphone, courriel, habitudes transactionnelles et produits financiers utilisés Renseignements épargnés : numéros de cartes de crédit et de débit, mots de passe, numéro d’identification personnel (NIP), questions de sécurité permettant de récupérer l’accès au compte

Membres entreprises Renseignements volés : nom, adresse, numéro de téléphone, nom du propriétaire, identité de l’utilisateur autorisé du compte, habitudes transactionnelles et produits financiers utilisés

Comment savoir si vous êtes concerné ?

Selon Desjardins, les 2,9 millions de membres concernés ont tous été avertis par lettre et par un message déposé dans leur boîte courriel sécurisée d’AccèsD.

Donc, si vous n’avez pas reçu un tel message ces jours-ci, c’est que vos renseignements personnels n’auraient pas été compromis, selon Desjardins.

Néanmoins, en cas de doute sur la réception ou non de ce message, mieux vaut vérifier directement auprès de la caisse populaire dont vous êtres membre ou en téléphonant au service à la clientèle de Desjardins. Vous pouvez aussi consulter le site internet de l’institution.

Service à la clientèle de Desjardins : 1 800 224-7737

Quelles sont les mesures offertes par Desjardins ?

Aux membres visés, Desjardins offre l’inscription sans frais, pour une durée initiale de cinq ans, à un service de surveillance du dossier de crédit et d’assurance en cas de fraude ou de conséquences d’un vol d’identité.

Ce service sera fourni par la firme externe Equifax. Les membres ont jusqu’au 31 octobre pour s’inscrire sur le site web d’Equifax, avec un code d’activation personnel fourni dans la lettre envoyée par Desjardins.

Entre-temps, Desjardins affirme que « les avoirs et les transactions [de ses membres clients] sont protégés ». Desjardins s’engage aussi à rembourser ses membres clients « dans l’éventualité d’un impact sur ces avoirs ou ces transactions » découlant de cette fuite massive de renseignements personnels.

Quelles autres précautions sont à prendre ?

Que vous soyez concerné ou non par ce vol de renseignements personnels chez Desjardins, il importe de prendre les précautions suivantes : – Demeurer vigilant avec les courriels et les messages textes qui demandent des renseignements personnels. Desjardins et les banques ne demandent pas de renseignements personnels par courriel ou par message texte. – Vérifier la légitimité des opérations effectuées dans vos comptes, et signaler rapidement toute transaction suspecte. – Éviter de consulter son compte bancaire, de faire des transactions ou des achats en ligne à partir d’un point d’accès internet sans fil public.

PHOTO MARCIO JOSE SANCHEZ, ARCHIVES ASSOCIATED PRESS

En 2016, dans le cadre des négociations pour une prise de contrôle par le géant des télécommunications Verizon, Yahoo a annoncé que des pirates avaient percé les boîtes de courriel de 500 millions de clients.

Des milliards de personnes touchées dans le monde

L’ampleur du vol de données chez Desjardins en fait l’un des plus gros de l’histoire du Québec. Mais, à l’échelle mondiale, d’autres vols ont touché des centaines de millions de personnes. Voici les plus importants recensés à la fin de 2018 par le site spécialisé en sécurité informatique CSO Online, avec deux autres cas limités au Québec.

Mathieu Perreault Mathieu Perreault
La Presse

Yahoo (2016)

3 milliards de personnes, dont un nombre indéterminé de Canadiens

En 2016, dans le cadre des négociations pour une prise de contrôle par le géant des télécommunications Verizon, Yahoo a annoncé que des pirates avaient percé les boîtes de courriel de 500 millions de clients. D’autres révélations ont suivi, qui avaient multiplié par six le nombre de comptes piratés, retranchant 350 millions US au prix qu’a finalement payé Verizon pour Yahoo. Les informations volées incluaient les dates de naissance, adresses et mots de passe des clients. Un jeune informaticien canadien a fini par être condamné dans ce dossier.

Marriott (2018)

500 millions de personnes, dont un nombre indéterminé de Canadiens

En novembre dernier, le géant de l’hôtellerie a annoncé qu’à partir de 2014, des pirates avaient eu accès aux données des clients de la chaîne d’hôtels Starwood, acquise par Marriott en 2016. Les données volées incluaient des numéros de passeport et, dans certains cas, de cartes de crédit. Le New York Times a révélé en décembre que l’attaque avait été l’œuvre d’une agence d’espionnage chinoise, vraisemblablement dans le but de voler l’identité de citoyens américains.

Adult Friend Finder (2016)

412 millions de personnes, dont un nombre indéterminé de Canadiens

Des pirates ont mis la main sur 20 ans d’archives de données personnelles de clients de ce géant de la rencontre coquine et de sites pornographiques, qui gère notamment le site du magazine Penthouse. Les noms et adresses courriel de clients ont été compromis. Malgré le potentiel de chantage, aucun cas n’a été rapporté aux autorités. L’affaire a mis au jour les pratiques peu sécuritaires en ce qui concerne les mots de passe des sites de rencontre et de pornographie. L’année précédente, les données personnelles de 32 millions de clients du site d’adultère Ashley Madison avaient été volées.

Equifax (2017)

143 millions de personnes, dont 19 000 Canadiens

Une faille dans l’un des sites d’Equifax, géant des cotes de crédit, a permis à des pirates de mettre la main sur les données personnelles d’une partie de ses clients, notamment les numéros de sécurité sociale américaine et d’assurance sociale canadienne. Plus de 200 000 dossiers incluaient des informations sur des cartes de crédit.

eBay (2014)

145 millions de personnes, dont un nombre indéterminé de Canadiens

Des pirates ont réussi à percer la sécurité d’eBay pendant 229 jours sans être détectés, ce qui a mené au vol des données personnelles, mais pas des données financières, de tous les clients. La fuite a été associée au vol des mots de passe de trois hauts cadres.

Sports Plus (2018)

130 000 Québécois

L’été dernier, un vol de données a permis à des pirates de mettre la main sur les dossiers de 130 000 Québécois ayant utilisé une plateforme d’inscription à des services de loisirs, Sports Plus. La plateforme était utilisée par des centaines de municipalités et d’organismes de loisir de la province. La fraude a été dévoilée par Le Journal de Montréal.

Ministère de l’Éducation du Québec (2019)

400 Québécois

L’hiver dernier, le ministère de l’Éducation et de l’Enseignement supérieur a rapporté à la Sûreté du Québec (SQ) que plus de 400 vols d’identité avaient été perpétrés contre des enseignants québécois par le biais d’un vol de données. Radio-Canada a rapporté que des centaines d’autres victimes pourraient s’ajouter au bilan. La SQ n’a pas dévoilé la base de données qui avait été piratée.