Ça commence à faire beaucoup en peu de temps. Déjà, l'affaire Desjardins suffisait en elle-même. Voilà maintenant le tour des clients de Costco d’être victimes de vol de données et de se retrouver soudainement exposés à un risque accru de fraude.
Ce doit être inconfortable d'être à la fois membre de la caisse et du magasin...
Un pirate informatique a dérobé les informations contenues sur 100 millions de formulaires de demande de carte de crédit de la banque américaine Capital One, parmi lesquels se trouvent 6 millions de Canadiens, dont de nombreux clients de Costco (Capital One n'a pas détaillé la répartition des clients touchés) et d'autres, de la Baie d'Hudson. Le numéro d’assurance sociale d’un million de personnes se trouverait dans le butin, en plus des noms, adresses, codes postaux et numéros de téléphone, entre autres.
La carte de crédit de Costco, celle qui permet à la fois de démontrer son membership et d’accumuler des remises en argent en l'utilisant pour régler ses achats, est fournie par Capital One. C’est fâcheux. Très fâcheux.
Le Québec compte de nombreux clients du détaillant américain. Comment Capital One et Costco géreront cette nouvelle crise auprès des clients d’ici? Certainement pas avec la même vigueur que Desjardins, pour qui sa controverse revêt une ampleur particulière par la proportion des clients touchés et par la place sentimentale que l’institution occupe dans son marché.
On ne peut en dire autant de Costco, dont la clientèle est tout de même composée d’adeptes, et encore moins de Capital One, qui laisse les Québécois au mieux indifférents, un sentiment sans doute réciproque. Les clients ne devraient pas s’attendre à se voir offrir bien davantage qu’un service gratuit (et médiocre) de surveillance de leur dossier de crédit et une forme de protection contre le vol d’identité.
Voilà qui risque de déboucher sur une expérience fort frustrante pour les clients qui devront naviguer dans le système déjà congestionné et mal conçu des agences de crédit, les seules à profiter, avec les fraudeurs, de la vulnérabilité des bases de données.
***
Des clients inquiets de Desjardins se sont mis à la recherche d’une nouvelle institution financière pour y déménager leurs affaires.
Dans les circonstances, il y a deux raisons qui peuvent motiver quelqu’un à transférer ses avoirs dans une autre institution financière: pénaliser Desjardins et chercher plus de sécurité chez un concurrent.
Je ne suis pas un client de Desjardins et j’ai bien d’autres raisons d’avoir fait mon nid ailleurs. Pour les clients qui ont perdu confiance, il ne m’apparaît pas moins futile de déménager ses comptes dans une banque, et ce pour plusieurs raisons.
Ce qui est arrivé chez Desjardins aurait pu se produire (et se produira forcément) ailleurs; l’endroit le plus sécuritaire actuellement est probablement Desjardins où le personnel est sur le qui-vive et les mesures de sécurité sont renforcées (le contraire serait scandaleux); changer d’institution n’apporte aucune protection supplémentaire, les données étant déjà dans la nature; au contraire, en déménageant ses comptes, on ne fait que s’exposer davantage au vol de données personnelles.
Plus notre vie financière est dispersée, plus il y a d’entreprises qui possèdent nos données, plus le risque augmente que ces informations se retrouvent entre des mains malveillantes.
***
Dans La Presse +, mardi, on apprenait qu’une escouade mixte «banques-police» avait failli voir le jour il y a huit ans afin de lutter contre le vol d’identité. Le projet, pour lequel Québec s’était montré ouvert, avait reçu à l’époque un soutien plutôt mou de la part de certains corps policiers et d’institutions financières. Selon ce qu’a rapporté le journaliste Daniel Renaud, la police préférait la prévention à la coercition. Quant aux banques, elles étaient tout simplement réticentes, pour ne pas dire inintéressées.
L’idée d'une telle escouade spécialisée découlait d’une recrudescence de ce type de crime. Durant les années 2000, il y avait déjà bien eu des vols de données de grande ampleur, impliquant surtout des adresses de courriel, mais on associait encore le plus souvent les risques d’usurpation à l’insouciance des individus. Qu’est-ce qu’il était téméraire de jeter au recyclage des documents sensibles sans les avoir au préalable passés deux fois à la déchiqueteuse!
Le contexte diffère aujourd’hui. On est passé de la méthode semi-artisanale à l'approche industrielle. Un seul individu peut pêcher les informations de dizaines de millions de personnes. On voit l’attrait que représentent les bases de données qui peuvent facilement être revendues en lots dans l’Internet profond, à l’autre bout du monde. On n’est plus dans le petit banditisme, mais dans la grande criminalité transfrontalière.
Je veux dire... c'est cute la prévention.
S’il y a quelque chose de positif à tirer des récents événements, c’est qu’ils révèlent la pertinence, que dis-je, l’urgence de mesures musclées: développer des pièces d’identité dignes du 21e siècle; définir des principes d’imputabilité et de responsabilité pour ce genre d’affaires; remettre en question la collecte et la gestion des dossiers de crédit par des entreprises privées sans scrupules; sans doute, oui, mettre en place une escouade policière spécialisée.
***
En attendant, il y aura certainement encore un peu d’argent à faire. Voyant la manne, les institutions financières nous inonderont bientôt de produits d’assurance contre le vol d’identité, c’est écrit dans le ciel.
***
Vous avez des questions au sujet de votre situation financière? Écrivez-moi à [email protected]. en inscrivant dans l'objet «Courrier du portefeuille».
Suivez-moi sur Twitter / Pour lire mes autres billets