Le mouvement Desjardins a enregistré une hausse importante des fraudes à partir de 2017, avant de se rendre compte qu’un de ses employés avait volé et revendu les informations personnelles de millions de clients. 

Des dirigeants de l’institution financière se sont confiés à ce sujet à la Sûreté du Québec (SQ), dans le cadre de l’enquête criminelle sur ce vol qui dure depuis maintenant presque trois ans.

De nouveaux passages des affidavits produits dans le cadre de cette enquête ont été rendus disponibles mardi par le juge Yves Paradis, de la Cour supérieure, suite à des requêtes des médias.

À l’automne 2017, une vice-présidente de Desjardins a pris contact avec un responsable de la Direction des enquêtes du Mouvement. Elle constatait que «les fraudes avaient augmenté de manière significative, passant de 3 à 4 millions de dollars par mois», peut-on lire dans les documents.

Des employés de Desjardins ont alors «débuté l’analyse des différents phénomènes de fraudes pour trouver un dénominateur commun. Les cas de fraudes étaient dispersés géographiquement et par catégorie d’âge», poursuivent les policiers.

Effort de guerre 

À ce moment, personne ne se doutait que Sébastien Boulanger-Dorval, maintenant identifié par Desjardins et la police comme l’auteur du vol de données, se livrait à des activités suspectes.

Ce n’est qu’un an plus tard que Desjardins a soupçonné qu’elle était victime d’une taupe à l’interne, après avoir reçu des informations en provenance d’une enquête de la police de Laval.

«Au début novembre 2018, les équipes intégrées de sécurité de Desjardins se rejoignent pour créer un «war room» (...) afin de travailler le dossier conjointement», poursuivent les documents que nous avons consultés.

En mai 2019, au moment où Desjardins identifient l’auteur du vol, plus d’une trentaine d’employés et de consultants externes participent à l’effort de guerre.

L’équipe d’enquête prenait alors des précautions extrêmes: Les informations les plus sensibles ont été placées «sur un disque dur encrypté avec 4 mots de passe», connus par seulement deux personnes.

Fuites pendant 26 mois 

Sébastien Boulange-Dorval a été arrêté le 6 juin 2019 par la police de Lévis, car il était soupçonné entre autres de fraude, trafic de renseignements identificateurs et utilisation non autorisée d’un ordinateur.

À ce jour, aucune accusation formelle n’a toutefois été déposée, et l’enquête vise en plus une dizaine de complices allégués.

Quel impact concert a eu le vol massif de données sur les fraudes identifiées par Desjardins à partir de 2017 ? Il est difficile de le savoir. Lors qu’il a rencontré la police dans la nuit du 26 au 27 mai 2019, Boulanger Dorval aurait avoué avoir vendu des infos confidentielles «depuis quinze (15) mois à raison d’une vente tous les deux-trois mois», notent les policiers.

Toutefois, dans son rapport d’enquête publié en décembre 2020, la Commission d’accès à l’information plaçait les infractions sur une plus longue période. Elle indiquait que l’employé malveillant avait pu transférer les informations confidentielles «sur une période de 26 mois soit entre mars 2017 et mai 2019 avant que Desjardins n’en soit informée par les policiers», lit-on dans les mandats.

Rappelons que les informations confidentielles de 9,7 millions de clients passés et actuels de Desjardins, dont des dates de naissance et numéros d’assurance sociale, ont été compromises lors du vol de données.

Ce vol a coûté au moins 108 millions $ à l’institution financière, notamment parce qu’elle a dû payer pour les victimes les services de la firme de surveillance de crédit Équifax.