Alors que des millions de Québécois prennent graduellement conscience de l’impact réel de la fuite des données qui a eu lieu chez Desjardins, il importe de se demander ce qui pourrait advenir de ces données, advenant qu’elles se retrouvent entre les mains d’individus ou de groupes malveillants.
Pour l’instant, Desjardins a admis publiquement que les données personnelles dont elle avait la responsabilité pour 2,9 millions de ses membres ont été volées puis vendues, illégalement, par un ancien employé qui est aujourd’hui congédié.
L’employé congédié demeure cependant libre comme l’air puisque la police n’aurait toujours pas accumulé les preuves nécessaires pour procéder à son arrestation.
Ainsi, on se doute que Desjardins n’a pas tout révélé publiquement afin de ne pas nuire à l’enquête en cours.
Ceci dit, ces données volées valent assurément leur pesant d’or pour une variété d’acheteurs alors voici un aperçu de ce à quoi celles-ci pourraient servir.
Ces données volées pourraient permettre à des fraudeurs de…
- revendre une maison
- ouvrir un compte bancaire à un autre nom (via l’inventaire abondant de fins détails dans la liste des identités volées)
- créer de faux profils dans l’Internet
Et tant d’autres usages plus granulaires dans des stratagèmes de fraude plus élaborés. La créativité des fraudeurs étant parfois sans limites, les membres de Desjardins dont les données ont été volées devraient se tenir prêts à voir apparaître des stratagèmes surprenants.
À risque
Desjardins ne le crie pas sur les toits mais l’annonce de la fuite des données de 2,9 millions de ses membres, par sa faute, place ceux-ci dans une situation bien inconvenante de victimes de crime.
Plutôt rare, en effet, qu’on a près de 3 millions de victimes d’un crime financier, en même temps mais là, on en a un.
Les membres de Desjardins, qu’importe qu’ils restent ou non avec Desjardins, doivent désormais adopter un niveau fortement rehaussé de prudence, pour tout ce qui concerne leurs finances et leur identité parce que sur les deux fronts, ils sont désormais plus susceptibles de tomber victimes d’une autre fraude, commise en raison de leurs données confidentielles qui circulent peut-être désormais entre des mains malveillantes.
Entre de mauvaises mains
Pirates informatiques, concurrents, criminels ou mafias, les acquéreurs de ces données sensibles rêvaient probablement déjà de faire main basse sur des millions de comptes Desjardins.
Et là, ils ont peut-être ces données entre leurs mains.
Personne ne semble savoir exactement de ces données volées, une fois revendues (il manque beaucoup de détails que Desjardins ne fournit pas).
Il ne faut pas exclure que plus d’un acheteur puisse avoir ces données qui ont été vendues (sans savoir à qui, cependant… Desjardins ne l’a pas dit ou ne le sait peut-être pas). En effet, la nature des données fait qu’il est plutôt facile d’en faire des copies. D’ailleurs, rien ne dit que ces données ne sont pas encore offertes quelque part, dans le “Dark Web”, en bloc ou via des jeux de données choisis (individus, entreprises, nouveaux “membres” et ainsi de suite).
Puisque ces données sont réputées avoir été volées (et probablement vendues) depuis plusieurs mois, on peut penser que ceux qui en sont (vraisemblablement) les nouveaux propriétaires vont s’en servir selon un agenda qu’ils maîtrisent, probablement au cours des prochaines années, pour une grande variété d’arnaques, de fraudes et de malversations financières ou autres.
Autrement dit, les mains malveillantes qui détiennent les données que des millions de Québécois avaient confié à Desjardins vont voir à maximiser le rendement de leur nouvel avoir informationnel.
Il ne serait donc pas surprenant d’entendre parler cette fuite pendant très longtemps, probablement pendant de nombreuses années.
Une justice mal équipée pour dissuader
Au Canada, si l’on se fie au Code criminel, “transmettre, rendre accessible, distribuer, vendre ou avoir en sa possession des renseignements identificateurs sur autrui dans le but de causer des préjudices” est passible d’une peine maximale de 5 ans d’emprisonnement.
Dans le cas où ces informations sont utilisées frauduleusement dans le but (notamment) de soutirer de l’argent, il s’agit dès lors d’un vol d’identité et là, c’est passible d’un emprisonnement maximal de 10 ans.
Plutôt léger comme peine, en regard des torts causés aussi bien aux membres qu’à Desjardins.
On peut se demander si la justice a bien mesuré la gravité des actes dont il est question mais à l’évidence, cette fuite de données chez Desjardins demeure exceptionnelle.
Du côté des membres devenus les premières victimes de cette fuite de données, au Québec, les personnes victimes de fraude sont exclues du programme d’indemnisation des victimes d’actes criminels (IVAC) et ne peuvent pas être dédommagées. Alors les membres devront se tourner vers Desjardins pour de l’aide et si ce n’est pas suffisant, ils devront s’organiser, par leurs propres moyens.
Pourtant, les membres de Desjardins qui pourraient, par exemple, se faire voler leur identité dans 4 ans ou encore, se faire prendre dans une arnaque élaborée pourraient tomber victime à répétition des abus qui pourraient avoir lieu, contre eux.
La justice sera-t-elle capable de bien protéger les membres de Desjardins? Ça reste à voir.
Même s’il est encore impossible de savoir à quoi pourraient servir les données fuitées, il semble que des millions de membres du Mouvement Desjardins devront apprendre à vivre avec une épée de Damoclès au-dessus de la tête, pour très longtemps.