Il y a un mois, le 20 juin dernier, Desjardins révélait avoir été victime de la pire fuite de données confidentielles de son histoire. L'affaire a beau avoir fait l'objet de centaines de reportages, bien des victimes nagent encore en pleine confusion. Qu'est-ce qui a été volé ? Où en est l'enquête ? Comment se protéger ? La Presse fait le point.

KARIM BENESSAIEH
KARIM BENESSAIEH LA PRESSE

Combien de personnes ont été touchées ?

2,7 millions de particuliers membres de Desjardins, sur les 4,3 millions que compte l'institution financière, soit 63 %. On compte également 173 000 entreprises sur 300 000, soit 58 %. Précisons que les 2 millions de comptes de clients Desjardins qui ne sont pas membres, qui détiennent par exemple une assurance, n'ont pas été touchés. Par contre, on a relevé que d'anciens membres dont le compte avait été désactivé ou inutilisé figuraient parmi les victimes, sans que des statistiques aient été fournies à ce sujet.

Qu'est-ce qui a été volé ?

Pour les particuliers, les nom et prénom, date de naissance, numéro d'assurance sociale, adresse, numéro de téléphone, courriel, habitudes transactionnelles et produits financiers utilisés. Les renseignements qui n'ont pas été volés : les numéros de carte de crédit et de débit, le mot de passe, le numéro d'identification personnel ainsi que les questions de sécurité permettant d'accéder au compte. Pour les entreprises, on a dérobé les nom, adresse, numéro de téléphone, nom du propriétaire, identité de l'utilisateur autorisé du compte ainsi que les habitudes transactionnelles.

Où en est l'enquête dans cette affaire ?

On n'en sait pas beaucoup plus qu'il y a un mois. Fin 2018, le Mouvement Desjardins a détecté une transaction suspecte et a porté plainte à la police de Laval. En mai, les enquêteurs ont conclu qu'il ne s'agissait pas d'une banale tentative de fraude et ont avisé Desjardins à la mi-juin qu'il s'agissait d'une fuite de données, vraisemblablement causée par un employé à l'interne. L'employé a été congédié.

Que sait-on de l'employé en question ?

Celui qui est dans la ligne de mire des policiers, Sébastien Boulanger Dorval, 37 ans, habitait jusqu'à tout récemment à Saint-Charles-de-Bellechasse, près de Québec. Il a été arrêté quelques semaines avant que l'affaire ne s'ébruite, interrogé puis relâché. Aucune accusation n'a été déposée contre lui, ce qui pourrait prendre « un certain temps », selon une source policière citée par La Presse en juin. Il s'agit d'un « conseiller en segmentation », diplômé en administration des affaires de l'Université Laval, avec une spécialisation en technologies. Il est soupçonné d'avoir lui-même regroupé un ensemble d'informations auxquelles il avait accès. On ignore ce qu'il en a fait, mais des policiers ont indiqué avoir d'autres suspects dans cette affaire, des personnes qui auraient été approchées pour acheter les données volées.

(Re)lisez l'article « Un jeune père dans la ligne de mire des policiers »

Qu'a fait Desjardins pour protéger les victimes de la fuite ?

Desjardins a offert à tous ses clients concernés, anciens et actuels, une surveillance du crédit de cinq ans chez Equifax, d'une valeur de 1200 $. Cette offre n'est pas valable pour les entreprises. Ce forfait permet essentiellement de consulter son dossier de crédit et d'y repérer les anomalies, par exemple si un fraudeur tente d'obtenir un prêt en votre nom. Il comporte également des alertes en cas de modification substantielle au dossier de crédit. Cette initiative de Desjardins a cependant été plombée par les problèmes informatiques d'Equifax, dont le site a été submergé par la demande, ainsi que par un service à la clientèle déficient.

(Re)lisez la chronique d'Isabelle Hachey « Veuillez réessayer plus tard »

A-t-on apporté des correctifs ?

Cette semaine, Desjardins a activé ses « solutions complémentaires », proposant à ses membres d'appeler ses propres services ou d'utiliser son site transactionnel AccèsD pour s'inscrire au forfait d'Equifax. Le site d'Equifax semble également plus stable, bien que des lecteurs rapportent encore des bogues. En date d'hier, selon les statistiques fournies à La Presse, 15,25 % des membres touchés s'étaient inscrits à Equifax, soit 410 000 personnes. Tous les membres touchés devraient avoir reçu leur code d'activation par la poste, si Desjardins dispose de la bonne adresse, évidemment. Annoncée début juillet, l'offre d'inscription chez l'autre grande agence d'évaluation du crédit, TransUnion, fait toujours l'objet de « discussions », précise-t-on chez Desjardins.

(Re)lisez l'article « Qu'est-ce qu'Equifax et TransUnion savent sur vous ? »

Y a-t-il une compensation pour les victimes ?

Deux actions collectives ont été déposées dans les heures qui ont suivi l'annonce de Desjardins. Elles n'ont toujours pas été autorisées. Par ailleurs, la semaine dernière, le président de Desjardins, Guy Cormier, a annoncé des mesures de compensation pour les membres actuels qui seraient victimes de fraude. On leur offre essentiellement un maximum de 50 000 $ en remboursement des frais qui seraient engendrés par une fraude. Toute somme faisant l'objet d'une « transaction financière non autorisée » sera remboursée, sans aucun plafond. Un accompagnement personnalisé, tant judiciaire que psychologique, est offert, et la protection est étendue aux entreprises. Quant à ceux qui ne sont plus membres Desjardins, ils n'ont accès qu'au service de surveillance de crédit pendant cinq ans chez Equifax.

(Re)lisez l'article « Remboursement intégral et protection de 50 000 $ »

Quelles mesures supplémentaires devrait-on prendre pour se protéger ?

Elles se résument en un mot : vigilance. La surveillance du dossier de crédit, le suivi des transactions, un changement dans un compte, bref toute anomalie doit être repérée le plus rapidement possible pour couper l'herbe sous le pied des fraudeurs. Faut-il aller plus loin, par exemple changer tous ses mots de passe et identifiants chez Desjardins, voire dans tous les autres sites que l'on fréquente ? « La réponse est complexe », prévient Jean Loup Le Roux, spécialiste en sécurité informatique. « Une bonne partie du travail doit revenir aux institutions financières : c'est à elles de mettre de meilleurs contrôles de sécurité sur leur plateforme, pas aux simples utilisateurs. Ce n'est pas tout le monde qui travaille en cybersécurité... » En attendant ces changements et l'implantation d'une identité numérique au Canada, il suggère au moins une mesure incontournable : utiliser des mots de passe plus sécuritaires ou, mieux, un gestionnaire de mots de passe.

Appels à tous

Vous avez des questions, des préoccupations ou des commentaires à faire concernant le vol de données personnelles chez Desjardins ? Écrivez-nous.

PHOTO PAUL CHIASSON, ARCHIVES LA PRESSE CANADIENNE

Guy Cormier, président de Desjardins