Vol de données: Desjardins s'est fait demander une rançon de 3 M$ pour un fichier contenant les renseignements de près de 4 millions de clients

Desjardins s’est fait demander une rançon de 3 M$ par un fraudeur anonyme qui détenait un fichier contenant les renseignements personnels de près de 4 millions de ses clients.

• À lire aussi: Des profils de clients de Desjardins en vente pour près de 11$ chacun sur le dark web

En novembre 2019, cinq mois après avoir annoncé publiquement le mégavol de données, l’institution financière a été victime d’une tentative d’extorsion de la part d’un individu qui se présentait sous le nom de «David Cooper».

Cet individu indiquait par courriel «être en possession de quatre millions d’identités volées chez Desjardins», lit-on dans les affidavits policiers.

Et il ne mentait pas. Il a effectivement envoyé à Desjardins un fichier Excel nommé «Fichier consolide_complet_1_7.zip - copy.xslx», qui renfermait 3 851 987 profils de clients.

• Écoutez le segment économique d'Yves Daoust via QUB :

Créé par Boulanger-Dorval

En inspectant ce que Desjardins a reçu, une enquêtrice de la Sûreté du Québec a constaté que l’auteur du fichier Excel était Sébastien Boulanger-Dorval, l’ex-employé accusé d’avoir commis la fuite de données.

Le mot de passe pour ouvrir le document apparaissait également sur une photographie d’un «post-it» retrouvé sur le téléphone cellulaire de Boulanger-Dorval.

L'analyse d'un échantillon de 1000 identités contenues dans le fichier a permis à un consultant en informatique mandaté par Desjardins de constater que «toutes les personnes étaient des membres Desjardins», à l’exception d’un profil, «qui était un client et non un membre».

Un policier a aussi constaté que «plusieurs titres de colonnes retrouvés dans les fichiers sont identiques aux bases de données de Desjardins».

On ignore si, à ce jour, la police a réussi à découvrir hors de tout doute qui se cache derrière «David Cooper».

D'autres tentatives d'extorsion

Il ne s’agirait d’ailleurs pas de la seule tentative d’extorsion dont a été victime l’institution financière en lien avec le vol de données.

En avril 2019, un individu aurait fait une tentative d’extorsion financière auprès de Desjardins en affirmant être en possession d’une liste de 3 millions de membres.

Plus tard, dans le cadre de l’enquête sur le vol de données, cet homme a raconté aux enquêteurs de la SQ que Juan Pablo Serrano, avec qui il avait travaillé dans le passé, avait eu l’idée de «demander 10 M$ à Desjardins en échange de la liste entière de profils d’identités de Desjardins».

En juin dernier, le coordonnateur aux communications de la SQ, Benoit Richard, avait demandé aux Québécois de rester «très vigilants» face aux tentatives de vols d’identité, car des listes de renseignements personnels sont toujours en circulation.

«Ces listes de noms là sont toujours non sécurisées et pourraient être utilisées par la suite», avait-il indiqué.