L’un des plus grands importants systèmes de caisses populaires du Canada, le Mouvement Desjardins, a fait l’objet d’une fuite de données sans précédent : 2,9 millions de clients ont été touchés. Des données sensibles, comme le numéro d'assistance sociale, ont par ailleurs été dérobées.

Jamais l’établissement bancaire Desjardins n’avait subi une fuite de données aussi massive. Dans un billet publié sur son site, l’une des plus grandes coopératives d’épargne du Canada fait preuve de transparence à l’égard de ses clients : des millions de données ont bel et bien été subtilisées de ses systèmes bancaires. Au total, 2,9 millions de personnes sont concernées par cette brèche.

La taupe de trop

Le Mouvement des Caisses Desjardins, depuis renommé Mouvement Desjardins, n’a cependant pas subi de plein fouet une cyberattaque de grande envergure. L’enquête les a en effet conduit vers un employé interne visiblement mal intentionné, d’après un rapport de police daté du 14 juin 2019. L’intéressé a depuis été démis de ses fonctions, sans que l’entreprise ne communique sur les véritables raisons de son acte.

Le fait est qu’un très grand nombre de données personnelles a été divulgué à des personnes extérieures, sans autorisation aucune. Parmi les victimes, 2,7 millions s’avèrent être des particuliers, et 173 000 des clients d’affaires. « Des mesures de sécurité supplémentaires ont été mises en place pour assurer la protection des données personnelles et financières de nos membres », a tenu à rassurer l’établissement.

La ville de Montréal (Canada), dans laquelle Desjardins concentre la majorité de ses activités. // Crédit photo : Life-Of-Pix via Pixabay.

Cette initiative se matérialise notamment par de nouvelles procédures de confirmation d’identité, en personne et par téléphone. Toujours dans cette optique d’apaisement, la banque affirme n’avoir observé aucune augmentation de cas de fraudes impliquant les comptes touchés au cours des derniers mois.

Dans sa section FAQ consultable en bas de page, la firme d’outre-Atlantique apporte aussi des précisions quant à la nature des données dérobées. Du côté des particuliers, sont concernés les prénoms et noms, date de naissance, numéro d’assurance sociale, adresse postale, numéro de téléphone, adresse électronique et habitudes bancaires. Soit une quantité de data pour le moins conséquente, et relativement sensible — tout particulièrement le numéro d’assistance sociale, qui permet d’enregistrer les dettes d’un particulier.

Les mots de passe et numéros de cartes sauvés

Pour les clients d’affaires, la note se veut moins salée : nom de l’entreprise, adresse et numéro de téléphone professionnel, nom du propriétaire et nom des utilisateurs du compte. Les informations touchy comme les mots de passe, questions de sécurité, codes PIN et numéros de cartes de crédit et de débit ont en revanche été épargnées. Un bon point pour la caisse populaire et ses clients.

Desjardins informe également qu’un message d’alerte envoyé via son service de transaction en ligne AccèsD arrivera dans la messagerie des victimes. Et gare aux imposteurs tentés par une attaque de phishing : la prise de contact ne s’effectuera pas par email, SMS et téléphone. Le groupe bancaire fait ici preuve de prudence et prend donc toutes les précautions pour éviter une nouvelle mésaventure de ce type.

Partager sur les réseaux sociaux