La police de la région de Montréal a annoncé mercredi l’arrestation de trois personnes en lien avec un important vol de données et une fraude de 8,9 millions de dollars impliquant le groupe financier coopératif Desjardins, environ cinq ans après le crime présumé.
La police de Laval, au Québec, a déclaré que l’un des suspects avait été arrêté avec une liste de données personnelles concernant 1,6 million de Québécois.
Ces arrestations sont liées à un vol de données survenu en 2019, décrit comme le plus important jamais enregistré dans le secteur des services financiers au Canada, qui visait plus de 9,7 millions de clients de Desjardins au Canada et à l’étranger, dont près de sept millions de Québécois.
Le directeur adjoint des organisations criminelles de la Police de Laval, Jean-François Rousselle, a déclaré que les suspects auraient pu utiliser les renseignements personnels volés pour accéder aux comptes des clients via la plateforme bancaire en ligne de la banque, Accès D.
«Ces individus ont utilisé les données volées à Desjardins afin de faciliter la conduite de leurs opérations et de disperser des fonds au Canada, aux États-Unis, mais aussi partout dans le monde», a expliqué Rousselle.
«Le principal mode opératoire consistait à obtenir, via le service Accès D, un mot de passe temporaire à partir des renseignements personnels des utilisateurs qu’ils avaient en leur possession, pour ensuite procéder aux transactions effectuées directement à partir des comptes bancaires via la plateforme web.»
La police a déclaré que les trois suspects avaient utilisé les données volées pour commettre une fraude totalisant 8,9 millions de dollars entre septembre 2018 et janvier 2019.
Le chef adjoint de la police de Laval, Jean François Rousselle, a annoncé trois arrestations en lien avec la fuite de données chez Desjardins en 2019. (Nouvelles de CTV)
Ayoub Kourdal, 36 ans, et Imad Jbara, 33 ans, devaient comparaître devant le tribunal mercredi, tandis que la date d’audience du troisième suspect n’a pas été fixée. Ils font face à des accusations de fraude de plus de 5 000 $, de trafic d’informations d’identité, de possession d’informations d’identité et de vol d’identité.
La police a déclaré qu’elle recherchait une quatrième personne en lien avec la fraude et le vol de données.
Rousselle a déclaré que l’enquête était l’une des plus complexes de l’histoire de la police et qu’elle impliquait l’aide de la police provinciale du Québec et des procureurs.
Elle a donné lieu à des perquisitions à Montréal, Laval et St-Augustin-de-Desmaures en 2019 qui ont abouti à la saisie d’une grande quantité de données et de 70 ordinateurs et équipements contenant des milliers de documents et dossiers.
Le Commissariat à la protection de la vie privée du Canada et la Commission d’accès à l’information du Québec ont publié en 2020 des rapports cinglants concluant que Desjardins n’avait pas démontré le niveau d’attention requis pour protéger les données de ses clients.
Le rapport de l’OPC révèle que Desjardins était conscient des failles de sécurité qui ont mené à l’atteinte, mais n’a pas réussi à y remédier à temps. L’infraction s’est produite « sur une période de plus de deux ans avant que Desjardins n’en ait connaissance, et seulement après que l’organisation ait été avisée par la police », précise-t-on.
La fuite a été imputée à un employé de l’équipe marketing qui a pu accéder à des informations confidentielles, même s’il ne disposait pas du niveau d’autorisation nécessaire, car d’autres employés copiaient les informations sur un disque partagé.
