Données volées à Desjardins: les dossiers de 50 000 Québécois refont surface sur le «dark web»

Un fichier contenant les noms, les adresses et les numéros d’assurance sociale de 50 000 Québécois circule actuellement sur le dark web. Desjardins confirme qu’il s’agit des données volées en 2019, recyclées par le groupe criminel Coinbase Cartel, ce qui ne rassure pas les experts en cybersécurité.

• À lire aussi: Les mêmes pirates font du chantage à la Banque Nationale

«Ce n’est pas lié à un nouvel incident de sécurité. Ce sont des données qui étaient déjà présentes sur le dark web depuis plusieurs années», explique Jean-Benoît Turcotti, porte-parole de Desjardins, interrogé mercredi.

L’institution financière a demandé le retrait d’une publication sur le site de surveillance ransomware.live après que le Coinbase Cartel eut allégué un incident de sécurité, en septembre 2025.

«On a fait toutes les vérifications et on n’a aucune trace d’un incident», assure M. Turcotti.

Un groupe d’extorsion moderne

Contrairement aux rançongiciels traditionnels, qui verrouillent les systèmes informatiques et paralysent les opérations, le Coinbase Cartel se spécialise dans l’extorsion par vol de données. Le groupe copie des informations confidentielles et menace de les publier sans jamais bloquer les activités de l’entreprise.

Selon un rapport publié le 22 septembre sur izoologic.com, ce groupe apparu le mois dernier cible des institutions bancaires, des firmes de télécommunications et des entreprises technologiques en Amérique du Nord, en Europe et en Asie.

Le fichier Excel daté du 29 septembre contient 53 614 entrées clients de Desjardins. Chaque entrée contient une dizaine d’informations, dont le nom complet, la date de naissance, l’adresse et le NAS.

Soyez vigilants

Stéphane Auger, expert en cybersécurité chez Équipe Microfix, estime que la réapparition de ces données représente un risque réel et que les chances sont bonnes pour que des criminels tentent de nouveau de les utiliser.

«Je recommande fortement à tout le monde qui est dans cette liste de reprendre un service de protection du crédit», insiste-t-il. Desjardins devrait aussi, selon lui, contacter directement les 50 000 personnes qui figurent dans le fichier.

«Ils ont une liste claire sur le dark web, qu’ils la prennent et qu’ils envoient un courriel aux gens en disant “vos données ont refait surface sur le dark web”», recommande M. Auger.

Sur le risque à long terme, le spécialiste est catégorique. «Quelqu’un peut télécharger la liste et la ressortir dans 10 ans. Les données restent bonnes, un NAS ou une date de naissance, ça ne se change pas», ajoute-t-il.

Desjardins rappelle qu’elle offre une protection à tous les clients depuis 2019. «Tous les membres, peu importe la nature ou la raison d’un vol de données ou d’une fraude, sont protégés et feront l’objet d’un accompagnement», assure Jean-Benoît Turcotti.

• Regardez aussi ce podcast vidéo tiré de l'émission de Mario Dumont, diffusée sur les plateformes QUB et simultanément sur le 99.5 FM Montréal :

La protection Equifax est déjà terminée

Les 1,3 million de clients qui bénéficiaient de la surveillance Equifax gratuite offerte par Desjardins après le vol de 2019 ont vu cette protection expirer à la fin de 2024. Ceux qui souhaitent maintenir ce niveau de surveillance doivent débourser 25$ par mois directement auprès d’Equifax. L’option gratuite de Desjardins via TransUnion envoie des alertes en cas de modification au dossier de crédit, sans toutefois offrir le gel de sécurité préventif d’Equifax. Depuis février 2023, les Québécois peuvent aussi exiger gratuitement un gel de sécurité sur leur dossier de crédit directement auprès des agences.

C’est quoi, le dark web?

Partie anonyme et cryptée d’internet inaccessible par les navigateurs traditionnels, le dark web sert de marché noir numérique où circulent données volées, services criminels et contenus illégaux. «Je ne recommande à personne d’aller sur le dark web», met en garde Stéphane Auger. Des services spécialisés permettent de vérifier si vos données circulent sans avoir à naviguer dans ces zones dangereuses. Have I Been Pwned, Aura et Norton LifeLock sont trois exemples.

Si vos données figurent dans le fichier

Protection gratuite permanente
Desjardins offre deux volets: remboursement des frais de restauration d’identité jusqu’à 50 000$ pour les clients accompagnés dans une démarche active et protection illimitée des actifs détenus chez Desjardins en cas d’opération frauduleuse. Cette protection demeure en vigueur sans limite de temps.

Surveillance recommandée
Souscrivez à un service de surveillance du crédit comme Equifax ou TransUnion pour détecter toute utilisation frauduleuse.

Recours collectif
Date limite le 20 octobre 2025 pour réclamer une indemnité maximale de 1000$ liée au vol de 2019.