Données volées chez Desjardins: trois arrestations et un suspect recherché

Cette annonce a été faite lors d'une conférence de presse au quartier général du SPL sur le boulevard Chomedey et marque une avancée majeure dans l'enquête du projet Glaive, rapporte un article de Radio-Canada.

Les suspects, Ayoub Kourdal, 36 ans, et Imad Jbara, 33 ans, ont été arrêtés par le SPL, tandis qu'un troisième individu a été arrêté par le SPVQ puis libéré sous promesse de comparaître. Un quatrième suspect est toujours recherché, et un mandat d'arrêt a été lancé à son encontre.

Les accusations incluent la fraude de plus de 5000 $, le trafic et la possession de renseignements personnels, ainsi que l'usurpation d'identité.

Lors des arrestations, une liste contenant les données de 1,6 million de clients de Desjardins a été trouvée en possession de l'un des suspects. Ils utilisaient ces informations pour réaliser des transactions frauduleuses sur la plateforme AccèsD en obtenant des mots de passe temporaires grâce aux données volées.

Ces activités frauduleuses, estimées à plus de 8,9 millions de dollars, ont principalement eu lieu entre septembre 2018 et janvier 2019.

Le projet Glaive, une enquête complexe menée en collaboration avec la Sûreté du Québec et le Bureau de la grande criminalité et des affaires spéciales du DPCP, a été initié après que le SPL ait signalé des fraudes par traites bancaires utilisant les données volées de Desjardins fin 2018.

L'enquête sur les vols de données a été transférée à la Sûreté du Québec à l'été 2019, tandis que la police de Laval s'est concentrée sur le réseau de fraudeurs. Les récentes arrestations font suite à sept perquisitions menées en trois phases à Laval, Montréal et Saint-Augustin-de-Desmaures.

Ces opérations ont permis la saisie de nombreuses données et plus de 70 appareils informatiques.

Desjardins a salué le travail de la police et réaffirmé son engagement à collaborer avec les autorités. La fuite massive de données, révélée par Desjardins le 20 juin 2019, a touché plus de 9,7 millions de personnes, dont près de sept millions de Québécois.

Elle a été détectée après une transaction suspecte à Laval en décembre 2018, ce qui a conduit Desjardins à porter plainte.

D'ailleurs, deux rapports publiés en décembre 2020 ont montré que Desjardins n'avait pas respecté plusieurs obligations en matière de protection des renseignements personnels. L'employé à l'origine de la fuite travaillait dans l'équipe marketing et avait accès à des informations qu'il n'aurait pas dû pouvoir obtenir, stockées dans des répertoires partagés par l'équipe.

En décembre 2021, un règlement à l'amiable de 200 millions de dollars a été approuvé par la cour en juin 2022, permettant aux victimes de recevoir des indemnités. Desjardins a également offert un service de surveillance du dossier de crédit et d'assurance contre le vol d'identité pendant cinq ans.

Source: Radio-Canada
Fuite de données chez Desjardins : trois suspects arrêtés, un quatrième recherché