On avait déjà compris que Desjardins n’avait pas les yeux grands ouverts quand la coopérative s’est fait dérober les données personnelles de millions de ses clients par l’un de ses employés l’an dernier.

Philippe Mercure Philippe Mercure
La Presse

Mais les rapports dévoilés cette semaine montrent que c’est pire que ce qu’on soupçonnait. L’institution a carrément fermé les yeux.

Desjardins avait en effet été avertie des failles béantes de ses systèmes de sécurité, dont celles qui ont été exploitées par son employé malveillant. Ses propres analyses les avaient détectées. Des firmes externes lui en avaient fait part.

PHOTO ALAIN ROBERGE, ARCHIVES LA PRESSE

Dans des rapports dévoilés cette semaine, on a découvert que Desjardins avait fermé les yeux sur des failles béantes dans ses systèmes de sécurité, dont celles qui ont été exploitées par son employé malveillant, il y a un peu plus d’un an.

Or, qu’a fait l’institution à qui des millions de Québécois et de Canadiens confient leurs données personnelles ? Pas grand-chose. Avec les résultats que l’on connaît.

Ces résultats, ce sont que les noms, numéros d’assurance sociale, adresses et historiques de transactions de 9,7 millions de personnes ont été compromis. Ces données ont peut-être circulé — et circulent peut-être encore — dans les recoins sombres du web.

Pour un fraudeur qui veut commander une carte de crédit en votre nom, ouvrir un compte de téléphone cellulaire ou même réclamer la prestation canadienne d’urgence du gouvernement fédéral, c’est une manne.

* * *

Lire les détails du modus operandi suivi par l’employé malintentionné pour commettre son larcin donne froid dans le dos. Parce qu’on est loin ici du piratage de haute voltige.

Les données névralgiques des clients de Desjardins étaient stockées dans un entrepôt sécurisé. Les autorisations pour accéder à cet entrepôt étaient limitées. L’employé fautif, par exemple, n’y avait pas accès. Jusqu’ici, tout va bien.

Le gros hic, c’est que chaque mois, des employés du service de marketing copiaient ces données protégées… dans un répertoire partagé accessible à l’ensemble du département. Aussi bête que ça.

Pendant 26 longs mois, le voleur a donc simplement transféré ces données du répertoire partagé sur sa clé USB personnelle. Un jeu d’enfant. Desjardins avait été prévenue du risque de fuites par les périphériques USB. Elle n’en a jamais bloqué les accès.

En plus des données des membres actifs, le voleur a aussi pu mettre le grappin sur celles d’anciens clients que Desjardins conservait en dépit des exigences de la loi et de ses propres normes.

L’institution avait aussi été avertie qu’elle devait effectuer une surveillance pour détecter d’éventuelles activités anormales de ses employés. Elle a préféré miser sur un « climat de confiance ». Pendant plus de deux ans, elle n’a donc rien su du manège de son employé. Soulignons d’ailleurs qu’elle ne l’a jamais détecté : c’est la police de Laval qui a fini par l’aviser d’une fuite de données !

* * *

Une telle nonchalance n’est pas seulement navrante. Elle est illégale. Tant l’Autorité des marchés financiers que le Commissariat à la vie privée du Canada et la Commission d’accès à l’information du Québec concluent que Desjardins a contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques.

Heureusement pour Desjardins, mais malheureusement pour nous, les lois actuelles manquent cruellement de dents. Desjardins, disons-le, s’en sort beaucoup trop bien dans cette histoire. Des pénalités substantielles auraient envoyé un message dissuasif à toutes les entreprises (car elles sont nombreuses) qui gèrent nos données avec négligence.

Anecdote : les fuites de données sont aujourd’hui si fréquentes que la valeur des renseignements volés est en baisse. L’offre est tout simplement trop élevée !

La bonne nouvelle, c’est que tant le provincial que le fédéral ont réagi rapidement. À Ottawa, un projet de loi propose d’accroître les pouvoirs du Commissaire à la vie privée. À Québec, le projet de loi 64 inclut des amendes pouvait aller jusqu’à 25 millions de dollars pour les entreprises qui protègent mal les données qui leur sont confiées.

Enfin.

Le seul mérite de cette histoire déplorable aura sans doute été de faire bouger les choses.