Fraude massive à l'Agence du revenu du Canada : des Milliers de Comptes compromis
L'Agence du revenu du Canada (ARC) fait face à une crise de sécurité majeure après avoir découvert que des fraudeurs ont profité de failles dans ses systèmes pour prendre le contrôle de centaines de comptes de contribuables. Les escrocs ont réussi cette intrusion après avoir mis la main sur des codes électroniques confidentiels utilisés par un préparateur fiscal bien connu, H&R Block, pour soumettre des déclarations de revenus au nom de leurs clients. Les conséquences de cette intrusion sont importantes et suscitent des questions quant à la sécurité des systèmes de l'ARC ainsi que des données personnelles des citoyens.
L'information a d'abord été révélée par Radio-Canada et confirmée par Le Journal. Selon l'enquête, les fraudeurs ont utilisé des informations personnelles obtenues sur le "dark web", telles que des noms, des dates de naissance, des adresses et des numéros d'assurance sociale. Ces renseignements leur ont permis de contourner les mesures de sécurité et de compromettre des comptes fiscaux, mettant ainsi en péril la confidentialité des données de centaines de contribuables.
Une faille exploitable et des conséquences coûteuses
Tout a commencé au printemps dernier, lorsque l'ARC a découvert que des fraudeurs avaient réussi à obtenir des codes confidentiels utilisés par H&R Block pour préparer des déclarations de revenus. Grâce à ces codes, les escrocs ont pris le contrôle de plusieurs comptes fiscaux et ont changé les informations bancaires qui y étaient enregistrées, redirigeant ainsi les remboursements fiscaux vers leurs propres comptes bancaires. L'ARC a été alertée après avoir constaté que plusieurs faux remboursements avaient été effectués à des contribuables dont les comptes bancaires étaient identiques.
Selon l'enquête, menée conjointement par CBC et Radio-Canada, les fraudeurs ont réussi à soutirer près de 6,6 millions de dollars avant que la faille ne soit colmatée! De plus, ils avaient présenté des demandes additionnelles pour un montant total de 14,9 millions de dollars. Il semble que la faille ait été exploitée sur une période suffisamment longue pour permettre des transactions frauduleuses substantielles avant d'être identifiée par les autorités.
Les systèmes de l'ARC compromis ?
Malgré l'ampleur de l'intrusion, l'ARC insiste sur le fait que ses systèmes internes n'ont pas été compromis. "Les systèmes de l'ARC n'ont pas été compromis, des fraudeurs ont mis la main sur des renseignements sur le dark web", a affirmé un porte-parole. En effet, les données personnelles utilisées par les fraudeurs pouvaient avoir été obtenues à la suite de fuites de données antérieures et n'étaient donc pas directement issues des systèmes de l'ARC ou de ceux de H&R Block.
Les codes électroniques confidentiels se sont révélés être la "clé" permettant aux fraudeurs de tirer parti des renseignements qu'ils possédaient déjà. Une source gouvernementale a précisé que d'autres entreprises que H&R Block pourraient aussi être touchées, bien qu'aucune preuve tangible n'ait encore été présentée à ce sujet.
Aux dernières nouvelles, H&R Block soutient que la fuite de données ne provenait pas de ses systèmes. D'ailleurs, aucun incident de confidentialité n'a été rapporté à la Commission d'accès à l'information, suggérant que la situation pourrait être liée à une faille de sécurité externe plutôt qu'à une erreur interne.
L'augmentation des violations de sécurité après la pandémie
Dans une déclaration écrite, l'ARC a souligné qu'elle a observé une "augmentation importante" du nombre de vols d'identité et d'utilisation non autorisée des renseignements de contribuables depuis la pandémie de COVID-19. Entre mars 2020 et décembre 2023, l'Agence a enregistré 31 468 atteintes à la vie privée, touchant près de 62 000 contribuables canadiens.
Cependant, seulement 113 de ces cas ont été rapportés dans les rapports annuels du Commissariat à la protection de la vie privée durant cette période, un décalage expliqué par l'ARC en affirmant avoir priorisé la protection des comptes compromis ainsi que l'avis aux contribuables touchés, expliquant ainsi les "retards de signalement" dans la documentation officielle.
Les préoccupations pour la sécurité des contribuables
Cet incident met en évidence la fragilité des systèmes de protection de l'information personnelle au Canada et souligne l'importance pour les contribuables de rester vigilants face aux risques croissants de fraude. Avec la numérisation croissante des données fiscales et personnelles, la protection de la confidentialité est devenue un enjeu critique, non seulement pour l'ARC, mais aussi pour l'ensemble des entreprises manipulant ces informations sensibles.
Il est recommandé aux contribuables de surveiller régulièrement leurs comptes en ligne sur le portail de l'ARC, de changer leurs mots de passe fréquemment et d'éviter d'utiliser les mêmes identifiants pour plusieurs plateformes. L'ARC continue de travailler pour améliorer la sécurité de ses systèmes et colmater toute faille pouvant être exploitée par des fraudeurs.
La question reste de savoir si des mesures suffisantes ont été mises en place pour éviter que de tels incidents ne se reproduisent à l'avenir, car la confiance des contribuables dans l'ARC dépend largement de sa capacité à protéger leurs informations personnelles et à prévenir de telles atteintes à la sécurité.
