Près de 13 000 Canadiens potentiellement victimes de fraude au CERB après que des pirates ont accédé à des comptes de l’ARC en 2020

0

Un policier à la retraite de la Colombie-Britannique mène actuellement un recours collectif contre le gouvernement fédéral lié à la violation massive de données du système de connexion de l’ARC

Date de publication :

29 août 2022il y a 17 heures4 minutes de lecture 97 commentaires

Une page sur le site Web de la Prestation canadienne d’intervention d’urgence (PCU) du gouvernement fédéral en 2020. Photo de Peter J. Thompson/National Post/File

OTTAWA — Des pirates informatiques ont frauduleusement demandé des prestations financières liées à la COVID-19 au nom de 12 700 Canadiens sans méfiance après une cyberattaque contre le système en ligne de l’Agence du revenu du Canada en 2020, révèlent des documents judiciaires.

Des milliers de Canadiens ont été stupéfaits d’apprendre à l’été 2020 que leurs informations d’identification pour se connecter à des services gouvernementaux en ligne sensibles comme le portail MonARC de l’ARC avaient été compromises par des pirates.

Le gouvernement pensait initialement que 5 500 comptes de l’ARC avaient été potentiellement compromis par deux cyberattaques. Les deux étaient liés à des incidents de « credential stuffing » dans lesquels des pirates tentaient de se connecter illégalement à des sites Web au nom des victimes en utilisant des trésors d’informations d’identification volées.

Un mois après le piratage de l’ARC, le gouvernement a admis que l’analyse médico-légale avait révélé des « activités suspectes » sur 48 500 comptes, soit près de 10 fois plus que ce que l’on soupçonnait initialement.

Une décision de la Cour fédérale la semaine dernière révèle pour la première fois l’ampleur du succès des pirates. Pendant près de deux semaines, les fraudeurs ont modifié les informations bancaires de dépôt direct du contribuable, puis ont demandé « frauduleusement » la Prestation canadienne d’urgence (PCU) de 2 000 $ par mois sur 12 700 comptes MonARC différents.

La décision ne révèle pas la valeur totale des demandes de prestations frauduleuses liées à la violation. Mais un seul paiement CERB de 2 000 $ pour chacune des 12 700 victimes vaut 25,4 millions de dollars.

L’une des victimes des pirates informatiques était Todd Sweet, qui a découvert lorsqu’il s’est connecté à son compte de l’Agence du revenu du Canada en 2020 que non seulement des criminels avaient volé ses données, mais qu’ils avaient frauduleusement demandé des prestations d’urgence COVID-19 à quatre reprises.

Maintenant, l’officier de police à la retraite de la Colombie-Britannique mène la charge avec un recours collectif contre le gouvernement fédéral lié à la violation massive de données du système de connexion de l’ARC qui a compromis les données de milliers de Canadiens.

Les plaignants disent que la « négligence du système » du gouvernement pour protéger leurs données leur a coûté cher, comme : des dommages à leur pointage de crédit, de la détresse mentale, du vol d’identité, de la fraude par carte de crédit et du « temps perdu en communication avec l’ARC ».

En fin de semaine dernière, le La Cour fédérale a statué que le recours collectif était certifié et pouvait aller de l’avant.

Le même été, une autre attaque de credential stuffing a été menée avec succès contre le système de connexion « GCKey » du gouvernement, qui permet d’accéder à Mes dossiers Service Canada et est utilisé par 30 ministères, dont la GRC et Immigration Canada.

La décision de la Cour fédérale révèle que près de 6 000 comptes ont été potentiellement compromis et que des pirates ont réussi à demander frauduleusement le CERB et d’autres avantages financiers COVID-19 via 1 200 d’entre eux avant que leur accès ne soit coupé.

L’ARC a refusé de commenter la poursuite. Selon la décision, l’agence a soutenu que les plaignants, représentés par le cabinet d’avocats Rice Harbut Elliott, n’avaient démontré aucune négligence systémique de sa part.

Dans un communiqué, l’agence a déclaré qu’elle avait renforcé ses systèmes de cyberdéfense depuis les violations, notamment en ajoutant une authentification multifacteur et en verrouillant immédiatement un compte si l’agence pense qu’il est compromis.

« Aucune organisation n’est à l’abri des cyberincidents ou des activités frauduleuses. C’est pourquoi l’ARC dispose de systèmes et d’outils robustes pour surveiller, détecter, enquêter et neutraliser rapidement les menaces potentielles. À mesure que les escrocs adaptent leurs pratiques, l’ARC fait de même. Nous ajustons et améliorons régulièrement nos mesures de sécurité en réponse à cet environnement de menaces en constante évolution et aux tentatives d’intrusion continues », a déclaré le porte-parole de l’ARC, Etienne Biram, dans un courriel.

« Nous nous engageons à aider les personnes touchées par la fraude ou le vol d’identité, et avons des équipes dédiées pour traiter rapidement tout problème lorsqu’il survient. »

Mais ce n’est pas l’expérience de Sweet. Dans un affidavit au tribunal à l’appui de la poursuite, Sweet dit avoir reçu un courriel de l’ARC en juillet 2020 lui indiquant que son courriel avait été supprimé de son compte MonARC. Lorsqu’il s’est connecté pour vérifier pourquoi, il a découvert que ses informations de dépôt direct avaient été modifiées trois jours auparavant.

Mais pire encore: un pirate informatique avait fait quatre demandes de CERB en son nom d’une valeur totale de 8 000 $ et avait déposé l’argent sur son compte, dit-il dans un affidavit.

Sweet a alors entamé un processus kafkaïen pour prouver à l’ARC qu’il n’avait apporté aucun de ces changements ni demandé le CERB. Il a passé des heures au téléphone avec l’agence et leur a envoyé de nombreuses correspondances, en plus de déposer un rapport de police auprès de la GRC.

Ce n’est que fin septembre que le gouvernement lui a envoyé une lettre l’informant que ses informations personnelles ont été compromises lors de la violation de données, a-t-il écrit dans des documents judiciaires.

Bien qu’il ait dit à plusieurs reprises à l’agence qu’il n’avait jamais demandé le CERB, il a reçu une lettre « affligeante » en octobre 2021 de l’ARC lui disant qu’il devrait payer des impôts sur les 8 000 $ de CERB réclamés illégalement en son nom.

« À la suite de la violation de mon compte de l’ARC… j’ai passé au moins 20 heures à recueillir des informations, à remplir des formulaires et à contacter différentes agences pour faire face à la violation de compte et pour protéger mon identité et prévenir d’autres dommages », a déclaré Sweet dans son affidavit.

« La violation du compte de l’ARC m’a amené à remettre en question la capacité de l’ARC à stocker en toute sécurité mes informations personnelles et financières. Je suis très préoccupé par la sécurité de mes informations personnelles et financières auprès de l’ARC, et je doute que l’ARC fasse quelque chose pour prévenir des incidents similaires », a-t-il ajouté.

Dans la décision certifiant le recours collectif, le juge Richard F. Southcott a conclu que les demandeurs pouvaient être éligibles à des dommages-intérêts et que certaines preuves montraient qu’il pouvait y avoir eu à la fois un abus de confiance de la part du gouvernement et une intrusion dans l’isolement.

commentaires

Postmedia s’engage à maintenir un forum de discussion animé mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu’à une heure pour être modérés avant d’apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail. Vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, s’il y a une mise à jour d’un fil de commentaires que vous suivez ou si un utilisateur vous suivez des commentaires. Visitez notre Règles de la communauté pour plus d’informations et de détails sur la façon d’ajuster votre e-mail réglages.

Source link-47