Les informations personnelles de 2,9 millions de membres du Mouvement Desjardins pourraient se trouver entre les mains de personnes mal intentionnées après avoir été transmises illégalement par un employé de la coopérative.
Ce dernier a été congédié, a expliqué le président et chef de la direction de Desjardins, Guy Cormier, jeudi, en conférence de presse, où il a dit s’être senti « trahi » par le comportement de cet individu, un spécialiste des données.
« C’est la première fois qu’une situation de cette ampleur-là arrive chez Desjardins », a-t-il dit, en prenant soin d’ajouter qu’il ne s’agissait pas d’une cyberattaque.
Le Mouvement Desjardins compte quelque 7 millions de membres. Au total, c’est 2,7 millions de particuliers et 173 000 entreprises, soit 41 % de sa clientèle, qui sont affectés.
En fin d’après-midi, jeudi, la coopérative avait déjà envoyé, sur Accès D, des messages à ses membres concernés. La missive visait notamment à réitérer qu’il n’y aurait « aucune perte financière si des transactions non autorisées étaient réalisées ».
Cette fuite constitue l’une des plus importantes au Canada à se produire à l’intérieur d’une organisation alors que généralement, au cours des dernières années, on a davantage assisté à des cyberattaques en provenance de l’extérieur.
Bouquet de détails
Des noms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels, des informations prisées par les fraudeurs, ainsi que des renseignements en matière d’habitudes transactionnelles et de produits détenus ont été transmis illégalement à des tiers.
Toutefois, les mots de passe, les numéros d’identification personnels des membres et leurs questions de sécurité n’ont pas été compromis.
« Les systèmes de contrôle en place sont très serrés, a dit le chef de l’exploitation de Desjardins, Denis Berthiaume. La personne a usé de stratagèmes pour collecter les données. Ce n’est pas tant un spécialiste des technologies, mais quelqu’un qui travaillait dans les données. »
Néanmoins, Mourad Debbabi, professeur à l’Université Concordia et spécialiste de la cybersécurité, s’est montré étonné qu’autant de personnes soient affectées par les agissements d’un seul individu.
Au cours d’un entretien téléphonique, il a estimé que cela ne devrait pas être possible pour un employé d’une organisation d’avoir accès à une information sensible sans que cela ne soit détecté rapidement.
« Il y a quand même des numéros d’assurance sociale qui ont été transmis, c’est une information sensible, a dit M. Debbabi. Avec cela, on peut faire pas mal de choses. C’est quand même assez dramatique comme nouvelle. »
Peu de détails
Puisque l’enquête du Service de police de Laval est toujours en cours, personne n’a voulu s’avancer sur les motivations de l’employé à l’origine de la fuite et de l’endroit où pourraient se trouver les données transmises.
Si l’inspecteur François Dumais a indiqué que l’individu a été interpellé et interrogé, il n’a pas voulu dire si des accusations avaient été déposées à son endroit. Cette personne a toutefois été remise en liberté en attendant la suite des procédures.
« C’est une infraction criminelle qui s’est passée sur notre territoire qui nous a permis de débuter une enquête, et, au fil du temps, les éléments recueillis dans l’enquête nous ont permis de constater l’ampleur des actes qui avaient été posés », a-t-il dit.
L’affaire a débuté en décembre dernier à la suite d’une plainte déposée par Desjardins et c’est le 14 juin dernier que la police de Laval a donné une idée de l’ampleur de la situation au mouvement coopératif.
Malgré tout, une hausse des fraudes n’aurait pas été constatée, a indiqué Desjardins, qui dit avoir resserré la sécurité à l’interne.
Les membres touchés auront droit à un service personnalisé gratuit de surveillance du dossier de crédit et d’assurance en cas de vol d’identité pendant une année. Un microsite a été mis en ligne sur le site internet du mouvement coopératif dans le but de répondre aux questions.
L’AMF rapidement avisée
L’Autorité des marchés financiers (AMF) confirme avoir rapidement été avisée de l’incident tôt après sa découverte par Desjardins, en décembre 2018.
« Cet incident majeur qui frappe aujourd’hui le Mouvement Desjardins met en perspective le risque omniprésent qui pèse désormais sur toutes les organisations en matière de risques liés à la sécurité de l’information. », indique L’AMF dans un communiqué
Comme elle en fait état publiquement depuis plusieurs années, l’AMF insiste auprès des institutions financières qu’elle encadre sur l’importance que celles-ci évaluent adéquatement les risques associés à leurs technologies de l’information et qu’elles renforcent les mesures touchant la protection des renseignements personnels et la cybersécurité.
Des failles de sécurité sont survenues à la Banque de Montréal ainsi qu’à la Banque CIBC en mai. Equifax avait également annoncé en 2017 qu’une importante brèche avait compromis les informations personnelles et les détails des cartes de crédit de 143 millions d’Américains et de 100 000 Canadiens.
En août, quelque 20 000 clients d’Air Canada avaient également appris que leurs données personnelles avaient peut-être été compromises à la suite d’un imprévu avec l’application mobile de la compagnie.
L’AMF dit s’être assurée que Desjardins avait déployé immédiatement les mesures de renforcement additionnelles requises à la lumière de la faille découverte dans le cadre de cet incident. Le régulateur se dit d’ailleurs satisfait des gestes posés jusqu’ici par Desjardins afin de protéger l’intérêt de ses membres et leurs actifs. Elle estime que les dirigeants de l’institution ont pris la situation en charge avec la rigueur, la transparence et la célérité que commande la situation, et que la collaboration offerte aux autorités policières est pleine et entière.
(Avec Finance et Investissement)