Fuites chez Desjardins: la police de Laval arrête trois suspects

Plus de cinq ans après des fuites massives de renseignements personnels chez Desjardins, le Service de police de Laval (SPL) a annoncé l’arrestation de trois suspects.

Les individus arrêtés dans les dernières heures auraient participé à des fraudes totalisant 8,9 millions $ entre septembre 2018 et janvier 2019, selon le SPL, qui a convié les médias a une conférence de presse mercredi.

Également, la police recherche «activement un quatrième individu pour lequel un mandat d’arrestation a été émis», a indiqué Jean-François Rousselle, directeur adjoint à la Direction des enquêtes criminelles.

Deux des suspects, âgés de 33 et 36 ans, doivent comparaître devant un juge mercredi.

La troisième personne arrêtée «fait l’objet d’une promesse de comparaître», a mentionné Jean-François Rousselle.

Les suspects font face à des accusations de fraudes de plus de 5000 $, de trafic de renseignements identificateurs, de possession de renseignements identificateurs et d’usurpation d’identité. 

«À titre d’exemple, l’enquête a révélé que l’un des sujets avait notamment en sa possession une liste de données visant 1,6 million de Québécois», a expliqué le directeur adjoint à la Direction des enquêtes criminelles.

«Ces individus utilisaient les données subtilisées chez Desjardins afin de faciliter la conduite de leur mode opératoire et de disperser des fonds au Canada, aux États-Unis, mais également à travers le monde. Le mode opératoire principal visait à obtenir, via le service Accès D, un mot de passe temporaire à l’aide des renseignements personnels des utilisateurs qu’ils avaient en leur possession, pour ensuite procéder à des transactions faites directement à partir des comptes bancaires via la plateforme web», a résumé le représentant de la police de Laval.

Jean-François Rousselle a parlé «d’une enquête complexe de grande envergure qui a nécessité l’implication de la Sûreté du Québec et du Bureau de la grande criminalité et des affaires spéciales du DPCP».

L’enquête a mené les policiers à effectuer des perquisitions en février, en avril ainsi qu’en juin 2019 dans les villes de Laval, Montréal et Saint-Augustin-de-Desmaures.

«Les perquisitions ont permis la saisie d’une quantité importante de données et 75 autorisations judiciaires ont notamment permis de saisir plus de 70 items informatiques nécessitant d’innombrables heures d’analyse. Ceci représente des milliers de documents et de fichiers informatiques», a expliqué M. Rouselle.

«Il s’agit d’une des enquêtes les plus complexes que nous avons connues au fil de notre histoire et je tiens à féliciter l’ensemble de nos troupes et nos partenaires qui ont travaillé d’arrache-pied au fil des cinq dernières années sur cet important projet d’enquête. Je tiens également à remercier la GRC et la Sûreté du Québec pour leur collaboration dans ce dossier, ainsi que Desjardins», a indiqué Jean-François Rousselle.

Deux rapports accablants

En décembre 2020, deux rapports accablants au sujet de la fuite de données qui avait touché plus de 9,7 millions de personnes au Canada et à l’étranger en 2019, dont près de 7 millions de Québécois, concluaient que Desjardins n’avait pas respecté plusieurs obligations que lui imposait la Loi sur la protection des renseignements personnels dans le secteur privé.

Le rapport de la Commission d’accès à l’information du Québec soulignait que la coopérative avait «manqué à son obligation de limiter l’accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés».

L’employé de Desjardins qui est à l’origine de la fuite travaillait au sein de l’équipe marketing au siège social de Desjardins.

Celui-ci a eu accès à des renseignements personnels que ses droits d’accès aux bases de données ne lui permettaient pas d’obtenir, soulignait le rapport de la Commission d’accès à l’information.

Contrairement aux directives, ces renseignements confidentiels se trouvaient dans des répertoires partagés par l’ensemble des employés de l’équipe marketing.