Desjardins et la fuite de 2019: les dossiers de plus d’un million de Québécois circulent maintenant sur le «dark web

Le fichier de données volées à Desjardins qui circule sur le dark web contient désormais 1 002 102 entrées clients, soit vingt fois plus que les 50 000 dossiers rapportés au début d’octobre par Le Journal.

• À lire aussi: Données volées à Desjardins: les dossiers de 50 000 Québécois refont surface sur le «dark web»

Nous avons pu confirmer la véracité de nombreuses informations contenues dans le fichier accessible par le biais du groupe criminel Coinbase Cartel. Les données incluent les noms, dates de naissance, adresses et numéros d’assurance sociale.

«Il y a un problème. Les données sont valides et les clients sont à risque, mais ils n’ont plus la protection Equifax gratuite», observe Stéphane Auger, expert en cybersécurité chez Équipe Microfix, interrogé lundi.

L’institution financière maintient qu’il ne s’agit pas d’un nouvel incident de sécurité. «Il s’agit de données issues de la fuite de renseignements personnels en 2019, et qui circulaient déjà sur le dark web», explique Jean-Benoît Turcotti, porte-parole de Desjardins, contacté lundi.

Desjardins n’a pas l’intention de communiquer à nouveau avec les clients touchés, puisque, selon l’entreprise, ils ont déjà été contactés en 2019.

Le 13 octobre, le groupe criminel avait menacé de divulguer les données de 500 000 clients de Desjardins. Il en a finalement publié plus du double vendredi en fin de journée.

Des détails et un prix: 300 000$

Avec la fin de la protection Equifax gratuite en décembre 2024 et la conclusion prochaine des actions collectives, la vigilance des autorités diminue. «La valeur de la liste est en hausse, comme les chances que les données soient vraiment utilisées», analyse Stéphane Auger.

Le prix demandé pour le fichier complet a varié entre 50 000$US et 300 000 $US au cours des dernières semaines, selon une source ayant un accès direct aux données. Le site d’hébergement du Coinbase Cartel serait actuellement hors ligne, un détail qualifié de non surprenant par les experts.

Le contenu du fichier n’est pas uniforme. Certaines entrées incluent des numéros de téléphone mais pas de numéro d’assurance sociale. Plusieurs personnes apparaissent en occurrences multiples, possiblement à cause de doublons ou de l’évolution de leurs dossiers au fil du temps.

Les autorités suivent le dossier

L’Autorité des marchés financiers suit de près le dossier, mais ne fait aucun commentaire supplémentaire. La Commission d’accès à l’information du Québec n’a pas été en mesure de répondre dans les délais demandés. Le Centre antifraude du Canada n’a pas répondu aux questions du Journal.

Steve Waterhouse, consultant en cybersécurité, avait publiquement remis en question la rigueur du premier article sur le sujet en septembre, affirmant qu’aucune preuve tangible n’existait pour démontrer le contenu des 50 000 dossiers initiaux.

«Les seules personnes qui peuvent vraiment valider si les informations sont bonnes ou non, c’est Desjardins puis les 9,7 millions de clients touchés», répond Stéphane Auger.

Une surveillance à vie recommandée

Contrairement à un mot de passe compromis, un numéro d’assurance sociale ou une date de naissance ne peuvent pas être modifiés. «La seule chose qui est recommandée, c’est du credit monitoring, de l’identity monitoring pour le restant de tes jours», insiste Stéphane Auger.

À 25$ par mois, cette surveillance représente un coût de 15 000$ sur 50 ans. «C’est carrément comme une prime d’assurance», compare l’expert, qui recommande cette protection à tous ceux qui étaient clients de Desjardins en 2019.

Les clients touchés n’ont plus la protection Equifax gratuite offerte par Desjardins, mais demeurent clairement à risque. «Les données sont parties. Les informations sont bonnes, elles sont dangereuses», conclut Stéphane Auger.

Vous avez des informations à nous communiquer à propos de cette histoire?

Écrivez-nous à l’adresse ou appelez-nous directement au 1 800-63SCOOP.