Pourtant, à l’échelle de Richter des fraudes informatiques, celle qui a frappé Desjardins demeure relativement modeste, ayant touché 4,2 millions de membres particuliers et 1,8 million de détenteurs de cartes de crédit et de produits de financement. Comparons ce nombre avec les 412 millions de victimes du piratage d’AdultFriendFinder et avec les 145 millions chez eBay en 2014. Dans le cas de Yahoo, le nombre de comptes compromis en 2013 grimpe dans les trois milliards !
Ce qui frappe dans le cas de Desjardins, c’est l’apparence relativement bénigne du méfait. Le principal suspect, un employé de la coopérative, aurait facilement réussi à mettre la main sur plusieurs types de renseignements personnels des membres (mais pas les mots de passe, ni les questions d’identification et les codes secrets, selon Desjardins).
Toutes les données volées chez Desjardins sont de l’or pour des fraudeurs potentiels : noms, numéros d’assurance sociale, adresses de courriel, habitudes transactionnelles, produits détenus chez Desjardins, numéros de cartes de crédit.
«De telles informations peuvent se vendre pour des millions sur le dark web et peuvent servir à faire des demandes de prêts frauduleuses, à faire chanter les victimes, à voler leur identité», dit Simon David Williams, PDG du Groupe ISM, spécialisé en sécurité informatique.
Pour l’instant, rien de cela ne semble menacer les membres de Desjardins. Aucun cas de fraude spectaculaire n’a encore été signalé et Desjardins dit n’avoir repéré aucune hausse significative des situations de fraude dans les comptes de ses clients.
Le voleur des données aurait revendu celles-ci en échange de cartes-cadeaux d’épiceries et de restaurants St-Hubert, selon TVA. Les acheteurs semblaient plus intéressés par la relance publicitaire de gens détenant une hypothèque avec Desjardins que par l’utilisation frauduleuse des informations recueillies.
Perte de confiance
Membre de Desjardins, Michel Mailloux, de Mayhews et Associés, n’est pas un client courant puisqu’il est aussi conseiller, formateur et éthicien. Il juge «molle» la réponse de la coopérative jusqu’ici.
En premier lieu, l’ampleur de la crise semble avoir échappé à Desjardins au départ. «On a parlé d’abord de deux millions de victimes, ensuite de quatre millions, puis on a ajouté près de deux millions de détenteurs de cartes de crédit, dit-il. Desjardins aurait dû bien prendre conscience de l’ampleur des choses avant de parler.»
Ensuite, le recours aux services d’Equifax pour superviser et repérer toute fraude éventuelle à la suite du vol de renseignements personnels n’était pas pour rassurer Michel Mailloux. En effet, il se rappelle qu’Equifax est l’une des plus grandes victimes de piratage, alors que 147 millions de comptes ont été compromis à l’échelle mondiale en 2017.
Lire aussi: Aux conseillers d’agir
«On nous dit que nous sommes protégés par Equifax, qui vend nos données et qui a elle-même été piratée : je pense qu’il y a un certain amateurisme», juge Michel Mailloux.
«C’est une immense perte de confiance, qui est la base même de la finance, ajoute-t-il. Ça va être une énorme tâche de la rétablir.»
Noeud du problème
Si elle a été «molle», la réponse de Desjardins n’a pas nécessairement été incompétente, selon les critères mis de l’avant par Gary Stevens, informaticien et blogueur.
En mettant le président, Guy Cormier, en première ligne et en maintenant les canaux de communication ouverts, Desjardins a montré qu’elle prenait à coeur la situation. Elle a également mis en place une série de mesures – notamment le recours à Equifax – pour contrôler les dommages et les retombées éventuelles, et pour raffermir la sécurité de ses données.
Nous ne pouvons analyser en détail la réponse de Desjardins puisque la société nous a refusé une entrevue. Cependant, il en ressort que la société a négligé de bien circonscrire le noeud du problème, selon Michel Mailloux.
«C’est le manquement principal : ne pas avoir eu de procédures en place pour empêcher la copie de données. Comme beaucoup de grandes organisations, tout est séparé en vases clos et il n’y a pas de coordination entre les secteurs», dit-il.
Sur le plan hiérarchique, les garde-fous semblaient déficients pour empêcher qu’un simple conseiller ait un accès relativement aisé à des données essentielles, poursuit-il.
«La meilleure façon d’être prêt après crise est d’être prêt pré-crise», disait il y a quelques années au magazine Forbes Kevin Epstein, vice-président, gouvernance et sécurité avancée, chez Proofpoint. En d’autres termes, disait-il, il faut savoir ce qui peut être volé, et comment, avant que le vol n’ait lieu.
Ce travail de préparation et de protection relève d’un spécialiste comme Simon David Williams. La première idée à oublier, c’est que ces cyberattaques n’arrivent qu’aux autres, essentiellement aux multinationales.
«Les PME sont de plus en plus ciblées», dit-il, citant un sondage d’ISM révélant que 41 % d’entreprises de 1 à 9 employés et 44 % d’entreprises de 9 à 40 employés déclarent avoir été ciblées.
On nous dit que nous sommes protégés par Equifax, qui vend nos données et qui a elle-même été piratée : je pense qu’il y a un certain amateurisme.
– Michel Mailloux