Automne 2023. Sophie, 41 ans, comptable à Lévis, reçoit une lettre de la Banque Nationale lui indiquant qu’une demande de carte de crédit a été soumise en son nom — à une adresse à Laval qu’elle ne connaît pas. Elle n’a jamais habité à Laval. Elle n’a jamais contacté la Banque Nationale. Quelqu’un a utilisé son NAS, sa date de naissance et son adresse précédente pour monter un dossier de crédit complet.
La source probable ? La fuite Desjardins de juin 2019. Sophie était membre depuis 2008. Elle faisait partie des 9,7 millions de membres dont les données personnelles ont été exfiltrées par un analyste en optimisation des données, Sébastien Boulanger-Dorval, qui a revendu l’information à des tiers pendant des mois avant d’être découvert.
Quatre ans plus tard, ses données circulaient encore. Ce genre de délai n’est pas exceptionnel — c’est la norme.
Pourquoi la fuite de 2019 reste un risque actif en 2026
La fuite Desjardins est la plus grande fuite de données d’une institution financière de l’histoire canadienne. En juin 2019, Desjardins a confirmé que les données de 9,7 millions de membres avaient été compromises. Pas des numéros de carte de crédit — des données d’identité profondes :
- Prénom et nom
- Date de naissance
- Numéro d’assurance sociale (NAS)
- Adresse postale
- Adresse courriel
- Numéro de téléphone
- Habitudes de transactions (pour environ 2,7 millions de membres entreprises)
Ces informations ne périment pas. Un NAS, une date de naissance, un nom complet : ça ne change pas. Et c’est exactement ce qu’il faut pour ouvrir un compte de crédit, faire une demande de prêt, ou passer un vérification d’identité à basse sécurité.
En 2025, des chercheurs en cybersécurité ont encore trouvé des lots de données Desjardins sur des forums de revente du dark web. Les données ont eu le temps d’être revendues, reconditionnées, croisées avec d’autres fuites (comme les bases Facebook ou LinkedIn), et réutilisées. L’effet d’une fuite s’étale sur 5 à 10 ans minimum.
Si vous étiez membre Desjardins avant juin 2019, vos données de base sont probablement quelque part dans la nature. Ce n’est pas une raison de paniquer — c’est une raison de sécuriser ce qui peut encore l’être.
Ce qui a changé depuis 2019 — et ce que Desjardins a mis en place
Desjardins a pris des mesures importantes après la fuite. Il est utile de les comprendre pour savoir ce qui relève de Desjardins et ce qui reste votre responsabilité.
Ce que Desjardins a fait :
- Offert 5 ans de surveillance du crédit via Equifax à tous les membres touchés (ce service s’est terminé pour la plupart en 2024-2025)
- Amélioré la surveillance interne des accès aux données des membres
- Renforcé les contrôles sur les employés ayant accès aux données massives
- Mis en place un numéro dédié à la fraude liée à la fuite
Ce que ça ne couvre pas :
La surveillance Equifax alerte quand quelqu’un consulte votre dossier de crédit ou ouvre un compte. Elle ne protège pas votre compte AccèsD contre un accès non autorisé. Elle ne détecte pas une fraude d’identité dans un secteur qui ne passe pas par Equifax. Et si le service de surveillance s’est terminé pour vous, vous n’avez plus de filet automatique.
Votre sécurité, maintenant, c’est vous.
Étape 1 : Changer votre mot de passe AccèsD (même si vous ne l’avez pas fait récemment)
La fuite de 2019 n’incluait pas les mots de passe AccèsD directement — mais ça ne veut pas dire que votre compte est sûr. Avec suffisamment d’informations personnelles (date de naissance, NAS, adresse), un fraudeur peut tenter de réinitialiser votre mot de passe via le centre téléphonique ou le processus de récupération en ligne.
Un mot de passe fort sur AccèsD doit :
- Avoir au moins 12 caractères
- Mélanger majuscules, minuscules, chiffres et symboles
- Ne jamais être le même que votre mot de passe courriel ou celui d’un autre service
- Ne pas contenir votre nom, date de naissance, ou le mot « Desjardins »
Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, Proton Pass) pour générer et stocker un mot de passe aléatoire long. Vous n’avez pas besoin de le mémoriser — juste de ne pas le réutiliser ailleurs.
Si vous utilisez le même mot de passe AccèsD depuis 2019 ou avant, changez-le aujourd’hui.
Étape 2 : Activer la vérification en deux étapes sur AccèsD
C’est la modification la plus importante que vous pouvez faire. La vérification en deux étapes (2FA) signifie que même si quelqu’un connaît votre numéro AccèsD et votre mot de passe, il ne peut pas se connecter sans accès à votre téléphone ou à votre application Desjardins.
Comment activer le 2FA sur AccèsD :
- Connectez-vous à AccèsD sur ordinateur ou sur l’application mobile
- Allez dans Mon profil → Sécurité → Vérification en deux étapes
- Choisissez votre méthode : SMS ou application mobile Desjardins
- Suivez les étapes de configuration (entrer votre numéro, valider avec un code reçu)
Application mobile vs SMS :
L’application mobile est plus sûre que le SMS. Voici pourquoi : une attaque appelée SIM swapping permet à un fraudeur de convaincre votre opérateur téléphonique (Bell, Videotron, Telus) de transférer votre numéro sur une nouvelle carte SIM. Si ça arrive, tous vos SMS — y compris vos codes de vérification — arrivent sur le téléphone du fraudeur.
L’application Desjardins, elle, est liée à votre appareil physique. Elle ne peut pas être « transférée » par téléphone à votre opérateur. Si vous avez le choix, optez pour l’application.
Pour en savoir plus sur le SIM swapping, consultez notre article 2FA SMS vs application : les dangers du SIM swapping.
Étape 3 : Configurer les alertes de transaction
AccèsD permet de configurer des notifications automatiques pour les activités sur votre compte. C’est votre système d’alerte précoce — pas une protection, mais un détecteur.
Alertes recommandées à activer :
- Transaction au-dessus de X $ : fixez un seuil bas (50 $ ou 100 $) pour être alerté de toute dépense significative
- Connexion depuis un nouvel appareil : vous recevez une alerte quand quelqu’un se connecte d’un appareil jamais utilisé avant
- Tentative de connexion échouée : si quelqu’un essaie de rentrer dans votre compte et échoue, vous êtes averti
- Changement de vos informations de profil : adresse, courriel, mot de passe modifié
Pour configurer : Mon profil → Alertes et notifications → activez chaque catégorie, choisissez courriel ou SMS.
Un courriel vous dit qu’une transaction de 3 200 $ vient d’être effectuée à 3h du matin vers un compte que vous ne reconnaissez pas ? Vous appelez le 1-800-CAISSES dans les minutes qui suivent, pas 3 jours plus tard en regardant votre relevé.
Étape 4 : Comprendre votre numéro AccèsD vs votre mot de passe
Beaucoup de membres Desjardins confondent les deux ou ne comprennent pas la distinction. C’est important pour savoir ce qui est vulnérable.
Votre numéro AccèsD : un identifiant numérique permanent (généralement 7 à 9 chiffres) assigné par Desjardins. C’est comme votre nom d’utilisateur. Il ne change pas. Il est visible sur votre relevé, votre carte de membre, et dans votre profil. En soi, il n’est pas secret — c’est comme votre numéro de compte bancaire.
Votre mot de passe AccèsD : c’est le secret. C’est lui qui vous authentifie. Il peut être changé à tout moment et doit l’être régulièrement.
Le danger : un fraudeur qui connaît votre numéro AccèsD ET vos informations personnelles (date de naissance, NAS, adresse — toutes des données dans la fuite de 2019) peut appeler Desjardins et se faire passer pour vous pour réinitialiser le mot de passe. Ce n’est pas facile — Desjardins a des procédures de vérification — mais ça s’est produit.
Protection supplémentaire : vous pouvez demander à votre caisse de ne jamais modifier vos informations de sécurité par téléphone sans présence en succursale. Toutes les caisses n’offrent pas cette option formellement, mais le fait de le demander crée une note dans votre dossier.
Étape 5 : Vérifier l’historique de vos connexions
AccèsD conserve un historique des connexions récentes à votre compte. Prenez 2 minutes pour le consulter.
Dans AccèsD : Mon profil → Sécurité → Historique des connexions (ou similaire selon la version de l’interface).
Vous verrez la date, l’heure, et parfois l’appareil ou le navigateur utilisé pour chaque connexion. Si vous voyez une connexion à 4h23 du matin un mercredi que vous ne reconnaissez pas, ou depuis un navigateur que vous n’utilisez pas, agissez immédiatement.
Si vous trouvez une connexion suspecte :
- Changez votre mot de passe AccèsD immédiatement
- Appelez le 1-800-CAISSES (1-800-224-7737) ou votre caisse
- Demandez de bloquer temporairement l’accès à AccèsD pendant l’investigation
- Vérifiez toutes vos transactions récentes
- Signalez au Centre antifraude du Canada : 1-888-495-8501
Étape 6 : Geler votre dossier de crédit (si vous ne l’avez pas fait)
Si vos données Desjardins ont fui — et statistiquement elles ont probablement fui — votre plus grand risque n’est pas forcément votre compte AccèsD lui-même. C’est quelqu’un qui utilise votre identité pour ouvrir de nouveaux comptes de crédit ailleurs.
Le gel de crédit (ou alerte à la fraude) empêche les institutions financières d’accéder à votre dossier de crédit sans votre permission explicite. Ça bloque l’ouverture de nouveaux comptes en votre nom.
Au Canada, vous gérez ça directement avec les deux agences de crédit :
- Equifax Canada : equifax.ca → section « Protéger mon identité »
- TransUnion Canada : transunion.ca → section « Protéger mon crédit »
Le service de gel de crédit est gratuit. Il ne nuit pas à vos comptes existants. Il ne change pas votre cote de crédit. Il empêche juste les nouvelles demandes de crédit en votre nom.
Si vous avez subi la fuite de 2019 et que vous n’avez jamais géré ça, c’est votre action prioritaire.
Les cas d’usurpation d’identité liés à Desjardins — ce qu’on voit en 2024-2025
Les fraudeurs qui ont acheté les données de la fuite Desjardins n’ont pas tout utilisé d’un coup. Ils ont créé des bases de données croisées, attendu que les victimes baissent leur garde, et exploité les informations de manière ciblée.
Voici les schémas les plus rapportés aux autorités québécoises ces dernières années :
Fraude de crédit à distance : Demandes de prêts personnels ou de cartes de crédit en ligne avec les informations de la fuite. Les banques en ligne et les fintechs sont les cibles favorites — leur vérification d’identité est souvent moins rigoureuse qu’une succursale physique.
Phishing ciblé (spear phishing) : Des courriels qui s’adressent à vous par votre prénom, mentionnent votre caisse Desjardins locale, et simulent une alerte de sécurité. Ils demandent de cliquer pour « vérifier votre identité ». L’URL ressemble à AccèsD mais ne l’est pas. Avec les informations personnelles de la fuite, ces courriels sont beaucoup plus convaincants qu’un phishing générique. Consultez notre article sur comment détecter un courriel de phishing bancaire pour reconnaître ces tentatives.
Réinitialisation de mot de passe par ingénierie sociale : Appel téléphonique à la caisse en se faisant passer pour vous, avec votre NAS, date de naissance, et adresse. Tentative de réinitialiser l’accès AccèsD ou d’obtenir des informations supplémentaires.
Fraude fiscale : Utilisation de votre NAS pour produire une déclaration de revenus frauduleuse à l’Agence du revenu du Canada avant vous, et récupérer votre remboursement. C’est moins visible mais extrêmement commun après des fuites qui incluent des NAS.
Reprise de compte de courriel : Si votre adresse courriel dans la fuite Desjardins est la même que celle liée à vos autres comptes (Amazon, gouvernement.qc.ca, CRA Mon dossier), et que votre mot de passe courriel est faible ou réutilisé, les fraudeurs testent d’abord votre boîte mail. Accès au courriel = accès à la réinitialisation de presque tous vos autres comptes.
Ce que dit la Commission d’accès à l’information du Québec
La Commission d’accès à l’information (CAI) du Québec a enquêté sur la fuite Desjardins et émis plusieurs recommandations en 2019-2020. La Loi 25, entrée en vigueur progressivement entre 2022 et 2023, a renforcé les obligations des organisations en matière de protection des données — incluant les coopératives financières comme Desjardins.
Depuis septembre 2023, toute organisation qui subit une fuite de données présentant un risque de préjudice sérieux doit notifier la CAI et les individus concernés dans les 72 heures. Des amendes pouvant atteindre 25 millions $ ou 4 % du chiffre d’affaires mondial s’appliquent en cas de manquement.
Pour vous, citoyen : la CAI a un mécanisme de plainte si vous pensez que vos droits en matière de données personnelles ont été violés. cai.gouv.qc.ca → section « Porter plainte ».
Les réglages AccèsD à vérifier une fois par trimestre
Les paramètres de sécurité ne sont pas un réglage unique. Les interfaces changent, de nouvelles options apparaissent, et vos habitudes évoluent. Voici une liste de vérification rapide à faire tous les 3 mois :
- Mot de passe AccèsD : date du dernier changement ? Plus de 6 mois = changer
- 2FA activée : encore active ? Mode utilisé (SMS ou app) ?
- Alertes de transaction : toujours configurées et actives ?
- Adresse courriel de récupération : est-ce encore votre courriel actif ? Sécurisé lui aussi ?
- Questions de sécurité : réponses toujours exactes ? Quelqu’un pourrait-il les deviner avec vos infos publiques (Facebook, LinkedIn) ?
- Appareils de confiance : AccèsD mémorise certains appareils — retirez ceux que vous n’utilisez plus
- Historique des connexions : parcourez les 30 derniers jours
Ça prend 10 minutes. Faites-le.
Que faire si vous pensez être victime d’une fraude liée à Desjardins
La rapidité compte. Chaque heure compte.
Étape 1 — Contactez Desjardins immédiatement :
- Téléphone dédié à la fraude : 1-800-CAISSES (1-800-224-7737)
- Disponible 24h/24, 7j/7 pour les urgences de fraude
- Demandez de bloquer votre compte AccèsD pendant l’investigation
Étape 2 — Signalez au Centre antifraude du Canada :
- Téléphone : 1-888-495-8501
- En ligne : antifraudcentre-centreantifraude.ca
- La GRC et les corps policiers provinciaux utilisent ces signalements
Étape 3 — Équifax et TransUnion :
- Placez une alerte à la fraude ou gelez votre crédit sur les deux bureaux
- Demandez une copie de votre dossier de crédit pour voir si des comptes ont été ouverts sans votre permission
Étape 4 — Signalement police :
- Votre service de police local peut ouvrir un rapport de crime
- Ce rapport est souvent requis pour contester des comptes frauduleux auprès des banques
Étape 5 — Agence du revenu du Canada :
- Si vous pensez que votre NAS a été compromis pour une fraude fiscale, appelez l’ARC (1-800-959-8281) et signalez une possible usurpation d’identité
Consultez également notre guide détaillé compte compromis ou hacké : que faire en premier pour les étapes complètes.
Le mot de la fin
La fuite Desjardins de 2019 n’est pas un événement du passé. Elle est une réalité permanente pour les 9,7 millions de membres touchés. Vos données existent quelque part dans des bases de données que vous ne contrôlez pas et que vous ne pouvez pas effacer.
Ce que vous pouvez contrôler : la difficulté qu’un fraudeur aura à exploiter ces données contre vous. Un mot de passe fort, une 2FA active, des alertes configurées, un gel de crédit en place — chacune de ces mesures élève le niveau d’effort nécessaire pour vous cibler. La plupart des fraudeurs cherchent la cible facile, pas la cible blindée.
Si vous avez besoin d’aide pour auditer votre sécurité numérique — compte bancaire, courriel, identité en ligne — l’équipe de Sequr est disponible pour une consultation.
Sequr — Cybersécurité pour particuliers et PME au Québec
