Desjardins : des clients plus vulnérables que d’autres

Les membres de Desjardins affectés par le récent vol de renseignements personnels qui n’ont pas accès à Internet ne peuvent bénéficier de la protection d’Equifax, ce qui les rend vulnérables, rapportent TVA Nouvelles et QMI.

Dans un article publié lundi, l’agence de presse de Québecor note que les résidents de certaines régions éloignées, où l’accès au Web par téléphone mobile est impossible, risquent de se retrouver dans « une situation problématique ».

« Pour travailler avec Equifax, ça prend Internet, ça prend un téléphone cellulaire », explique en effet l’expert en criminalité Michel Picard. Celui-ci estime également que Desjardins essaie de s’en tirer à bon compte en offrant pendant cinq ans aux victimes un service gratuit de surveillance auprès de l’agence d’évaluation du crédit.

« Actuellement, c’est 20 dollars par mois pour avoir la protection. Dans cinq ans, les gens devront payer. Pas certain que tout le monde veuille dépenser entre 200 et 600 dollars par an », souligne le spécialiste. QMI précise que les personnes concernées ont jusqu’au 31 décembre pour s’inscrire au service de sécurité d’Equifax.

À L’ORIGINE, UNE FRAUDE BANCAIRE

Interrogé par l’agence et par TVA Nouvelles, Desjardins assure de son côté avoir bien conscience du problème. « À ce moment-là, ces personnes sont invitées à discuter avec leurs proches pour voir si ceux-ci peuvent les aider en leur fournissant une adresse courriel par exemple », indique Jean-Benoît Turcotti, porte-parole du Mouvement. Le mois dernier, l’institution financière avait révélé que des données personnelles (nom, adresse, numéro d’assurance sociale) concernant 2,9 millions de ses membres avaient été piratées par un ex-employé malveillant.

Dans son édition de vendredi, le Journal de Montréal indique par ailleurs qu’une fraude bancaire de plusieurs milliers de dollars, « perpétrée par un individu ne travaillant pas chez Desjardins » serait à l’origine du déclenchement de l’enquête qui a permis de dévoiler le vol d’identité massif dont a été victime la coopérative.

Soulignant que l’enquête vient de prendre un nouveau tournant avec l’arrivée dans ce dossier de la Sûreté du Québec, le JdeM raconte que toute l’affaire a débuté à l’occasion d’une banale transaction frauduleuse survenue en décembre dernier dans une succursale de Laval du Mouvement. À l’époque, une personne, qui n’est pas l’ex-employé de Desjardins aujourd’hui soupçonné par les enquêteurs d’avoir commis le vol de données, effectue alors une traite bancaire en utilisant les informations personnelles d’un autre membre. Lorsque le pot-aux-roses est découvert, la coopérative dépose une plainte auprès du service de police de Laval, qui ouvre une enquête.

PAS DE COMPLICITÉ À L’INTERNE

Pendant ce temps, poursuit le Journal, Desjardins décide de réviser ses mesures de sécurité en faisant appel à des sociétés informatiques externes, qui passent notamment au crible l’accès aux données internes du Mouvement de ses quelque 46 000 employés. Finalement, le 22 mai, la police de Laval transmet ses premières conclusions à la coopérative. Sur le moment, celle-ci pense que seuls « quelques milliers » de ses membres sont concernés par le vol de données ayant permis au fraudeur d’effectuer une traite bancaire au mois de décembre à Laval.

Très vite cependant, Desjardins prend la décision d’ouvrir une enquête interne et, à la fin du mois de mai, un conseiller en marketing et segmentation qui travaillait au sein de l’institution financière à Lévis depuis plus de deux ans, est soupçonné d’avoir commis un vol de données de grande ampleur.

Immédiatement suspendu puis congédié le lendemain, il est ensuite interrogé par des policiers de Laval mais n’est toutefois pas accusé. L’enquête de la coopérative, qui a duré « quelques jours », conclut que l’ex-employé « malveillant » avait agi seul et que son stratagème aurait duré « plus d’un an ».

D’après les informations recueillies par le JdeM, le Mouvement aurait chargé une firme d’avocats de tenter de récupérer les données volées chez l’employé en question et il étudierait aujourd’hui la possibilité de le poursuivre en justice.

Royaume-Uni : le nombre de cyberincidents a explosé en 2018

Les « cyberincidents » signalés par les sociétés de services financiers ont atteint un niveau record l’an dernier au Royaume-Uni, rapporte Finextra. Dans un article publié lundi sur son site, l’agence d’informations spécialisée dans les technologies financières indique en effet que le nombre d’incidents déclarés à la Financial Conduct Authority (FCA) britannique est passé de 69 en 2017 à… 819 l’an dernier!

Finextra précise que ces incidents sont attribuables à des défaillances de tiers (21 % des rapports), à des problèmes de matériel et de logiciels (19 %) et à une mauvaise gestion du changement de l’environnement informatique des sociétés (18 %). Selon les données de la FCA, 93 cyberattaques ont été signalées en 2018 au Royaume-Uni, dont plus de la moitié étaient des tentatives d’hameçonnage, tandis que 20 % étaient assorties d’une demande de rançon.