Résumé
Des dizaines de milliers de contribuables canadiens piratés, des millions envolés
Le nombre réel de cyberattaques est bien plus élevé que ce qui a été rapporté au Parlement.
Des failles dans les systèmes de l’Agence du revenu du Canada ont permis à des fraudeurs de soutirer des millions au fisc canadien.
Photo : Radio-Canada
Publié à 4 h 00 HAE
Écouter l’article | 8 minutes
La version audio de cet article est générée par la synthèse vocale, une technologie basée sur l’intelligence artificielle.
En pleine saison des impôts 2024, l’Agence du revenu du Canada (ARC) a découvert que des fraudeurs avaient mis la main sur des informations confidentielles utilisées par H&R Block Canada, une firme qui produit des millions de déclarations fiscales chaque année.
Grâce à des codes destinés aux préparateurs fiscaux, ces imposteurs ont pris le contrôle du compte fiscal de centaines de contribuables, pour y changer notamment le compte bancaire au dossier.
Selon une enquête menée par l’émission The Fifth Estate de CBC et par Radio-Canada, ces pirates ont soumis des centaines de fausses déclarations et soutiré 6 millions de dollars avant que le stratagème ne soit découvert. L’un des pirates a même transmis une déclaration contenant un code postal légitime, mais en inscrivant une adresse sur une fausse rue Tomato.
AILLEURS SUR INFO : Le ministre Carmant somme la grande patronne de la DPJ de démissionner
Informé des résultats de l’enquête menée par CBC/Radio-Canada, le fiscaliste André Lareau a critiqué les vulnérabilités de l’ARC dans un contexte de hausse des attaques informatiques.
Les voleurs sont entrés dans la banque et le système d’alarme ne fonctionne pas, a illustré le professeur associé de droit à l’Université Laval.
Selon nos sources, l’ARC a découvert des traces du nouveau stratagème de fraude fiscale en avril sur le web clandestin.
Des pirates informatiques s’y vantaient d’avoir des identifiants pour la transmission électronique de déclarations fournis par l’ARC à H&R Block. Essentiellement, il s’agissait de codes électroniques confidentiels utilisés par les experts de l’entreprise pour produire des déclarations au nom de leurs clients.
Une demande pour des informations concernant la firme H&R Block envoyée dans le système de messagerie cryptée Telegram.
Photo : Capture d’écran
L’ARC s’est plus tard rendu compte qu’elle avait effectué plusieurs faux remboursements à des contribuables qui n’avaient aucun lien entre eux… mais qui partageaient le même compte bancaire.
Les vérificateurs de l’ARC ont mis fin au stratagème alors que les malfaiteurs avaient obtenu 6 millions de dollars en remboursement, et fait des demandes supplémentaires pour 14 millions de dollars.
Radio-Canada et The Fifth Estate ont accordé la confidentialité à des sources qui ne sont pas autorisées à parler publiquement de ces dossiers.
Une fuite non divulguée
Dans une réponse écrite, H&R Block a déclaré qu’il n’y avait aucune indication que la fuite provenait de ses systèmes informatiques.
La compagnie a déclaré qu’une enquête interne approfondie avait conclu qu’en aucun cas ses données, ses systèmes, ses logiciels et ses mesures de sécurité n’avaient été compromis.
La firme H&R Block affirme que la fuite de données ne provient pas de ses systèmes.
Photo : Radio-Canada / Jocelyn Boissonneault
H&R Block a ajouté qu’il n’y avait aucune indication que ses propres clients faisaient partie des contribuables touchés par la fuite.
Des sources affirment que l’ARC a préparé des lignes de presse au printemps pour être prête à répondre aux demandes de renseignements sur ce stratagème, en plus d’informer le cabinet de la ministre du Revenu.
Le public canadien, toutefois, n’a pas été informé proactivement de la situation.
La ministre du Revenu national, Marie-Claude Bibeau, a refusé la demande d’entrevue de CBC/Radio-Canada sur cette question.
Le bureau de la ministre du Revenu national, Marie-Claude Bibeau, aurait été informé au printemps du stratagème frauduleux qui a coûté des millions de dollars aux contribuables.
Photo : La Presse canadienne / Justin Tang
Des sources ont déclaré que l’ARC n’avait pas réussi à identifier les pirates informatiques, mais avait exclu la possibilité d’une violation de ses propres systèmes ou d’une implication interne.
L’identité et la provenance des auteurs du stratagème demeurent donc inconnues.
Augmentation massive des violations signalées
Dans une série de rapports annuels présentés au Parlement, le Commissariat à la protection de la vie privée n’a signalé qu’un total de 113 atteintes à la vie privée au sein de l’ARC au cours des exercices financiers de 2020 à 2024.
En réponse aux questions de CBC/Radio-Canada, l’ARC admet maintenant avoir été victime de 31 468 atteintes à la vie privée entre mars 2020 et décembre 2023, qui ont touché directement 62 000 contribuables canadiens.
Selon nos sources, plusieurs vérificateurs et enquêteurs craignent que le public ne perde confiance envers l’agence fédérale responsable de protéger l’argent et les renseignements personnels des contribuables.
Aux yeux du fiscaliste André Lareau, un comité parlementaire devrait lancer une étude pour déterminer l’ampleur du problème et obtenir des réponses de l’ARC et de la ministre responsable.
Ils devraient dire exactement ce qui s’est passé et combien d’argent est en jeu, a-t-il déclaré.
André Lareau, professeur associé à la faculté de droit de l’Université Laval
Photo : Radio-Canada / Mathieu Potvin
Le député conservateur Pierre Paul-Hus dénonce le silence du gouvernement.
Ils ont caché l’information au public et aux parlementaires, dit-il en entrevue. On doit savoir ce qui s’est passé à l’Agence du revenu du Canada et surtout pourquoi ils ont caché l’information aux Canadiens.
Le Commissariat à la protection de la vie privée a défendu la décision de ne pas divulguer l’augmentation massive des atteintes à la vie privée dans son rapport annuel au Parlement déposé en juin.
Le Commissariat a expliqué que l’ARC avait envoyé les informations sur la hausse du nombre de cas après la fin de l’exercice financier 2023-2024, et que ces nouveaux cas feront partie du prochain rapport annuel.
Le commissaire Philippe Dufresne a refusé une demande d’entrevue sur la question.
Pour sa part, l’ARC a déclaré qu’elle avait signalé les 31 468 atteintes à la vie privée de manière rétroactive, après qu’elles aient fait l’objet d’enquêtes et été confirmées.
En réponse aux questions de The Fifth Estate et de Radio-Canada, l’agence a déclaré avoir remarqué une augmentation marquée des violations de données externes et des cybermenaces où des tiers non autorisés ont accédé aux comptes de Canadiens, modifié les informations de dépôt direct, soumis des feuillets de renseignements fiscaux frauduleux et produit de fausses déclarations de revenus.
Un stratagème fiscal a permis à des pirates informatiques de soutirer plus de 6 millions de dollars au fisc cette année.
Photo : Radio-Canada / Yosri Mimouna
L’ARC a déclaré que les contribuables sont informés directement lorsqu’une violation se produit, qu’ils bénéficient d’une protection du crédit au besoin et qu’elle prend très au sérieux la protection des renseignements fiscaux des Canadiens.
L’ARC n’a pas expliqué comment et quand elle a appris pour la première fois que le nombre d’atteintes à la vie privée était nettement supérieur aux chiffres fournis au Parlement.
En réponse à nos questions, l’ARC a affirmé avoir émis des paiements d’une valeur totale de 190 millions $ en lien avec des cas confirmés de fraude liés à des atteintes à la vie privée depuis 2020.
La majorité de ces montants ont été accordés en 2020, au début de la pandémie de la COVID-19. Les montants ont depuis connu une forte réduction, indique l’agence.
L’ARC ajoute avoir transmis un total de 3 millions de dollars à des fraudeurs en 2024, un montant inférieur aux sommes qui auraient été perdues en lien avec le stratagème basé sur les données de H&R Block. Selon nos sources toutefois, l’ARC doit encore procéder à l’évaluation de plusieurs dossiers suspects qui ne sont pas encore considérés comme des cas confirmés de fraude.
H&R Block : loin d’être une exception
Selon des sources, des fraudes récentes illustrent à quel point l’ARC est débordée, sous-financée et déjouée par des pirates informatiques et des escrocs qui profitent d’une incapacité à détecter une multitude de fraudes fiscales.
L’ARC vit avec les conséquences de sa politique qui vise à traiter les demandes de remboursement et à poser des questions plus tard, indiquent des sources.
André Lareau explique que l’ARC est fière de son image d’agence efficace qui traite les dossiers des contribuables le plus rapidement possible.
Cette approche créerait néanmoins des failles qui permettent à des fraudeurs de prospérer, ont déclaré des sources à The Fifth Estate et à Radio-Canada.
Des sources affirment que l’ARC ne partage pas toujours des informations clés avec les institutions financières, même lorsqu’elle soupçonne des fraudeurs d’utiliser l’un de leurs comptes bancaires.
Les bureaux principaux de l’Agence du revenu du Canada au centre-ville d’Ottawa.
Photo : Radio-Canada / Félix Desroches Des sources ont ajouté que l’agence s’inquiète également du fait qu’un manque de communication interne ralentissait la chasse aux pirates.
L’ARC a déclaré que la forte augmentation des violations d’informations privées remonte à 2020 et à l’introduction de nouvelles prestations d’urgence liées à la COVID-19. L’agence a déclaré avoir réagi en offrant une meilleure protection aux comptes des contribuables individuels et en protégeant ses services en ligne.
Dans sa déclaration écrite, l’ARC a souligné que des processus et des procédures sont en place pour réagir rapidement et atténuer les menaces envers les renseignements et les comptes des contribuables en cas de violation.
À mesure que les fraudeurs adaptent leurs pratiques, l’ARC fait de même, a déclaré une porte-parole de l’agence, Kim Thiffault.
