Fuite de données interne chez Desjardins

En juin 2019, Desjardins — la plus grande coopérative financière du Canada, comptant ~7 millions de membres-clients au Québec et au-delà — a divulgué publiquement qu'un employé exfiltrait systématiquement des dossiers de membres depuis environ deux ans. La divulgation initiale chiffrait la portée à ~2,7 millions de dossiers ; au cours des six mois suivants, la portée s'est élargie à 9,7 millions de membres particuliers et PME actuels et anciens — soit, de fait, l'ensemble de la clientèle de Desjardins.

L'affaire est devenue l'incident canadien emblématique de menace interne et constitue aujourd'hui l'exemple le plus cité dans les lignes directrices du Commissariat à la protection de la vie privée du Canada.

Ce qui s'est passé

L'auteur interne était Sébastien Boulanger-Dorval, employé du service marketing de Desjardins à Lévis, au Québec. Sur une période d'environ deux ans (2017-2019), Boulanger-Dorval :

• A accédé aux dossiers de membres grâce à des privilèges légitimes sur les bases de données du service marketing.
• A copié des données sur des supports de stockage personnels sans déclencher d'alerte opérationnelle.
• A vendu des dossiers à des courtiers liés au crime organisé au Québec, qui ont à leur tour utilisé les données pour de la fraude d'identité et une exploitation criminelle en aval.

Les données consultées et exfiltrées comprenaient :

• Noms, adresses, numéros de téléphone, adresses courriel
• Dates de naissance
• Numéros d'assurance sociale (équivalent canadien du SSN)
• Historiques de transactions et détails de gestion de compte
• Pour les membres entreprises : identité de l'entreprise et détails de compte

Découverte

La découverte est venue de l'extérieur, et non des propres contrôles de Desjardins. En juin 2019, la Sûreté du Québec — qui enquêtait sur une affaire de crime organisé sans lien — a avisé Desjardins que des données de membres de Desjardins circulaient dans le cadre de ses enquêtes. Le schéma de fraude était suffisamment spécifique pour que la source provienne nécessairement de l'intérieur de Desjardins.

L'enquête interne de Desjardins a rapidement identifié Boulanger-Dorval. Il a été congédié et déféré à la justice criminelle. L'enquête a également révélé que la surveillance des accès aux données alors en place chez Desjardins n'avait pas détecté l'exfiltration systématique, malgré le volume.

Escalade de la portée

Les estimations publiques de la portée par Desjardins se sont élargies sur six mois :

• Juin 2019 : ~2,7 M de membres particuliers + 173 K membres entreprises
• Novembre 2019 : 4,2 M de membres particuliers (actuels et anciens)
• Décembre 2019 : 9,7 M au total (la totalité des membres particuliers et PME de Desjardins de tous les temps)

Les élargissements répétés ont nui à la crédibilité de Desjardins et constituent une des principales raisons pour lesquelles l'affaire sert aujourd'hui à illustrer l'importance d'estimations de portée prudentes dans les divulgations initiales de fuites.

Impact

• 9,7 millions de membres et de clients PME de Desjardins ont vu leurs renseignements personnels exposés.
• Protection à vie de l'identité garantie par Desjardins à tous les membres touchés — un précédent à l'échelle canadienne.
• Coût direct pour Desjardins : ~100 M$+ en mesures correctives, protection des membres et provisions pour recours collectif.
• Règlement du recours collectif : 200 M$ CA+ approuvés en 2022.
• Rapport d'enquête conjointe fédérale-québécoise sur la vie privée publié en décembre 2020, assorti d'ordonnances de conformité contraignantes.

Poursuites

Boulanger-Dorval a été arrêté en mai 2023, quatre ans après la découverte initiale, aux côtés de deux complices de la chaîne de courtage. La lenteur a été attribuée à la complexité du traçage de la monétisation des données exfiltrées à travers plusieurs réseaux de fraude basés au Québec.

En janvier 2025, Boulanger-Dorval a plaidé coupable de fraude, de vol d'identité et d'abus de confiance. Le prononcé de la peine demeure en attente. L'affaire est l'une des rares fuites majeures par menace interne à avoir abouti à une poursuite fructueuse de l'auteur interne nommé — à la différence du dénouement plus courant où l'auteur quitte la juridiction ou où la poursuite échoue faute de preuves.

Pourquoi c'est important

Desjardins est le cas canadien de référence en matière de menace interne et l'exemple le plus cité dans les lignes directrices du régulateur canadien de la vie privée. Il a établi :

• Que l'exfiltration interne sur des fenêtres pluriannuelles est opérationnellement réalisable au sein de grandes institutions financières sans que les contrôles de sécurité conventionnels ne la détectent. L'accès légitime du service marketing aux bases de données a constitué une couverture suffisante.
• Que la découverte externe par les forces de l'ordre est une voie courante de détection des menaces internes. Peu d'organisations disposent des contrôles internes nécessaires pour détecter un auteur interne déterminé et patient ; de nombreuses fuites sont mises au jour parce que l'usage criminel en aval des données attire l'attention.
• Que les estimations de portée lors de la divulgation initiale devraient être prudentes. L'élargissement en trois temps de la portée par Desjardins a nui à sa crédibilité ; la recommandation pratique qui en a résulté au Canada est désormais de présumer une portée plus large et de l'affiner à la baisse.
• Que la protection à vie de l'identité est une mesure corrective viable à grande échelle, à condition d'une relation coopérative avec le prestataire. L'engagement de Desjardins a été cité dans des règlements de fuites ultérieurs au Canada et aux États-Unis comme une référence à viser.