Vol massif de données chez Desjardins La police de Laval arrête trois personnes et en recherche une autre

La police de Laval a arrêté trois individus qui auraient participé à des fraudes totalisant 8,9 millions de dollars grâce aux données volées à Desjardins, de septembre 2018 à janvier 2019. Un quatrième est recherché, au terme d’une enquête baptisée « Projet Glaive ».

Ayoub Kourdal, 36 ans, Imad Jbara, 33 ans, et Nassim Alikacem, 30 ans, sont accusés de fraude de plus de 5000 $, de trafic de renseignements identificateurs, de possession de renseignements identificateurs et d’usurpation d’identité. Les deux premiers devaient comparaître mercredi.

Un mandat d’arrêt a été lancé pour mettre la main au collet d’Alikacem.

El Mehdi Ahlafi, 36 ans, a été libéré sous promesse de comparaître. Selon la dénonciation qui le concerne, il fait face à des accusations moindres de possession de renseignements identificateurs dans le but de commettre des fraudes.

Les accusés proviennent de Pierrefonds, de Longueuil (Saint-Hubert), de Québec et de Saint-Augustin-de-Desmaures, juste à l’ouest de la capitale.

L’enquête n’a pas permis de récupérer de sommes détournées. La police de Laval mentionne qu’un des suspects était en possession d’« une liste de 1,6 million de Québécois ».

Des fraudes par AccèsD

Selon le stratagème allégué, les suspects auraient utilisé les données volées chez Desjardins pour modifier les mots de passe et accéder à des comptes par la plateforme en ligne AccèsD. Une fois authentifiés, ils ont pu « s’approprier frauduleusement des fonds », explique Jean-François Rousselle, directeur adjoint des enquêtes criminelles, qui dirigeait la conférence de presse.

Ils auraient ensuite pu « disperser les fonds au Canada, aux États-Unis et à travers le monde ».

Dans le cadre de l’opération, les enquêteurs ont procédé à sept perquisitions non seulement à Laval, mais aussi à Montréal et à Saint-Augustin-de-Desmaures, en banlieue ouest du Québec. La police a ainsi mis la main sur 70 « items informatiques » différents.

La masse de données à analyser explique d’ailleurs pourquoi ce développement survient plus de cinq ans après le début de l’enquête, en janvier 2019. « Soixante-dix appareils, c’est un amas de données incroyable à digérer », souligne Jean-François Rousselle.

« Des dossiers de fraude a découlé une enquête complexe, de grande envergure, qui a nécessité l’implication de la Sûreté du Québec et du Bureau de la grande criminalité et des affaires spéciales du Directeur des poursuites criminelles et pénales », ajoute le policier.

L’enquête principale sur le vol de données chez Desjardins lui-même a surtout été menée par la Sûreté du Québec (SQ) à partir de juin 2019. Elle a toutefois commencé à la police de Laval, après des fraudes aux traites bancaires réalisées grâce à des renseignements volés à Desjardins, à partir de décembre 2018.

Les enquêteurs lavallois ont conservé l’opération s’intéressant au réseau de fraudeurs ayant fait l’objet des arrestations de mercredi. Les noms dévoilés mercredi n’avaient jamais filtré dans les documents judiciaires en lien avec les enquêtes sur le vol de données jusqu’à maintenant.

Les arrestations surviennent près de cinq ans après le dévoilement du vol massif de données chez Desjardins. Jusqu’à l’annonce lavalloise, aucune accusation criminelle n’avait encore été déposée.

Le 20 juin 2019, le Mouvement a d’abord annoncé s’être fait dérober des données sur 2,9 millions de clients. Il a ensuite revu ce chiffre à la hausse plusieurs fois.

En décembre 2020, les commissions de protection des renseignements personnels déposaient des rapports accablants sur la gestion des renseignements confidentiels au sein de l’institution financière. Selon leurs conclusions, le vol a potentiellement touché 9,7 millions d’individus et d’entreprises.

Un ex-employé de Desjardins, Sébastien Boulanger-Dorval, est soupçonné d’avoir lui-même mis la main sur des données concernant des millions de clients de Desjardins. Un prêteur privé, Jean-Loup Leullier-Masse, les aurait ensuite rachetées, avant de les retransmettre à d’autres suspects.

Un Lavallois dans l’enquête principale

L’enquête principale de la SQ sur le vol de données, le projet « Portier », s’intéresse notamment à un fraudeur lavallois récidiviste, Juan Pablo Serrano, selon des déclarations policières déposées en cour.

En septembre 2019, la police a saisi chez lui un ordinateur contenant pas moins de 3,85 millions de lignes de données sur des clients de Desjardins.

La SQ enquête aussi sur un groupe de courtiers de Québec.

Aucun n’a été accusé, mais certains ont dû répondre de leurs actes devant le chien de garde de leur profession. C’est le cas de Mathieu Joncas, un courtier hypothécaire condamné en 2022 à des amendes de 36 000 $ et 420 jours de suspension. Il a admis avoir acquis des renseignements sur « 150 000 à 200 000 » clients de Desjardins.

Son associé et courtier en assurances François Baillargeon-Bouchard a de son côté écopé d’amendes totales de 40 000 $ pour le rachat de données sur 40 000 clients et l’entrave d’une enquête de l’Autorité des marchés financiers.

Perquisition chez Desjardins

En février 2021, la SQ a passé plusieurs jours à perquisitionner dans les bureaux de Desjardins pour récupérer la preuve amassée lors de son enquête interne sur le vol de données.

En raison du privilège avocat-client et de la confidentialité des données de ses clients, la police a dû patienter près de deux ans avant d’obtenir l’accès à la preuve recueillie à cette occasion.