Ça fera un an samedi que Desjardins a dévoilé la plus grande fuite de données personnelles de l'histoire du Québec. Un an plus tard, quelles leçons a-t-on tirées ? Y a-t-il eu des progrès en matière de protection des renseignements, et que reste-t-il encore à faire ?

Ce qui a changé

Panier de lois

Engagé depuis son élection en octobre 2018 à la réalisation de sa promesse de « transformation numérique », pour laquelle Éric Caire a été nommé ministre délégué, le gouvernement Legault a multiplié depuis un an les initiatives en cybersécurité et en protection des données personnelles.

En décembre, le projet de loi 53 encadrant les agences d’évaluation de crédit a imposé l’offre d’un « gel de sécurité » aux consommateurs, qui permet d’empêcher que des prêts soient accordés. La politique gouvernementale de cybersécurité, adoptée en mars dernier, oblige notamment tous les organismes publics à s’assurer de la protection des données qui leur sont confiées. Le projet de loi 64 présenté par la ministre de la Justice, Sonia LeBel, le 12 juin dernier prévoit des amendes pouvant aller jusqu’à 25 millions de dollars pour les entreprises qui ne protégeraient pas adéquatement les données personnelles qui leur sont confiées.

« Ça s’en va dans la bonne direction, estime Steve Waterhouse, professionnel de sécurité de l’information et chargé de cours à l’Université de Sherbrooke. Ça va se travailler dans les prochaines années et ça va aider à raffermir la sécurité des données personnelles au Québec. »

Identité numérique

Elle n’est pas encore instituée, cette « identité numérique » qui a failli être implantée au Canada à la fin des années 90, et que le ministre Éric Caire a promise pour 2021 en décembre dernier. Selon ce que Le Journal de Montréal révélait cette semaine, ce serait maintenant en 2025 que chaque Québécois aurait en sa possession une clé numérique unique, validée par les chaînes de blocs, qui servirait à tous les services gouvernementaux et financiers et qui rendrait beaucoup plus difficile le vol d’identité.

Pour le professeur José Fernandez, , professeur au département de génie informatique et génie logiciel de Polytechnique Montréal, l’affaire Desjardins peut avoir servi d’accélérateur pour implanter cette méthode d’authentification plus solide. « C’est quelque chose dont on ne parlait plus il y a trois ou quatre ans, maintenant on en parle. Est-ce que Desjardins a poussé Québec à aller plus loin ? Oui, sans doute. On parle du long hiver de l’intelligence artificielle ; il y a eu le long hiver de l’identité numérique, on est peut-être maintenant au printemps, espérons-le. »

Le Québec dispose déjà d’une base solide, authentifiée et largement utilisée pour cette identité numérique, affirme Éric Parent, PDG de la firme de cybersécurité EVA Technologies : il s’agit du permis de conduire. « On en est tellement proches… Il y a déjà un code à barres à l’arrière, on n’aurait qu’à faire une base de données avec l’assurance maladie, on aurait la base de notre carte d’identité nationale. »

Sensibilisation

Il s’agit d’un constat intangible qui ne se retrouve dans aucun projet de loi ou bilan officiel, mais les experts en cybersécurité sont d’accord : le vol de données chez Desjardins, qui a touché plus de huit millions de personnes et coûté 108 millions à l’institution, a sensibilisé la population à la cybersécurité mieux que ne l’aurait fait n’importe quelle campagne de marketing. « Quand je travaille chez un client, la première chose que je lui demande, c’est : “Voulez-vous qu’un scénario à la Desjardins arrive chez vous ?”, raconte Jean Loup Le Roux, spécialiste en sécurité informatique. C’est une ficelle que je n’aime pas tirer, mais c’est un fait : le cas Desjardins sert d’épouvantail… »

Une leçon intéressante, qui vient un peu démystifier la cybersécurité, c’est que ce vol de données a été commis d’une façon très classique, avec des moyens technologiques limités. « On a fait beaucoup de bruit autour du dark web et des pirates chinois ou russes, mais la réalité du terrain est beaucoup plus banale, explique M. Le Roux. Quelqu’un de l’interne a eu accès à beaucoup trop d’information, il l’a exfiltrée avec des méthodes qui auraient dû être surveillées et l’a revendue à des contacts dans la vraie vie. On part de scénarios à la James Bond et on se rend compte que la réalité est souvent bien plus simple. »

Selon Steve Waterhouse, les Québécois réalisent maintenant qu’ils sont aussi vulnérables que le reste de la planète aux vols de données. « Chaque semaine, il y a une nouvelle là-dessus, Avon, Visa, des PME, des institutions financières… »

« Ça a changé la perception des gens qui se pensaient intouchables : tout le monde a été touché, même moi qui ne suis pas client », renchérit Éric Parent.

Ce qui n’a pas changé

Sécurité

En décembre dernier, évoquant une question de « confiance », le Mouvement Desjardins a annoncé le départ de deux vice-présidents, Denis Berthiaume et Chadi Habib. On a annoncé dans la foulée la mise sur pied d’un « Bureau de la sécurité du Mouvement » chargé notamment de « la mise en œuvre de stratégies transversales intégrées de sécurité ».

Ce sont essentiellement les seules mesures qui aient été rendues publiques indiquant des changements dans la gestion de la sécurité informatique chez Desjardins. Impossible, dès lors, de conclure que l’institution financière, qui a refusé d’accorder des entrevues à ce sujet, est moins à risque un an plus tard.

« Desjardins affirme avoir rehaussé sa sécurité à l’interne, mais il n’y a aucun audit d’une organisation indépendante qui a pu le confirmer », dit Steve Waterhouse, professionnel de sécurité de l’information et chargé de cours à l’Université de Sherbrooke. Il note qu’il y a un an, Desjardins ne disposait vraisemblablement pas d’un système de surveillance des opérations informatiques internes.

Identité

Un an après l’affaire Desjardins, le Canadien et le Québécois moyen sont toujours aussi susceptibles d’être victimes de vol d’identité. En octobre dernier, le Commissariat à la protection de la vie privée du Canada (CPVPC) estimait que 28 millions de Canadiens avaient été touchés par une « atteinte à la protection des données », ce qui inclut celle de Desjardins et les 6 millions de clients canadiens de Capital One. Le CPVPC a décliné les demandes d’entrevue de La Presse pour mettre ces données à jour, expliquant que l’enquête concernant Desjardins était « toujours en cours ». Fin février, le Centre antifraude du Canada a annoncé par ailleurs que les plaintes pour vol d’identité avaient augmenté de 84 % en 2019, passant de 1339 à 2467. De ce point de vue, et malgré des mesures législatives récemment mises en place par Québec, force est de constater que peu de choses ont changé.

« Ultimement, le vrai problème, c’est que les données visées dans la fuite chez Desjardins n’étaient pas si privées que ça : on parle d’adresses, de numéros d’assurance sociale, de noms, dit José Fernandez, professeur au département de génie informatique et génie logiciel de Polytechnique Montréal. Ces données devraient être anodines, elles ne devraient pas être essentielles et pouvoir servir au vol d’identité. »

Éric Parent, PDG de la firme de cybersécurité EVA Technologies, estime que « le problème n’a pas été réglé à la source », lui qui milite depuis longtemps pour l’instauration d’une identité numérique authentifiée par une seule instance, une carte d’identité nationale cryptée qui empêcherait le vol d’identité. « On est encore dépendant du numéro d’assurance sociale et de sa date de naissance ; [les gens] peuvent ouvrir un compte en banque avec ces informations-là, on l’a encore vu récemment avec la vague de fraudes de la Prestation canadienne d’urgence. »

Image et protection

Desjardins avait réagi très rapidement dès les premiers jours en offrant une surveillance de crédit de cinq ans chez Equifax. On avait également annoncé un remboursement jusqu’à un maximum de 50 000 $ des frais qui pourraient être reliés à la restauration de son identité ainsi qu’un service d’« accompagnement », tant psychologique que juridique. L’ensemble de ces mesures était évalué à 70 millions.

Mais voilà, un an plus tard, deux des experts interrogés ont de sérieuses réserves sur l’efficacité et l’application de ces mesures. « Ce qu’on a remarqué, c’est que le soutien promis à tous les membres n’était pas au rendez-vous, affirme M. Waterhouse. J’ai cinq clients qui sont venus me voir, des membres Desjardins qui n’ont pas pu en bénéficier parce qu’ils ne pouvaient prouver hors de tout doute qu’ils s’étaient fait voler leur identité à cause de la fuite. C’est évident, c’est difficile de prouver à 100 % que c’est la faute de Desjardins. »

Il rappelle en outre que certaines victimes de fuites de données plus anciennes, notamment celle d’Ashley Madison survenue en 2015, commencent aujourd’hui à recevoir des menaces de pirates. « Dans quatre ans, je m’y attends. Des gens vont rapporter des vols d’identité et Desjardins va leur répondre : “Ben là, ça fait trop longtemps, ce n’est pas notre faute.” »

Éric Parent fait en outre partie des milliers de personnes qui ont utilisé un produit financier Desjardins et qui ont reçu un avis dans les dernières semaines indiquant qu’elles faisaient partie des victimes de la fuite. « Ils ont vraiment mal géré ce bout-là, ça laisse croire qu’il pourrait y avoir une nouvelle brèche. » Il se montre également sceptique quant à la protection Equifax. « La réalité, c’est que ça donne un peu de paix d’esprit, mais ça ne change rien si on ne règle pas le problème fondamental. Si tu es victime d’un vol d’identité, ça va quand même te prendre 10 mois ou un an pour faire le ménage. »

« Pas de nouveaux développements »

Le Mouvement Desjardins a décliné nos demandes d’entrevue pour faire le point sur la fuite de données survenue il y a un an. « [Le PDG] Guy Cormier n’accordera pas d’entrevue au sujet de la fuite des renseignements personnels. L’enquête est toujours en cours. Nous n’avons pas de nouveaux développements », a fait savoir la porte-parole Chantal Corbeil. « Depuis plusieurs années, Desjardins augmente ses investissements significativement en sécurité de l’information [plus de 100 millions cette année par rapport à 70 millions l’an dernier]. Nous allons continuer de le faire », précise-t-elle. En décembre, Desjardins a créé un Bureau de la sécurité, qui regroupe 900 experts de l'entreprise. Ce bureau a également mis en place une unité de lutte contre les crimes financiers, note Chantal Corbeil. Au début de juin, 1 719 312 personnes s’étaient inscrites au service de surveillance d’Equifax et 1 190 871 personnes ont eu recours au service Ma Cote de Crédit, par l’intermédiaire d’AccèsD, pour visualiser leur dossier de crédit. Desjardins ne divulgue toutefois pas le nombre de réclamations ni les demandes traitées en lien avec la protection Desjardins (vol d’identité), comme c’est le cas pour tous ses produits d’assurance. La Presse a aussi demandé une entrevue avec l’ombudsman de l’organisation, mais Chantal Corbeil a indiqué qu’il ne commente pas de dossiers publiquement.

Le fil des évènements

Fin 2018 : le Mouvement Desjardins détecte une transaction suspecte et porte plainte à la police de Laval.

Mi-juin 2019 : les enquêteurs écartent l’hypothèse d’une banale tentative de fraude et avisent Desjardins qu’il s’agirait d’une fuite de données orchestrée par un employé. L’employé en question, Sébastien Boulanger Dorval, 37 ans, est congédié.

PHOTO PASCAL RATTHÉ, ARCHIVES LE SOLEIL

Sébastien Boulanger Dorval

20 juin 2019 : Desjardins annonce le plus grand vol de données de son histoire. Selon les estimations à ce moment-là, il toucherait 2,7 millions de membres particuliers et 173 000 entreprises. Noms et prénoms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels, habitudes transactionnelles et produits financiers utilisés des membres font partie des informations dérobées. Desjardins offre à tous ses membres une surveillance de crédit de cinq ans chez Equifax. Deux demandes d’action collective sont déposées dans les heures suivantes.

8 juillet 2019 : la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada annoncent des enquêtes sur le vol de données survenu chez Desjardins.

15 juillet 2019 : comparution de trois dirigeants de Desjardins, dont le président Guy Cormier, devant le comité de la sécurité publique et nationale de la Chambre des communes. Le Mouvement Desjardins annonce une série de mesures visant à protéger les membres en cas de vol d’identité, notamment un remboursement maximal de 50 000 $ des frais engendrés par un tel vol. On offrira de plus un accompagnement personnalisé, tant juridique que psychologique, à tout membre touché par ce type de fraude.

1er novembre 2019 : on annonce que tous les membres particuliers, soit 4,2 millions de clients, ont été touchés.

3 décembre 2019 : évoquant un enjeu de « confiance » après « quelques mois de vérification interne », Desjardins annonce le départ de Denis Berthiaume, premier vice-président exécutif et chef de l’exploitation, et de Chadi Habib, premier vice-président aux technologies de l’information.

PHOTO JACQUES BOISSINOT, ARCHIVES LA PRESSE CANADIENNE

Guy Cormier, président de Desjardins

10 décembre 2019 : le président de Desjardins, Guy Cormier, annonce que 1,8 million de détenteurs de carte de crédit ont vu leurs renseignements personnels consultés de façon malveillante. Deux millions de clients d’assurances sont également concernés, portant le total de personnes ayant droit à la « Protection Desjardins » à 8 millions. Seul le nombre d’entreprises touchées, soit 173 000 sur un total d’environ 350 000, n’a jamais été revu à la hausse.

16 décembre 2019 : Guy Cormier est réélu par acclamation à la tête du Mouvement Desjardins pour un second mandat de quatre ans.

27 février 2020 : Desjardins établit à 108 millions les coûts du vol de données, dont 30 millions pour les frais juridiques et les services de surveillance des agences de crédit et 40 millions en provision pour la protection contre le vol d’identité.