Fuite de renseignements chez Desjardins | Les données d’un million de Québécois refont surface sur le dark web
Après des années de dormance, les informations sensibles de plus d’un million de Québécois provenant de la fuite chez Desjardins en 2019 refont surface, dans une tentative d’extorsion visant l’institution. Le risque de vol d’identité serait encore plus élevé qu’il y a six ans, estime un expert.
Publié hier à 19 h 45
Le bon lien URL et un navigateur Tor suffisent pour accéder à ce fichier Excel contenant le numéro d’assurance sociale, la date de naissance ou le nom complet de plus d’un million de clients de la coopérative. Encore dimanche, le document pouvait être téléchargé, a pu confirmer La Presse.
De telles informations, « c’est le kit de démarrage parfait du fraudeur », croit l’expert en cybersécurité Jean Loup Le Roux.
Le groupe de cyberextorsion derrière la publication de ces données personnelles, Coinbase Cartel, exige de Desjardins le paiement d’une rançon, a pu constater La Presse via l’application Telegram, sans quoi il menace de publier l’ensemble des informations sur les 9,7 millions de comptes qu’il dit détenir. Il n’est pas possible de vérifier s’il a vraiment toutes ces données en sa possession.
« Les allégations du groupe sont non fondées et nous ne comptons pas y donner suite », dit le porte-parole de Desjardins, Jean-Benoît Turcotti, dans une déclaration transmise par courriel.
De son côté, la Sûreté du Québec « a connaissance de ce groupe, qui est traité avec sérieux », a dit le lieutenant Grégory Gomez del Prado, en entrevue téléphonique.
« Les données ne disparaissent jamais vraiment »
Apparu en septembre dernier sur le web clandestin (dark web), Coinbase Cartel dit tirer ces données d’une nouvelle fuite, ce que nie fermement Desjardins.
« Il ne s’agit pas d’un nouvel incident de sécurité, dit Jean-Benoît Turcotti. Il s’agit des données issues de la situation des renseignements personnels que nous avons annoncée en 2019. »
La Presse a pu observer que les informations de certaines victimes n’étaient plus à jour, ce qui suggère que les données dataient bel et bien de 2019.
« Ce n’est pas la même ampleur ou les mêmes implications que si c’étaient de nouvelles victimes », tient également à souligner le lieutenant Gomez del Prado.
Toutefois, les informations issues de la fuite de 2019 semblaient moins circuler sur le dark web depuis la fuite initiale. « Depuis 2019, c’est la première fois que je vois autant de données, qui ont l’air vraies, dans une aussi grande quantité », dit Jean Loup Le Roux.
« Les données ne disparaissent jamais vraiment », explique Stéphane Auger, vice-président de Microfix, une entreprise de services informatiques et de cybersécurité de Terrebonne.
La taille importante de l’échantillon publié fait sourciller Jean Loup Le Roux. « Habituellement, quand il y a des leaks [fuites], ce ne sont pas 10 % des datas qu’ils publient pour faire pression sur l’organisation, explique-t-il. Quel est l’objectif réel recherché ? Je me questionne beaucoup là-dessus. »
Un risque plus important qu’en 2019
« Une fois que l’information a été disséminée, elle peut revenir à tout moment », estime Stéphane Auger.
« On ne sait pas qui a pu télécharger les informations personnelles ou quand elles vont revenir – c’est pour cela que je recommande d’avoir de la surveillance à vie de l’identité, car ce ne sont pas des mots de passe qu’on peut juste changer », dit-il.
La meilleure manière de prévenir les vols d’identité est de s’inscrire à des services de surveillance des cotes de crédit, selon le lieutenant Gomez del Prado.
Or, le service d’Equifax, offert par Desjardins à ses membres à la suite de la fuite de 2019, est arrivé à échéance l’an dernier. Les clients de Desjardins qui souhaitent en bénéficier doivent désormais le payer de leur poche.
C’est pourquoi « les risques [de fraude et de vol d’identité] sont encore plus importants maintenant qu’en 2019 », croit Jean Loup Le Roux.
Tous les services importants où la personne s’est enregistrée avec des informations immuables, comme une date de naissance ou un numéro d’assurance sociale deviennent à la portée de potentiels fraudeurs.
Jean Loup Le Roux, expert en cybersécurité
Lorsqu’on lui demande si elle envisage de fournir à nouveau la protection Equifax aux victimes de la fuite, le porte-parole de Desjardins répond que « les membres et clients de Desjardins sont protégés et qu’ils peuvent consulter leurs dossiers de crédit Equifax et TransUnion directement dans AccèsD ».
« Ils bénéficient de la Protection Desjardins, qui offre une couverture en cas d’opérations non autorisées dans leurs comptes Desjardins », ajoute Jean-Benoît Turcotti.
Quoi faire si vous êtes visé ?
« Nous ne pourrons pas confirmer aux membres et clients s’ils se trouvent dans la liste qui a été mise en ligne », mentionne d’emblée Jean-Benoît Turcotti par courriel.
Les victimes de la fuite de données devraient être vigilantes et surveiller leur dossier de crédit, mais « sans virer dans la psychose non plus », croit Jean Loup Le Roux.
L’expert recommande aussi les victimes d’appeler Desjardins pour interdire toute transaction faite à l’étranger, si elles ne voyagent pas, ou encore d’installer une application comme Proton Authenticator pour des systèmes de vérification à deux facteurs.
En effet, plusieurs méthodes pour contourner la vérification à deux facteurs par texto sont mises en vente sur des groupes Telegram et des sites internet facilement accessibles, comme l’a rapporté La Presse en août dernier1.
Les entreprises devraient redoubler d’efforts dans la prévention, croit l’expert Jean Loup Le Roux, parce qu’une fois touchées par une fuite, « il y a des dommages qui sont irrémédiables ».
Avec la collaboration d’Hugo Joncas, La Presse
1. Lisez l’article « Acheter des comptes volés en quelques clics »
Les données « dans la nature »
Vous cherchez à prévenir la fraude sans trop vider votre portefeuille ? Depuis février 2023, il est possible de « geler » son dossier de crédit auprès des deux grandes agences de crédit, TransUnion et Equifax. Concrètement, ça empêche ces deux entreprises de donner les informations de crédit permettant aux banques, notamment, de créer de nouvelles cartes de crédit. Bien qu’une telle mesure prévienne certains types de fraude, « [les données] restent toujours dans la nature », mentionne Jean Loup Le Roux. En effet, de nombreux types de fraudes ne nécessitent pas d’avoir accès au dossier de crédit.
La saga en quelques dates
20 juin 2019
C’est l’onde de choc. Le Québec apprend qu’un employé malveillant de Desjardins a extirpé les données de millions de clients de l’entreprise. Le même jour, le président de l’époque de Desjardins, Guy Cormier, déclare qu’un « stratagème comme celui-là ne pourra plus jamais être mis en vigueur chez Desjardins ».
2024
La protection gratuite d’Equifax offerte par Desjardins à ses membres arrive à sa fin – le jour précis varie selon la date où chacun a activé le service.
13 juin 2024
La Sûreté du Québec arrête cinq suspects, dont Sébastien Boulanger-Dorval, un ex-employé de Desjardins accusé d’avoir exfiltré les données personnelles des membres sur une clé USB. Ils sont notamment accusés de fraude, de vol d’identité et de trafic de renseignements identificateurs.
20 octobre 2025
Date limite pour réclamer une indemnité en cas de vol d’identité dans le cadre d’une action collective intentée contre Desjardins
