Hacker qui dit bonjour à Desjardins

Des entreprises aussi ont été touchées par la fuite chez Desjardins

Dans le lot des 2,9 millions de membres touchés par la fuite des renseignements financiers chez Desjardins, il y a des individus mais aussi, des entreprises.

Aussi bien les individus que les entreprises ont reçu une lettre de Desjardins. La lettre aux individus étant datée du 22 juin 2019 et celle aux entreprises, le 28 juin 2019. Les deux lettres étaient signées par Marie-Andrée Alain, la Chef de la protection des renseignements personnels du Mouvement Desjardins.

Alors que la page frontispice de la lettre annonçait le contexte de la fuite des renseignements des membres dans un langage semblable, endos de cet envoi présentait des différences, notamment au chapitre des types d’informations qui avaient fait l’objet d’une fuite et aussi, le fait que les entreprises n’avaient aucune offre pour faire appel aux services d’une entreprise comme Equifax pour surveiller leur dossier de crédit (et le vol de leur identité), pendant 5 ans (aux frais de Desjardins… mais après, c’est aux frais du membre, s’il souhaite continuer de se protéger).

Les entreprises chez Desjardins sont donc laissées à elles-mêmes pour faire face à des éventualités bien inconvenantes, en lien avec cette fuite historique, à savoir l’une des plus importante du genre ayant jamais eu lieu, au Québec et au Canada.

Les renseignements en cause

Dans sa lettre aux entreprises, Desjardins indique que les renseignements concernés par la fuite sont les suivants:

  • Nom de l’entreprise
  • Adresse
  • Numéro de téléphone
  • Courriel
  • “Certains renseignements au sujet des habitudes transactionnelles” — ce qui laisse à penser que ce serait l’équivalent du relevé mensuel, probablement depuis l’ouverture du compte de l’entreprise
  • “Certains renseignements au sujet des produits que l’entreprise détient chez Desjardins (ex.: type de produit, solde de compte)”

Comme pour les individus, Desjardins affirme que le mot de passe (pour les utilisateurs d’AccèsD) et le NIP ne seraient pas concernés par la situation. Encore là, on veut bien croire Desjardins mais en sont-ils certains à 100%? Mais bon, si on s’en tient à ce qu’ils déclarent, ces informations n’auraient pas été compromises alors aucun besoin de les actualiser.

Les gestionnaires des entreprises concernées (probablement des dizaines de milliers, au Québec… sinon des centaines) sont invitées à composer le 1 888 233-2473 pour contacter le “Centre d’affaires”. Ce n’est pas clair comment les agents de ce Centre d’affaires pourront en faire plus pour aider les membres corporatifs touchés par la fuite mais un échange téléphonique peut aider à clarifier des éléments où Desjardins reste très discret, comme:

  • Depuis combien de temps l’employé congédié de Desjardins travaillait-il là?
  • Comment se fait-il qu’il avait à la fois accès aux données des individus —et— des entreprises?
  • Jusqu’à quand remontent les “habitudes transactionnelles” qui ont fui? 1 mois? 1 an? Depuis l’ouverture du compte?
  • Les données ont-elles été vendues? Si oui, s’agit-il d’acheteurs d’ici ou de l’étranger?
  • Pourquoi Desjardins a-t-il attendu au jeudi, 20 juin 2019, pour

Et on pourrait continuer, incluant comment Desjardins compte compenser ses membres corporatifs pour cette fuite. Encore là, Desjardins multiplie les parades communicationnelles pour éviter à tout prix d’aborder ce genre de thème. Mais pour les membres corporatifs de Desjardins, la question est réelle et pressante.

Si un membre corporatif de Desjardins a le malheur de contrevenir à une seule des nombreuses règles de fonctionnement du Mouvement, il y a des pénalités et elles sont habituellement lourdes.

Pourquoi Desjardins pourrait-il s’en tirer “comme un voleur” avec cette fuite historique des données de ses membres? La question se pose, aussi bien pour les individus que pour les entreprises.

Ceux à qui Desjardins a signalé la fuite

Dans sa lettre aux entreprises, Desjardins mentionne avoir “signalé” la fuite aux organismes suivants:

En ce sens, Desjardins informe les entreprises qu’elles n’ont pas d’autre signalement à effectuer.

Mais au fond, les entreprises devraient probablement, elles aussi, signaler la fuite parce que les conséquences de celle-ci les concerne, au premier chef. Ce sont d’ailleurs les entreprises qui devront payer pour assurer une surveillance accrue à tous les niveaux où les renseignements compromis pourraient être utilisés, contre elles.

On se demande alors si Desjardins a vraiment pensé à l’intérêt de ses membres, avec ce “conseil” ou s’ils tentaient juste de “calmer le jeu”, notamment en minimisant le nombre d’appels à ces organismes.

La question se pose et à chacun de voir au cours d’action qui lui sied mais voilà, il serait probablement prudent de consulter un expert pour valider la bonne suite à donner à cette fuite, qu’importent les “conseils” de Desjardins.

Desjardins tente de régulariser une situation pour le moins irrégulière

Parmi les dispositions que dit avoir pris Desjardins pour le bénéfice de ses membres (individuels et corporatifs), une vigilance accrue aura lieu lors de votre prochain appel.

En effet, vous devrez probablement être plus patient pour vous identifier.

C’est bien mais ça n’empêche pas que les informations ayant fait l’objet d’une fuite ont bel et bien “circulé à l’extérieur de Desjardins” (selon l’aveu-même de Desjardins) alors il est fort probable que quiconque serait en possession de celles-ci serait plus inventif que de risquer d’être localisé par les forces policières en appelant… chez Desjardins!

Car c’est là qu’il aurait le plus de risques d’être identifié et dénoncé aux forces de police de Laval qui enquêtent présentement sur la fuite.

Alors c’est bien beau les vérifications téléphoniques “bonifiées” mais ça ne changera rien si l’utilisation de ces données fuitées a lieu, ailleurs.

On peut facilement imaginer mille scénarios où des données d’identification financière aussi précises que celles qui ont fait l’objet de la fuite pourraient être utilisées. Et ces scénarios n’ont pas toujours un lien avec Desjardins ou d’autres banques. Avec autant de détails sur les entreprises, des fraudeurs auraient le beau jeu d’inventer un stratagème avec des sociétés-écran portant des noms semblables afin de tromper des fournisseurs ou tout autre partenaire.

Il ne fait aucun doute que l’inventivité d’éventuels complices de cette fuite ne devrait pas être sous-estimée.

Rien ne nous assure que cette information ne sera pas “valorisée” de manière si créative que Desjardins n’y verra peut-être que du feu, advenait qu’elle soit un élément du stratagème.

Enfin bref, la nouvelle de la fuite a déjà eu l’effet d’un électrochoc, au Québec mais on comprend qu’au fond, ce jeu de chat et de souris entre Desjardins et la police d’un côté et les potentiels détenteurs des informations fuitées ne fait que commencer.

Ça pourrait durer des années, voire des décennies.

Et Desjardins a beau bomber le torse et sortir les crocs pour avoir l’air prêt à se défendre mais si l’historique des attaques informatiques nous a appris quelque chose, c’est que des géants comme Desjardins peuvent être rapidement mis à genoux devant un usage “créatif” des données que les membres leur avaient confié et qu’ils ont perdu, dans la nature.

Il y a très peu de chances que les données n’aient pas été téléversées dans une ou plusieurs archives secrètes et sécurisées. C’est un trop gros “butin informationnel” pour le perdre lors d’une prévisible arrestation.

Même si ces informations sont trop “chaudes” en ce moment dans le marché pour être utilisés (sans être trop embêté par les forces policières), il faudra s’attendre que si elles sont dans “la nature”, quelqu’un, quelque part, sera éventuellement tenté d’en faire usage.

Et ça pourrait être dans 1 mois, 1 an, 5 ans, 10 ans ou jamais.

L’information peut vivre très, très longtemps. De manière secrète et même si cette information semble valable selon des paramètres temporels précis (par exemple, les “habitudes transactionnelles” du mois de… disons, mars 2019), ne perdez jamais de vue que celles-ci pourraient gagner en valeur dans le temps, notamment dans des stratagèmes d’extorsion.

Soyez assurés que même si le public vient d’être prévenu de cette fuite de données chez Desjardins, c’est le début d’une longue saga où Desjardins aura fort à faire pour prouver sa valeur, en regard des informations qui n’auraient jamais dû quitter sa garde.

Partagez ce billet

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.