Début du contenu principal.
Trois suspects font toujours l'objet de mandats d'arrestation.
La Sûreté du Québec (SQ) a arrêté jeudi cinq autres des suspects impliqués dans l’affaire de la fuite massive de données personnelles chez Desjardins. Du nombre, on retrouve l’ancien employé de Lévis qui disait s’être fait payer en cartes-cadeaux de restaurants pour son délit, Sébastien Boulanger-Dorval.
Boulanger-Dorval, principal suspect dans cette affaire, a été arrêté en matinée à son domicile. Les trois autres suspects arrêtés jeudi avant-midi sont Jean-Loup Masse-Leullier, 32 ans, François Baillargeon-Bouchard, 35 ans, et Laurence Bernier, 29 ans.
Jeudi après-midi, la Sûreté du Québec confirmait, après avoir émis un mandat d'arrestation, avoir retrouvé et arrêté Charles Bernier, 31 ans.
La Sûreté du Québec rappelle que Mathieu Joncas, 38 ans, est toujours recherché en lien avec ce dossier.
Ces six suspects sont conjointement accusés de quatre chefs d'accusation, dont d'avoir commis un méfait en dépouillant des données informatiques de leur sens, les rendant inutiles ou inopérantes et/ou en empêchant, interrompant ou gênant l'emploi légitime des données informatiques.
Les six individus sont aussi accusés d'avoir, entre octobre 2016 et mai 2019, d'avoir rendu accessibles, distribué, vendu ou offert en vente des renseignements personnels en sachant qu'ils seraient utilisés à des fins criminelles.
Un autre chef d'accusation pèse sur Boulanger-Dorval, soit celui d'avoir «frauduleusement, directement ou indirectement, obtenu des services d'ordinateur».
Ces arrestations surviennent au lendemain de l’arrestation de trois suspects annoncée par le Service de police de Laval (SPL). Il s'agit d'Ayoub Kourdal, 36 ans, Imad Jbara, 33 ans, et Nassim Alikacem, 30 ans. Les trois hommes sont accusés d'avoir, par la supercherie, le mensonge ou autre moyen dolosif, frustré Desjardins et ses membres de montants dépassant 5000 $.
À VOIR AUSSI | Fuite chez Desjardins: la police de Laval arrête trois suspects
Imad Jbara est également accusé d'avoir, entre le 25 décembre 2018 et le 10 avril 2019, transmis des renseignements «identificateurs» sur d'autres individus en sachant qu'ils seraient notamment utilisés pour frauder. Il est aussi accusé d'avoir eu en sa possession de tels éléments le 10 avril 2019.
Ayoub Kourdal et Nassim Alikacem sont également accusés de s'être fait passer pour une personne morte ou vivante, en l'occurrence Alain Lamoureux, dans l'objectif «d'obtenir un avantage pour eux-mêmes». Le premier est accusé du même délit concernant l'identité de Nancy O'Connor.
Imad Jbara et Ayoub Kourdal ont tous deux comparu jeudi et ont été remis en liberté sous de nombreuses conditions. Celles-ci s'accompagnent du versement d'une caution de 5000 $ pour le premier et de 25 000 $ pour le second. Ils seront de retour devant la cour le 4 septembre prochain.
Par ailleurs, la Sûreté du Québec souligne que des mandats d’arrestation pancanadiens ont été émis contre deux autres personnes dans cette affaire : Maxime Paquette, 38 ans, et Juan Pablo Serrano, 38 ans. «En cavale à l’étranger, ces derniers font désormais partie des criminels les plus recherchés au Québec», précise la SQ.
Au total, la valeur financière de la fraude s'élève à quelque 8,9 millions $ subtilisés grâce à l'obtention des données.
Desjardins a été victime d'une importante fuite de données personnelles dévoilée en 2019. Les données de plus de 9 millions de personnes ont été affectées, dont celles de près de 7 millions de Québécois. Le SPL a indiqué mercredi en conférence de presse qu'à titre d'exemple, l'un des suspects arrêtés avait en sa possession une liste de données visant 1,6 million de Québécois.
La SQ précise que les renseignements personnels qui ont été dérobés dans le cadre de cette fraude demeurent toujours non sécurisés et demande à la population de garder une grande vigilance dans ses transactions financières.
C'est par l'entremise du projet Portier, qui visait à «retracer les individus ayant volé, utilisé et distribué à des fins frauduleuses les listes de données nominatives» que l'enquête a progressé. Plus de 25 perquisitions, de 160 témoins rencontrés et 120 items informatiques ont été saisis au cours de celle-ci.
Boulanger-Dorval travaillait au sein de Desjardins et avait accès à une vaste quantité de données personnelles en raison de ses fonctions quand l’affaire a éclaté. À l’époque, il avait réussi à copier et à sortir illégalement des informations sensibles concernant des membres et des clients de Desjardins. Les données volées comprenaient des noms, adresses, dates de naissance, numéros d'assurance sociale, et d'autres informations financières.
Quand de présumés criminels ont pu mettre la main sur ces informations, tel était leur mode opératoire: ils trouvaient des mots de passe personnels de comptes de la plateforme AccèsD à l'aide des données personnelles pour ensuite faire des transactions bancaires, a découvert la police. La grande partie des crimes présumés se sont produits à partir de septembre 2018 jusqu'à janvier 2019.
En novembre 2019, soit après le dévoilement de la fuite, Le Journal de Montréal rapportait que Boulanger-Dorval se retrouvait désormais sans le sou et relayait le témoignage de sa conjointe qui affirmait qu'il n'avait été qu'un pion dans cette affaire beaucoup plus large, perçue comme l'un des plus grands événements de fuite de données au Canada et le plus important de l'histoire de Québec.
Voilà plus de cinq ans que les enquêteurs travaillent sur ce dossier. Les personnes d’intérêt et les entreprises visées par l’enquête se comptaient dans les dizaines.
C'est le SPL qui a lancé l'enquête en 2019 chez une entreprise de prêts privés à Laval, rapportaient les médias à l'époque, dont La Presse. La Sûreté du Québec (SQ) et le Bureau de la grande criminalité et des affaires spéciales du DPCP ont également participé à l'enquête.
L'enquête a mené les policiers à effectuer des perquisitions en février, en avril ainsi qu'en juin 2019 dans les villes de Laval, Montréal et Saint-Augustin-de-Desmaures.
En décembre 2020, deux rapports accablants au sujet de la fuite de données concluaient que Desjardins n'avait pas respecté plusieurs obligations que lui imposait la Loi sur la protection des renseignements personnels dans le secteur privé.
Le rapport de la Commission d'accès à l'information du Québec soulignait que la coopérative avait «manqué à son obligation de limiter l'accès aux renseignements personnels, notamment ceux qui sont sauvegardés dans les répertoires partagés».
En 2021, le Mouvement Desjardins a conclu une entente de 200 millions $ pour verser des indemnités aux clients affectés par la fuite de données.
Avec la collaboration de Marie-Pier Boucher pour Noovo Info.
________________________________________
Note de la rédaction: la version initiale de cet article indiquait que la SQ avait arrêté six suspects, mais ce sont plutôt quatre suspects qui ont été arrêtés en matinée jeudi ; des mandats d’arrestation ont été émis pour les deux autres - l'un des suspects a été arrêté en cours de journée jeudi. Pour plus d’information, consultez les normes éditoriales de Noovo Info.