Les renseignements personnels de 869 donateurs au parti de l’ex-maire de Montréal Denis Coderre, dont plusieurs personnalités bien en vue et fortunées, ont été piratés, incluant leurs numéros de carte de crédit, adresse personnelle et date de naissance.

Notre Bureau d’enquête vient de recevoir, par une source anonyme, une liste de fiches informatisées de centaines de gens qui ont donné 300 $ (le maximum permis) et moins au parti de Denis Coderre entre 2014 et 2016.

Tous les renseignements qui permettraient à une personne mal intentionnée de commettre des fraudes d’identité s’y trouvent.

Le ou les pirates ont même obtenu le code de vérification à trois chiffres situé à l’arrière de la carte de crédit des donateurs.

Pourtant, en février dernier, le parti Équipe Denis Coderre pour Montréal avait dit à ses membres de ne pas s’inquiéter après que son site web a été victime d’une cyberattaque, en novembre 2017. Le directeur général du parti, Gilbert Decoste, s’était alors fait rassurant en expliquant que les données personnelles n’avaient pas été compromises.

« Menteur »

« Nous pouvons vous rassurer quant à la protection de vos données personnelles, avait soutenu M. Decoste. Comme nous ne sauvegardons aucun numéro de carte de crédit, il est impossible que les criminels aient pu les obtenir de notre site web. »

« De plus, disait-il, notre fournisseur nous rassure qu’aucune autre information confidentielle n’a été compromise. »

Toutefois, une brève note laissée par l’expéditeur anonyme dans l’envoi à notre Bureau d’enquête se moque de cette affirmation de Gilbert Decoste, le traitant même de « menteur ».

En février, le parti qui porte maintenant le nom Ensemble Montréal avait indiqué que les cyberattaques seraient survenues quelques jours avant l’élection du 5 novembre 2017.

Le parti avait déposé une plainte à la Sûreté du Québec et au Directeur général des élections. Au Québec, seuls le nom, le code postal du donateur et le montant du don sont rendus publics.

Inquiets

Notre Bureau d’enquête a réussi à joindre suffisamment de donateurs visés par la fuite, de manière aléatoire, pour conclure que le vol de données était bel et bien sérieux.

Le nom de Jean-Pierre Léger, l’ancien patron des Rôtisseries St-Hubert, est sur la liste. Il s’est dit inquiet de la masse d’informations accumulées sur lui pour un don d’à peine 5 $. « En général, tout ça est protégé », a-t-il commenté.

Laurent McCutcheon, ex-président de l’organisme Gai Écoute, fait aussi partie des victimes, lui qui a donné 200 $ au parti de l’ancien maire Coderre en 2016. Il s’est dit estomaqué par les informations en notre possession. « Vous avez les bons renseignements », a-t-il dit au sujet de son numéro de carte de crédit.

Le publicitaire Yves Gougoux, d’ailleurs, nous a mentionné que sa carte de crédit avait été désactivée récemment en raison d’« activités frauduleuses » dont il ignore la source.

Nombreuses personnalités

La fuite touche plusieurs autres personnalités de premier plan du « Montréal inc. », du monde culturel ou de la politique québécoise. Certains sont simplement devenus membres pour 5 $ lors d’un événement, alors que d’autres ont fait un don plus important.

Par exemple, les informations personnelles de l’homme d’affaires Alexandre Taillefer, du promoteur du Festival de jazz Alain Simard, du fondateur du Cirque du Soleil Guy Laliberté et du producteur Gilbert Rozon s’y trouvent, tout comme celles des ex-ministres libéraux Raymond Bachand et Monique Jérôme-Forget.

On y trouve également l’actuelle ministre libérale Marie Montpetit, l’ancienne plongeuse Sylvie Bernier, la directrice du Musée des beaux-arts Nathalie Bondil, le patron du CUSM Normand Rinfret, Serge Sasseville, VP de Québecor, ainsi que Peter Kruyt, VP de Power Corporation, pour ne nommer que ceux-là.

On y aperçoit aussi une brochette de promoteurs immobiliers et d’avocats montréalais bien en vue.

PHOTO MARTIN CHEVALIER

Pour montrer l’étendue de la cyberattaque, nous avons imprimé une partie des renseignements dérobés par les pirates que nous avons reçus. Nous ne conserverons pas ces documents, qui seront remis aux autorités compétentes.

LES DONNÉES REMISES AUX AUTORITÉS

• Notre Bureau d’enquête remettra tous ces documents aux autorités appropriées aujourd’hui


• Toutes les données qui ont permis de réaliser ce reportage hautement d’intérêt public seront éliminées

Les renseignements suivants ont été dérobés pour chaque donateur

• Nom

• Sexe

• Date de naissance

• Adresse de résidence complète

• Nom de l’employeur

• Numéro de téléphone (des cellulaires dans la plupart des cas)

• Adresse courriel

• Toutes les informations sur leur carte de crédit :

• Type

• Numéro

• Date d’expiration

• Nom du titulaire

• Code de vérification (CVV) au dos de la carte

PORTE OUVERTE AUX FRAUDES D’IDENTITÉ

Les renseignements obtenus dans la cyberattaque contre le parti de Denis Coderre sont amplement suffisants pour frauder l’identité des donateurs, selon des experts.

« C’est vraiment pas rigolo, ça, c’est certain », observe Geneviève Lajeunesse, directrice des opérations de Crypto.Québec. Selon elle, un fraudeur bien outillé pourrait utiliser ces numéros de cartes de crédit pour faire des achats en ligne au nom des victimes.

L’experte trouve préoccupant qu’un ou des pirates aient eu accès à toutes ces données confidentielles.

« De façon générale, ce ne sont pas des informations qu’on est censé conserver en clair. Il n’y a aucun commerçant qui garderait ces informations-là de la sorte. Ça ne correspond pas à la façon que les émetteurs de cartes de crédit recommandent de faire. »

« Très grande valeur »

« On peut tout faire avec ces informations, surtout avec la qualité des gens qui sont représentés sur cette liste-là », observe pour sa part Claude Sarrazin, expert en sécurité privée et président de la firme SIRCO.

« Le fraudeur peut transférer ces informations-là, les vendre à d’autres pour qu’ils les utilisent et ça a une très grande valeur », poursuit-il.

Mme Lajeunesse estime que les victimes de la fuite devraient prendre des précautions sans attendre.

« La première chose à faire est de contacter son institution financière pour signaler que la carte a fuité », dit-elle.

La directrice des opérations de Crypto.Québec fait remarquer que s’il est possible pour les victimes de changer leur numéro de carte de crédit, il est beaucoup plus difficile de changer d’adresse et de numéro de téléphone.

Avec les informations dont ils disposent, les experts consultés ne peuvent établir sans l’ombre d’un doute comment les pirates s’y sont pris pour perpétrer leur cyberattaque.

PLUSIEURS CAS CÉLÈBRES

Le cyberpiratage ne date pas d’hier. Des cas d’envergure beaucoup plus grande ont fait la manchette depuis quelques années et démontrent que personne n’est à l’abri des pirates informatiques. 

JANVIER 2018 | Des pirates avaient accédé illégalement aux adresses courriel et noms de 100 000 clients de Bell. Une attaque similaire avait eu lieu en mai 2017 : 1,9 million de clients de l’entreprise s’étaient aussi fait voler leurs courriels. 

JUILLET 2017 | Les données personnelles de plus de 145 millions d’Américains, de Canadiens et de Britanniques ont fuité du système Equifax en juillet. Des noms, des numéros d’assurance sociale, des dates de naissance, des adresses et des numéros de permis de conduire se trouvaient parmi les informations piratées. 

AOÛT 2015 | Le site web pour rencontres extra-conjugales Ashley Madison avait vu les données de ses quelque 37 millions d’utilisateurs diffusées après avoir ignoré les demandes de pirates informatiques qui exigeaient la fermeture de la plateforme. Les pirates ont diffusé des numéros de cartes de crédit, des courriels, des numéros de téléphone, des noms et les montants payés par les utilisateurs du site.