Banque : un salarié vole les données personnelles de 3 millions de Canadiens

Desjardins, la plus importante banque du Québec, a été victime d’un braquage sans précédent. Réalisé par un seul salarié, il a visé 40% des clients de l’établissement financier, soit 2,9 millions de comptes.

Comment un salarié a-t-il pu dérober les renseignements personnels de près de 3 millions de clients avant que la banque ne s’en rende compte ? Cette question va préoccuper pour longtemps les dirigeants du Mouvement Desjardins, la première institution financière coopérative du Canada, qui a dévoilé l'ampleur des dégâts le 20 juin dernier.

« Le Service de police de Laval a fourni de l'information permettant au Mouvement Desjardins d'établir que les renseignements personnels de 2,9 millions de membres ont été communiqués à des personnes à l'extérieur de l'organisation, détaille la banque par communiqué. Plus précisément, il s'agit des renseignements de 2,7 millions de membres particuliers et de 173 000 membres entreprises ». L’institution financière revendiquant 7 millions de clients, ce sont donc 41% de sa clientèle qui est concernée par ce piratage de données.

Outre le nombre de clients affectés, la nature des données volées est elle-aussi retentissante. Nom, prénom, date de naissance, numéro d’assurance sociale, adresse, numéro de téléphone, adresse e-mail ainsi que les habitudes transactionnelles et les produits détenus chez Desjardins se retrouvent désormais dans la nature. En revanche, ni les identifiants, ni les mots de passe n’ont été compromis, assure la banque.

Les victimes remboursées mais pas rassurées

Mise sur le devant de la scène la semaine dernière, l’affaire remonte en réalité à plusieurs mois, lorsqu’en décembre 2018 Desjardins repère et signale aux services de police une transaction douteuse. Comme le rapporte Radio Canada qui cite « une source proche du dossier », un employé malveillant, qualifié de « spécialiste des données », par le président de l’enseigne Guy Cormier, licencié depuis, s’est banalement servi de clés USB pour s’emparer de ces données sensibles.

L’objectif de Desjardins est désormais de rassurer les clients. « Je tiens à rassurer nos membres et clients : les avoirs qu'ils détiennent chez Desjardins et les transactions qu'ils effectuent sont protégés. Advenant une perte financière liée à cette situation, ils seront remboursés. Nous regrettons cette situation et nous prenons tous les moyens pour qu'elle ne se reproduise pas », affirme ainsi Guy Cormier.

Mais, Desjardins risque d'avoir bien du mal à redorer son blason... La presse canadienne n’étant pas tendre avec la banque, à l’image du Journal de Montréal qui écrit ainsi : « il a suffi d’un employé malveillant pour que Desjardins se fasse voler les données personnelles de 2,9 millions de ses membres […] Quelle vulnérabilité de la part d’une aussi grande institution financière. »