La firme spécialisée dans les régimes enregistrés d’épargne-études (REEE) Kaleido Croissance a annoncé qu’elle compensera l’intégralité des sommes disparues des comptes de ses clients à la suite de l’incident de sécurité détecté dans ses systèmes le 18 janvier.
À la suite de cet incident, plusieurs clients ont vu leurs données personnelles compromises lorsque des fraudeurs ont réussi à accéder à leurs comptes et à effectuer des retraits à l’aide de fausses preuves d’inscription aux études.
En réponse à la situation, la direction et le conseil d’administration ont décidé de compenser les sommes dérobées y compris les rendements, a indiqué l’entreprise, précisant que clients concernés seront tenus informés sur le processus de compensation au cours des prochains jours.
Espace client réactivé
La firme a également signalé que son espace client, qui avait été mis hors service lors de la découverte de l’incident, avait été réactivé et qu’il fait désormais l’objet d’une surveillance accrue. Aucune nouvelle tentative malveillante n’a été repérée à ce jour, selon son partenaire externe en matière de sécurité.
On n’en sait pas plus à l’heure actuelle sur les auteurs de la fraude et la manière dont ils ont procédé. « Les données personnelles qui ont été utilisées pour effectuer ces tentatives malveillantes ne provenaient pas des systèmes internes », a précisé l’entreprise dans un communiqué.
Selon La Presse, une cinquantaine de clients de Kaleido ont été informés de tentatives de transactions non autorisées dans leur compte. Plusieurs d’entre eux ont vu leur compte vidé de la totalité des économies qu’ils y avaient accumulé en vue de financer les études de leur enfant. Des décaissements frauduleux ont été rapportés par une cliente durant la semaine du 9 janvier.
À la suite de la découverte de l’attaque contre ses systèmes, Kaleido a conseillé à ses clients de modifier leurs mots de passe et de vérifier les activités dans leurs comptes.
Pas de double authentification
L’entreprise a par ailleurs indiqué avoir pris des mesures pour accroître le niveau de surveillance de ses systèmes. La double authentification, qui permet de renforcer la sécurité des comptes en exigeant un troisième élément d’identification, en plus du nom d’utilisateur et du mot de passe, ne sera cependant déployée qu’en 2023.
L’Autorité des marchés financiers (AMF), auprès de laquelle la firme est enregistrée, protège uniquement les dépôts en cas de faillite d’une institution financière, a indiqué son porte-parole Sylvain Théberge. Le régulateur a tout de même demandé des informations à l’entreprise ainsi qu’un plan d’action précis concernant les mesures qu’elle comptait prendre pour redresser la situation.
Au 31 décembre 2021, Kaleido Croissance gérait des actifs de 1,8 milliard de dollars pour 236 000 bénéficiaires. La firme, qui fait affaire avec des clients au Québec et au Nouveau-Brunswick, est constituée d’une fondation, d’une société de gestion et d’un cabinet de services financiers. Elle était connue avant 2019 sous le nom d’Universitas.