Ce qu’il faut savoir sur la fuite de données de Desjardins

Quelque 2,7 millions de particuliers et 173 000 entreprises membres chez Desjardins sont affectés par la fuite de renseignements personnels. Des noms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, courriels, en plus des renseignements en matière d’habitudes transactionnelles et de produits détenus ont été transmis illégalement à des tiers. L’usurpation d’identité demeure la fraude la plus commune dans ce genre de fuite de données.

Contrairement à la fraude par le vol de mots de passe, numéros d’identification personnels des membres ou questions de sécurité, les conséquences peuvent s’échelonner sur plusieurs années. «La fraude par le NIP est plus directe. Dans le cas d’un vol d’identité, les données peuvent sommeiller sur un serveur pendant plusieurs années», fait valoir Michel Carlos, ex-chef de l’escouade des crimes économiques à la Sûreté du Québec, aujourd’hui vice-président des opérations pour la firme Artemis Renseignement, qui conseille les banques, entre autres.

1/ Le profil du fraudeur en entreprise

Le vol d’identité peut être très lucratif pour les fraudeurs, selon Sylvain Paquette, président du Bureau canadien du crédit et expert en fraude. Chaque dollar investi en logiciel ou données piratées par exemples en rapporte 1000 aux fraudeurs, qui sont «normalement payés en bitcoins, ajoute Michel Carlos. Il est donc plus difficile de les retracer.»

M. Carlos détaille deux profils types d’«employé malveillant», tel qu’exprimé par Desjardins pour décrire la personne responsable de la fuite.

«L’employé mécontent qui n’a pas obtenu de promotion ou d’augmentation de salaire et qui souhaite nuire à l’organisation. Mais dans ce cas, l’information ne sera généralement pas transmise à un réseau de fraudeurs», dit-il. 

Il pourrait également s’agir d’«un employé qui veut revendre les données piratées dans le but de se faire de l’argent ou d’une taupe du crime organisé infiltrée chez Desjardins. 

Les gangs de rue par exemple vont engager des personnes sans dossier criminel pour infiltrer une institution financière dans le but de voler ce genre d’information.» 

Avant l’embauche, tous les employés du Mouvement Desjardins subissent une enquête de sécurité pour assurer leur intégrité. Selon l’institution financière, aucun enjeu n’a été détecté au moment de l’enquête sur cet employé malveillant.

2/ Que font les fraudeurs avec les données?

«Les fraudeurs peuvent se faire passer pour un membre de chez Desjardins et effectuer un changement d’adresse, faire émettre des chèques, ouvrir un compte de cellulaire ou faire une demande de carte de crédit», explique Michel Carlos.

«Les fraudeurs ou les organisations qui achètent ces informations pourront commander des cartes de crédit dans d’autres institutions financières, ajoute Sylvain Paquette. C’est ce qu’on voit régulièrement. Ils peuvent aussi revendre l’information sur des forums ou sur le Dark web.»

3/ Comment se protéger pour les membres de Desjardins? 

Des mesures additionnelles de protection ont été déployées afin de protéger actifs, renseignements personnels et transactions, indique l’institution financière dans un message envoyé aux membres concernés via AccèsD. Ils recevront une correspondance par la poste dans les prochaines semaines. 

Michel Carlos croit que les personnes touchées par la fuite devraient toutefois changer leur mot de passe et adresse courriel.

Les noms, numéros de téléphone et courriels font partie des données affectées par la brèche. Certains fraudeurs pourraient ainsi tenter de communiquer avec les membres en vue de leur extirper des informations additionnelles et confidentielles, comme le NIP. 

«Vous savez qu’il y a eu une fraude massive. Dans le but de prévenir, veuillez donner telle ou telle information, veuillez contacter ce numéro», illustre-t-il. Mais Desjardins ne communique jamais avec ses membres de cette manière.» 

M. Carlos confirme que des messages textes sont envoyés depuis plusieurs semaines à certains clients de chez Desjardins. 

4/ Comment éviter la fraude?

Sylvain Paquette détaille quatre conseils afin d’éviter la fraude financière. 

«Avoir un porte-carte anti-RFID ou procéder d’identification par radiofréquence, pour se protéger contre les fraudeurs qui viennent capter la puce sur la carte de crédit; ne jamais se connecter ou faire de mise à jour sur des wifi autres qu’à la maison ou au travail; ne jamais donner d’informations personnelles à un numéro appelant; barrer sa boîte aux lettres extérieure pour éviter le vol d’informations personnelles.»

Il assure toutefois qu’il est sécuritaire de donner son numéro d’assurance sociale à une institution financière, puisqu’elles possèdent des normes de sécurité très serrées. Quelque 70 millions de dollars sont investis annuellement par Desjardins pour la sécurité informatique, en plus d’un plan annuel de protection qui ajoute de nouvelles mesures chaque année, confirme l’institution. 

«Les fraudeurs peuvent aller très loin simplement avec le nom et l’adresse. S’ils veulent mettre la main sur un numéro d’assurance sociale, ils utiliseront d’autres stratagèmes pour l’obtenir», estime Paquette.

5/ Peut-on encore avoir confiance envers Desjardins? 

Bernard Dagenais, professeur titulaire au département d’information et de communication de l’Université Laval, croit que Desjardins a suivi les règles du jeu de façon intelligente. «Ils ont fait ce qu’il devait faire. Ils sont allés sur la place publique pour rassurer les gens et garder la confiance. Ils ont averti la population rapidement.» 

«C’est un problème que toutes les institutions qui collectent des données personnelles sont à risque de traverser, ajoute-t-il. Quand on travaille avec des métadonnées, la menace de piratage est inévitable.»

L’institution financière affirme qu’aucune hausse de la fraude n’a été détectée au cours des derniers mois, et que si «des membres devaient subir des pertes financières en lien avec la situation, ils seront remboursés». 

6/ Equifax, oui, mais TransUnion, elle?

Desjardins a offert à ses membres concernés un service de surveillance Equifax, à ses frais, d’une durée de cinq ans. Selon Sylvain Paquette toutefois, l’institution aurait omis un fait très important: TransUnion. 

«La Banque Royale et la Scotia font affaire avec TransUnion pour l’examen du crédit, dit-il. Si j’étais un fraudeur, c’est auprès de ces banques que je ferais des demandes. On barricade la porte d’en avant, mais on laisse celle de derrière débarrée.» 

Desjardins ne compte pas offrir un service avec TransUnion. «Pour le moment, notre partenaire est Equifax», confirme l’institution.

À LIRE AUSSI: Demandes d’actions collectives déposées contre Desjardins