Dans une lettre datée du 28 juin 2019, le bureau chef de Desjardins, à Montréal, a informé ses clients de ce qui suit, dans ces mots:

“Une enquête des autorités policières, effectuée en collaboration étroite avec le Mouvement Desjardins, a démontré que les renseignements personnels de membres ot été communiqués de manière non autorisée à des personnes situées à l’extérieur de l’organisation. Cette situation est le fruit d’un employé malveillant aujourd’hui congédié.”

— 1er paragraphe de la lettre reçue, de Desjardins, par les “membres”

On comprend immédiatement qu’on a affaire à du lourd.

Les mots sont soigneusement choisis et le ton est bref. Aucun désir de Desjardins de s’éterniser sur la spectaculaire fuite historique de renseignements de ses clients (que le Mouvement appelle “membres”).

Puisque l’enquête suit son cours, on sait aujourd’hui que c’est le 14 juin 2019 que la police de Laval (qui mène l’enquête) a appris que “les renseignements personnels de 2,9 millions de membres ont été communiqués à des personnes à l’extérieur de l’organisation”. Le public ne connaît toujours pas le nom de l’individu auquel Desjardins fait référence, dans sa lettre.

Ajoutons que François Dumais, inspecteur de la section enquête du Service de police de Laval a publiquement déclaré “Je peux seulement vous confirmer l’arrestation d’une personne. On garde l’esprit ouvert. Il n’est pas impossible que cette personne-là ait travaillé avec d’autres” ce qui donne à penser qu’il ne s’agirait pas forcément de l’œuvre d’un “loup solitaire”. Il pourrait donc y avoir d’autres tiers dans la nature avec les renseignement très personnels de quelques 2,9 millions de clients du Mouvement Desjardins. Et ça, c’est en assumant que le chiffre soit fiable ce qui est loin d’avoir été prouvé, hors de tout doute.

Desjardins dans l’eau chaude

Alors que la nouvelle a surpris à peu près tout le monde par son ampleur (des millions de clients potentiellement touchés) et par le flou entourant les conséquences potentielles de cette fuite de renseignements, les Québécois comprennent graduellement qu’il s’agit d’une problématique si colossale qu’elle pourrait affecter la vie financière des Québécois pour un très long moment.

Même si Desjardins offre à ses clients de les appeler au 1 800 224-7737 afin de “répondre à leurs questions”, le mal est fait.

Et pour ceux qui seraient tentés de s’abonner au service de surveillance du crédit d’Équifax, pendant les 5 prochaines années, aux frais de Desjardins (chaque membre ayant reçu son code d’activation unique alors allez relire votre lettre, à l’endos, au milieu de la page… votre numéro est là), les problèmes liés à cette fuite pourraient être captés par les mécanismes de surveillance d’Équifax… ou pas.

Équifax ne surveille pas toutes les combines que des individus ou des groupes mal intentionnés pourraient faire avec ces renseignements très personnels. Avec un peu d’imagination, pensez à ce qu’un criminel lambda pourrait faire avec les renseignements suivants:

  • Prénom
  • Nom
  • Date de naissance
  • Numéro d’assurance sociale
  • Adresse
  • Numéro de téléphone
  • Courriel
  • “Certains renseignements au sujet de vos habitudes transactionnelles” — ça semble à la fois vague et énorme mais Desjardins n’en dis pas plus
  • “Certains renseignements au sujet des produits que vous détenez chez Desjardins” — on parle de “type de produit” et de “solde de compte“.

Autrement dit, de manière réaliste, quiconque se trouve aujourd’hui en possession de ces informations en sait autant, sinon plus sur vous que ce qui est indiqué sur votre relevé d’opérations mensuelles.

Aucun détail, non-plus, si ces renseignements qui ont fait l’objet d’une fuite remontent à quelques mois ou à plusieurs années.

On comprend vite pourquoi les Québécois découvrent avec appréhension l’ampleur de ce qui vient de se produire mais qui, à l’évidence, continuera de hanter l’entreprise pendant des décennies parce que tout impair recensé par le Centre antifraude du Canada (CAFC), lié à Desjardins, de près ou de loin, pourra être lié à cette fuite.

C’est d’ailleurs probablement pourquoi Lisanne Roy Beauchamp, superviseur du centre d’appel du CAFC a déclaré qu’il s’agissait d’une fraude “historique”, allant même jusqu’à ajouter que “Ça pourrait bien être une des plus importantes brèches de données de l’histoire récente du Québec”.

Toujours selon Mme Beauchamp, les clients de Desjardins devraient demeurer vigilants et “se méfier des courriels, appels ou envois postaux douteux”. Elle ne le dit pas mais ça devrait être une consigne à suivre, pour toujours. Car même si vous changez d’institution financière, une part de vos renseignements demeurent “pertinents” et peuvent, selon divers scénarios d’arnaque, d’extorsion ou de fraude (au sens large) vous affecter.

Même si vous n’êtes pas un membre de Desjardins

Dans cette page de Desjardins, on apprend que le Mouvement aurait quelques 7 millions de membres.

En assumant une fuite touchant près de 3 millions de membres, on peut donc assumer qu’un peut moins de la moitié de tous les membres de Desjardins sont directement concernés par la fuite de renseignements personnels.

Mais il ne faut pas oublier que le chiffre de 2,9 millions de membres n’est qu’une estimation, pour l’instant.

Rien ne nous prouve que ce ne sont pas carrément les 7 millions de membres qui ont été touchés.

Alors pour l’heure, on doit attendre la suite de l’enquête mais si 7 millions de membres de Desjardins devaient être touchés, on peut assumer que le Québec, dans son ensemble, a été touché.

Même à 3 millions de membres touchés, c’est un problème pan-Québécois.

Décembre 2018

Bien que la fuite ait été confirmée au public, par voie de lettre, le 28 juin 2019, Desjardins a alerté la police de Laval en décembre 2018 pour lui faire part de transactions douteuses dans son système.

Déjà à ce moment, la police avait été prévenue de “transactions douteuses”. Nous n’avons toujours aucun détail concernant celles-ci. Combien? Quelle fréquence? Qui a été affecté? En ce moment, ces renseignements transmis à la police de Laval par Desjardins demeurent secrets parce que liés à une enquête en cours.

Et l’enquête continue, sans que la police de Laval n’en fasse mention dans son site web (qui est horriblement lent et peu informatif, pour des renseignements de suivi au sujet des enquêtes, comme celle-ci). Alors c’est difficile de savoir exactement si l’enquête avance, pour vrai.

Nous sommes rendus au début du mois de juillet et Desjardins aurait appris (de la police de Laval) “qu’un nombre restreint de membres” auraient été “touchés” par la fuite. Mais c’est quoi ça “un nombre restreint”? 10? 1,000? Un million? Et le mot “touché”. Que veut-il dire, réellement?

On nage encore dans la soupe aux pois, pour ainsi dire.

Et ce serait logique que les membres de Desjardins ne se sentent absolument en sécurité, en regard de cette fuite.

La fluidité des données

Le 14 juin 2019, les policiers de Laval ont remis des informations à Desjardins et c’est Guy Cormier, le PDG de la coopérative qui a avoué qu’il a fallu les “traiter” et les “décrypter”. Il a même ajouté que ça avait pris quelques journées pour faire ça.

Et c’est justement là que la bombe médiatique a éclaté.

À savoir que des millions de membres étaient “touchés” par cette fuite.

On comprend donc que les données étaient encryptées. Ça signifie que celles-ci ont probablement voyagé de manière plutôt anonyme dans les réseaux. Ça veut aussi dire qu’il y avait probablement un destinataire pour ces informations. Un destinataire qui avait la clé pour décrypter ces informations. Ça montre à quel point Desjardins pourrait avoir à faire à un individu ou un groupe qui a des moyens plus élaborés qu’un simple “loup solitaire” mais encore là, rien n’est sûr parce qu’il existe des individus très habiles qui peuvent opérer seuls, par idéologie ou par désir d’enrichissement (même si c’est illégal ou immoral).

Guy Cormier a déclaré publiquement que “Le jour où cet employé-là (un “conseiller en marketing et segmentation”) a été congédié, le stratagème a été complètement éliminé” mais est-ce bien vrai?

Si les données ont circulé à l’extérieur de Desjardins, rien ne confirme hors de tout doute qu’elles ne circulent pas encore, ailleurs… à l’extérieur de Desjardins.

Quiconque a déjà manipulé des données sait à quel point elles peuvent être rapidement transférées d’un point A un ou plusieurs autres points.

Qui nous dit que Desjardins et la police de Laval ont mis la main sur la totalité des “instances” de ces données?

Rien.

Alors il est possible que Guy Cormier ait “éliminé” la suite du présumé stratagème de l’employé au moment de son congédiement (précisons cependant qu’il est toujours libre comme l’air et non, il n’a pas été arrêté) mais qu’en est-il des données ayant été en possession de “personnes situées à l’extérieur de l’organisation”? Encore une fois, rien. Remarquez d’ailleurs l’usage du singulier par Desjardins pour référer au congédiement mais l’usage du pluriel pour parler “des personnes” à l’extérieur de l’organisation. Ça pourrait être un indice pour la suite des choses, en ce qui a trait à l’enquête en cours.

Alors on peut croire que les données flottent toujours, quelque part, dans un réseau que Desjardins ou la police de Laval ne connaissent pas. On ne peut pas éliminer complètement cette possibilité, à lumière des déclarations publiques prudentes et mesurées de ces deux sources.

Calmer le jeu

Desjardins a beau vouloir publiquement “calmer le jeu”, on voit bien que Guy Cormier et son premier vice-président exécutif et chef de l’exploitation chez Desjardins, Denis Berthiaume sont aussi nerveux l’un que l’autre.

Et pour cause.

Ils ont beau “penser” que les données n’auraient pas été utilisées par des pirates mais au fond, ils ne font qu’épiloguer avec le narratif qui a été préparé pour eux par des spécialistes des communications qui sont payés pour défendre Desjardins devant cette situation très inconvenante.

Les Québécois sont bons joueurs et pardonnent bien des comportements questionnables de la part de Desjardins (et de la plupart des autres organisations) mais là, on apprend une fuite de renseignements si personnels et intimes que ce n’est pas encore clair si les Québécois vont passer l’éponge, pour ainsi dire.

Attendez-vous à entendre parler de “rumeurs” (qui remettent en question la compétence de Desjardins à gérer ce type d’information), de “fraudes” (imprécises mais pouvant être liées à cette fuite) et même de “Dark Web” où ce genre d’information sensible circule.

Quiconque voudrait “valoriser” les renseignements de ces millions de membres, surtout s’il s’agit d’individus ou de groupes basés à l’étranger (notamment dans des pays n’ayant pas d’accord d’extradition), aurait le beau jeu. Et l’enrichissement pourrait s’avérer pharaonique.

Ne perdez jamais de vue que le Québec est riche.

Pour vrai.

Si le Québec était un pays, il occuperait le 21e rang parmi les pays de l’OCDE et le 33e échelon mondial en ce qui concerne le produit intérieur brut (PIB) par habitant, selon les données de 2016 publiées mardi par l’Institut de la statistique du Québec (ISQ).

Autrement dit, les données financières détaillées de millions de Québécois ont de la valeur. Beaucoup de valeur.

Et c’est justement l’appât du gain né de l’accès à ces informations qui a probablement motivé l’employé congédié à vouloir obtenir celles-ci. Et ça aurait exactement la même motivation derrière quiconque l’aurait soutenu, dans ce “stratagème”. Difficile de croire qu’il n’y a qu’un seul individu qui comprenne l’immense valeur de ce type d’information.

Comme vous pouvez le voir, il y a finalement d’importantes questions qui ne sont toujours pas répondues par Desjardins.

Et tôt ou tard, les Québécois voudront ces réponses.

Desjardins saura-t-il comment répondre?

Shares