Jump to content
Hei

Banque Desjardins données volées

Recommended Posts

Les renseignements personnels de près de 3 millions de membres Desjardins ont été dérobés, vient d'annoncer le PDG de Desjardins en conférence de presse à Montréal, aux côtés de la Police de Laval.  

Plus de 2,7 millions de membres et 173 000 entreprises ont été touchés.   

Noms, prénoms, dates de naissance, NAS et courriels sont tombés sous la main d'un employé malveillant, a fait savoir l'institution.   

« Les mots de passe, les NIP et les questions n'ont pas été transmises», a tenu à préciser le PDG de Desjardins Guy Cormier.   

C'est un employé spécialisé en données qui est en cause de la fuite. Rien n'indique que les données se soient retrouvées sur le Dark Web, selon les autorités policières.   

«Un incident majeur» 

L’Autorité des marchés financiers (AMF) a qualifié de «très sérieuse» et «d’incident majeur», la fuite de renseignements personnels chez Desjardins. 

Le chien de garde des marchés financiers au Québec a dit avoir été rapidement informé de la situation une fois que le mouvement coopératif a découvert le pot aux roses. 

«L'Autorité est satisfaite des gestes posés jusqu'ici par Desjardins afin de protéger l'intérêt de ses membres et leurs actifs. Elle demeure confiante que les dirigeants de l'institution ont pris la situation en charge avec la rigueur, la transparence et la célérité que commande la situation, et que la collaboration offerte aux autorités policières est pleine et entière», a affirmé l’AMF par communiqué, jeudi. 

L’AMF a mentionné qu’elle s’est «assurée» que Desjardins renforce ses mesures de sécurité lorsque la fuite a été identifiée. Elle a souligné que cet événement montre l’importance de la protection des renseignements personnels et de la cybersécurité chez les institutions financières. 

 

 

 

Share this post


Link to post
Share on other sites
Posted (edited)

Pfffff quand je pense qu’on arrête pas de nous dire de faire attention à nos données personnelles mais à quoi ça sert de faire attention si d’autres traitent nos données avec légèreté.

 

Desjardins aurait dû renforcer ses mesures de sécurité bien avant et non attendre qu’un désastre n’arrive.

 

Ah et je me demande si c'est uniquement les membres desjardins ou est ce que ça touche aussi ceux qui sont assurés et ceux dont le service de paie sont chez eux.

 

 

 

Edited by Hei

Share this post


Link to post
Share on other sites

Chez Desjardins, il y a beaucoup d'efforts qui sont mis pour protéger les sites et applications d'une attaque extérieure, mais là c'est différent puisque c'est un employé qui a pris les données auxquelles il avait accès dans le cadre de son travail... On signe des clauses de confidentialité et on suit des formations de sensibilisation, mais ça ne suffit pas à arrêter un employé mal intentionné, ça pourrait arriver à n'importe quelle compagnie, personne n'est à l'abri...

 

On a eu vent du problème en interne depuis environ 1 mois, et ils ont encore plus renforcé la sécurité, maintenant toute notre activité est surveillée, beaucoup de sites sont bloqués, et on ne peut même plus connecter une clé ou un disque externe sur nos laptops... Bref, ils font le maximum, et j'espère qu'il n'y aura pas de soucis pour les clients... 

Share this post


Link to post
Share on other sites
Il y a 10 heures, Isa78 a dit :

On signe des clauses de confidentialité et on suit des formations de sensibilisation, mais ça ne suffit pas à arrêter un employé mal intentionné, ça pourrait arriver à n'importe quelle compagnie, personne n'est à l'abri...

 

Il y a 10 heures, Isa78 a dit :

on ne peut même plus connecter une clé ou un disque externe sur nos laptops

 

Cela aurait du être fait malheureusement avant. Tout administrateur réseau sait que du moment qu'un utilisateur à un accès de lecture sur un fichier, empêcher une copie est cas'y impossible car c'est une réplique du document initial. Il faut donc faire en sorte qu'il ne passe pas la porte physique (entrée du bureau) ou virtuel (sortir du lan); après c'est une multitude de cascade de sécurité; mais bloqué la lecture de stockage amovible ou crypté les données serveur devrait être une obligation dans une structure financière ou de gestion de public.

 

Donc niveau réactivité je dis OK ils ont bien fait mais n'ont aucune excuse sur le niveau de sécurité apporté aux données utilisateurs/clients (petit tour au niveau du RGPD notamment qui est applicable et sectionnable malgré que ce soit une loi européenne car DesJardins collecte les données des européens sur l'ouverture de compte à distance).

Share this post


Link to post
Share on other sites
Il y a 15 heures, Hei a dit :

C'est un employé spécialisé en données

 

Il y a que cette phrase là qui insinue que c'était un administrateur est donc là, bas voilà quoi on a tout les droits.

Share this post


Link to post
Share on other sites
Posted (edited)
Il y a 10 heures, Isa78 a dit :

Chez Desjardins, il y a beaucoup d'efforts qui sont mis pour protéger les sites et applications d'une attaque extérieure, mais là c'est différent puisque c'est un employé qui a pris les données auxquelles il avait accès dans le cadre de son travail... On signe des clauses de confidentialité et on suit des formations de sensibilisation, mais ça ne suffit pas à arrêter un employé mal intentionné, ça pourrait arriver à n'importe quelle compagnie, personne n'est à l'abri...

 

On a eu vent du problème en interne depuis environ 1 mois, et ils ont encore plus renforcé la sécurité, maintenant toute notre activité est surveillée, beaucoup de sites sont bloqués, et on ne peut même plus connecter une clé ou un disque externe sur nos laptops... Bref, ils font le maximum, et j'espère qu'il n'y aura pas de soucis pour les clients... 

 

Il faut arrêter un peu avec les excuses, il existe des solutions, mon chum m’en a cité plusieurs et lorsqu’il y a travaillé il leur avait cité le pb avec le RGPD et ils n’ont rient fait apparemment.

Edited by Hei

Share this post


Link to post
Share on other sites

Bien là si la CNIL s'en mêle ça va faire bobo au porte-feuille. Sans parler surtout du bordel que ça va générer pour les sociétés et particuliers si c'est revendu sur le web.

Share this post


Link to post
Share on other sites
il y a 41 minutes, AnthonySRVG a dit :

 

 

Cela aurait du être fait malheureusement avant. Tout administrateur réseau sait que du moment qu'un utilisateur à un accès de lecture sur un fichier, empêcher une copie est cas'y impossible car c'est une réplique du document initial. Il faut donc faire en sorte qu'il ne passe pas la porte physique (entrée du bureau) ou virtuel (sortir du lan); après c'est une multitude de cascade de sécurité; mais bloqué la lecture de stockage amovible ou crypté les données serveur devrait être une obligation dans une structure financière ou de gestion de public.

 

Donc niveau réactivité je dis OK ils ont bien fait mais n'ont aucune excuse sur le niveau de sécurité apporté aux données utilisateurs/clients (petit tour au niveau du RGPD notamment qui est applicable et sectionnable malgré que ce soit une loi européenne car DesJardins collecte les données des européens sur l'ouverture de compte à distance).

 

Alors hier on se demandait si cela concernait uniquement  les résidents européens ou les citoyens européens  

Share this post


Link to post
Share on other sites
il y a 7 minutes, AnthonySRVG a dit :

Bien là si la CNIL s'en mêle ça va faire bobo au porte-feuille. Sans parler surtout du bordel que ça va générer pour les sociétés et particuliers si c'est revendu sur le web.

 

J’ai vu que Desjardins proposait une assurance d’1 an pour le vol d'identité à condition bien sûr  de ne faire aucun procès ni recours collectif plus tard.

 

Je suis désolée mais c'est une assurance a vie qu’ils devraient donner.

Share this post


Link to post
Share on other sites
il y a 25 minutes, AnthonySRVG a dit :

 

Il y a que cette phrase là qui insinue que c'était un administrateur est donc là, bas voilà quoi on a tout les droits.

 

Mon chum me dit qu’ils doivent être extrêmement surveillés. Il est lui même administrateur donc il sait ce que c’est.

Share this post


Link to post
Share on other sites
Posted (edited)
il y a 16 minutes, Hei a dit :

Alors hier on se demandait si cela concernait uniquement  les résidents européens ou les citoyens européens

 

Cela concerne normalement toutes données sortie de la zone Europe qui leur arrive. Et même si ce n'est que les citoyens européens, je pense que ça va chipoter dans le cas d'un recours.

 

il y a 13 minutes, Hei a dit :

J’ai vu que Desjardins proposait une assurance d’1 an pour le vol d'identité

 

Effectivement c'est quoi ce cirque ? Du moment qu'on est détenteur de données d'autrui, on se doit d'apporter une confidentialité à vie pour leur sécurité. Dans ses cas là ils peuvent revendre eux-même les données de leurs clients et faire passer ça pour une attaque. Sympa le business.

 

il y a 10 minutes, Hei a dit :

Mon chum me dit qu’ils doivent être extrêmement surveillés. Il est lui même administrateur donc il sait ce que c’est.

 

Pour ça je pense que ça dépend des boites ou des systèmes internes. Je suis également administrateur réseau comme ton compagnon et on nous engage pour effectuer ce travail. Donc à part nous, et éventuellement un DSI au dessus de nous qui, de mon expérience personnel, ne comprend que la moitié de ce que nous faisons, personne ne peut vraiment réguler les actions d'un administrateur réseau malhonnête. 

Edited by AnthonySRVG

Share this post


Link to post
Share on other sites

Je ne veux pas rentrer plus dans la polémique mais aucune compagnie n'est au top du top de la sécurité... Et il faut savoir aussi que les salariés sont protégés par la loi, l'entreprise n'a pas le droit de tout surveiller au nom de la sécurité, elle doit juste faire du mieux qu'elle peut en restant dans légalité... Les personnes habilitées à accéder aux données de prod ont des enquêtes de sécurité poussées, pour justement éviter les profils à risque, mais malgré ça on ne peut jamais être sûr, le risque zéro n'existe pas... C'est triste pour les clients, mais Desjardins fait son maximum pour gérer la situation, et by the way, la protection offerte aux victimes est  maintenant de 5 années au lieu d'une. 

Share this post


Link to post
Share on other sites
Posted (edited)
il y a 25 minutes, Isa78 a dit :

Je ne veux pas rentrer plus dans la polémique mais aucune compagnie n'est au top du top de la sécurité... Et il faut savoir aussi que les salariés sont protégés par la loi, l'entreprise n'a pas le droit de tout surveiller au nom de la sécurité, elle doit juste faire du mieux qu'elle peut en restant dans légalité... Les personnes habilitées à accéder aux données de prod ont des enquêtes de sécurité poussées, pour justement éviter les profils à risque, mais malgré ça on ne peut jamais être sûr, le risque zéro n'existe pas... C'est triste pour les clients, mais Desjardins fait son maximum pour gérer la situation, et by the way, la protection offerte aux victimes est  maintenant de 5 années au lieu d'une. 

 

La personne qui a fait ça l’a fait avec un compte utilisateur Desjardins et non personnel. Alors oui Desjardins se devait de le surveiller.

 

Quant aux 5 ans, ça nous fait une belle jambe.

Edited by Hei

Share this post


Link to post
Share on other sites
il y a 8 minutes, Hei a dit :

un compte utilisateur Desjardins

 

Comme dit au dessus oui et non, si c'est un administrateur réseau :

 

image.png.d209f746d85e9015e96be851487766ff.png

 

Il a tout les droits, et comme on engage une personne pour gérer se genre de chose en interne car cela ne relève pas de nos compétences, comment surveiller quelqu'un sur lequel personne ne comprend ce qu'il fait ? Pour exemple, encore personnellement, dans ma structure je suis le seul administrateur; le seul à qui je rends des comptes c'est le dirigeant de la société qui ne comprend pas l'administration réseau informatique. Qui me surveille ? 

il y a 38 minutes, Isa78 a dit :

la protection offerte aux victimes est  maintenant de 5 années au lieu d'une. 

 

Cela reste malheureusement une grosse blague. Mauvaise pub pour DesJardins qui fait une campagne marketing il y a très peu de temps pour des offres d'ouverture de compte depuis l'étranger.

Share this post


Link to post
Share on other sites

Il y a toujours quelqu’un qui sait ce que tu fais pis Desjardins c'est pas la petite boite lambda

Share this post


Link to post
Share on other sites

Je ne peux rien dire de plus que ce qui est communiqué officiellement, mais ce qui est sûr, c'est que personne n'est parfait, et qu'en sécurité, le risque zéro n'existe pas, même avec la plus grande expertise de la planète... Il faut maintenant compter sur les assurances en cas d'usurpation d'identité, ça nous est déjà arrivé par le passé (et pas chez Desjardins....), et tout a été très bien géré, ça ne nous a rien coûté, on a juste eu un score de crédit qui a baissé quelques mois le temps que l'enquête soit terminée, c'est tout... 🙂

Share this post


Link to post
Share on other sites
Posted (edited)
5 hours ago, Hei said:

 

J’ai vu que Desjardins proposait une assurance d’1 an pour le vol d'identité à condition bien sûr  de ne faire aucun procès ni recours collectif plus tard.

 

Je suis désolée mais c'est une assurance a vie qu’ils devraient donner.

 

Juste pour vous dire que je viens d'apprendre à l'interne que l'histoire de ne faire aucun recours si on prend equifax est une fake news... Desjardins offre 5 années d'equifax, et si vous le souhaitez, vous pourrez aussi vous joindre aux actions collectives. 

Et même au delà de 5 ans, Desjardins sera toujours derrière ses membres pour les aider en cas de fraude, il ne faut pas dramatiser. Ok c'est pas drôle, mais comme je le disais, on est passés par là il y a quelques années (vol d'identité) et il n'y a eu aucune conséquence à part quelques coups de téléphone et un peu de paperasse administrative... 🙂

 

 

Edited by Isa78

Share this post


Link to post
Share on other sites

Tu ne sais pas ce que ça peut donner sur du long terme et certains vivent l’enfer à cause de ça.

 

Ce qui m’échappe, c’est que ça s’est passé il y a plusieurs mois et que c’est en décembre 2018 qu’il y a eu une alerte justement parce qu’il y a eu une tentative de fraude et donc d'usurpation d'identité  et Desjardins aurait été avisée de cela que depuis 1 mois ????????

Share this post


Link to post
Share on other sites

J'ai été conseiller financier et directeur de succursale en finance (pas chez Desjardins). Pour moi Desjardins est la pire institution financière, non pas pour son personnel qui lui est impeccable (sauf une personne en apparence). Mais bien pour leurs politiques, frais, rendements et assurances. Donc il y a des lustres que je suis parti de chez eux. Pour cette histoire hélas, personne n'est vraiment à l'abris d'une personne malhonnête. Mais quand tu confies des données confidentielles à un tier et que celui-ci est un escroc tu es malheureusement responsable.  

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...

Important Information

En poursuivant votre navigation sur le site, vous acceptez l'utilisation des cookies pour vous proposer notamment des publicités ciblées en fonction de vos centres d'intérêt, de réaliser des statistiques de visites et de vous permettre de partager des informations sur les réseaux sociaux. Terms of Use Privacy Policy Guidelines