Les informations privées de 2,9 millions de clients Desjardins piratés

Posted On 20 Juin 2019

Un employé de la banque Desjardins a mis la main et diffusés les informations privées de 2,9 millions de clients.

Informations privées dans la nature ? Le problème des fuites d’informatiques est qu’elles peuvent aussi être orchestrées par un personnel interne à l’entreprise. La structure bancaire canadienne Desjardins vient d’en faire les frais. Desjardins est une coopérative. Les adhérents sont propriétaires (Comme pour les banques mutualistes).

Un employé de la banque a mis la main sur deux bases de données et l’a ensuite mis à disposition. La première de ces BDD comporte 2,7 millions de données clients ; la seconde, 173 000 entreprises. « Les mots de passe n’ont pas été compromis, le NIP pas compromis et les questions de sécurité pas compromises« , précise le président et chef de la direction lors d’un point presse.

Rassurer aura donc été la mission de la direction. Seulement, les pirates ont aujourd’hui le reste des informations, soit les plus sensibles car directement liée à la vie des personnes : nom de l’entreprise, son adresse postale, son numéro de téléphone, le nom du propriétaire ou le nom de l’utilisateur du compte Accès Affaires. « Certains renseignements sur les propriétaires ou les utilisateurs d’AccèsD Affaires peut-être concernés » indique Desjardins.

La fuite a cessé quand l’employé a été démasqué et mis à la porte ! L’enquête est toujours en cours. « Il faut le dire, Desjardins est l’une des meilleures organisations en sécurité informatique au Québec. Le fait que ce soit arrivé à eux en dit beaucoup sur les autres entreprises! » confirme Patrick Mathieu, responsable de l’équipe « offensive » de Offensive Duo.com et & Cofondateur de Hackfest.ca.

Exemple de boutique pirate (black market) ne commercialisant que des données piratées de Canadiens !

Où sont donc les données aujourd’hui ?

Plusieurs choix possibles. Dans les mains de concurrents, du black market ou tout simplement paumés sur les Internet, car stockés en attendant une utilisation ultérieure à l’image de la base de données de 12 millions de canadiens que ZATAZ a découvert il y a quelques jours.

Data Security Breach rapportait cette semaine dans ses colonnes une enquête d’One Identity, une société spécialisée dans la gestion des identités et des accès (IAM). Une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – RSA conférence –. Près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.

Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait. De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail.

Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Desjardins a mis en place un site dédié à cette fuite d’informations. Un sale coup pour cette structure. Le recours collectif effectué par ses membres sera réglé si il est gagné par ….. ses membres. Ce qui est désolant dans ce dossier c’est qu’il y aura 2 gagnants: les pirates et les avocats.

Le Service Veille ZATAZ a mis en place une surveillance dédiée sur plusieurs blackmarket spécialisés dans les données de nos cousins du Grand Nord. (TVA)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.