Cybersécurité

Résumé

Un seul compte pour accéder aux services en ligne du gouvernement du Québec en toute sécurité

7 octobre 2024 à 14h55

|800x533.3333333333334

Contenu commandité | Gouvernement du Québec

En ce mois de la sensibilisation à la cybersécurité, les Québécoises et Québécois sont invités à adhérer au Service d’authentification gouvernementale, la nouvelle solution pour accéder sécuritairement à certains services en ligne du gouvernement du Québec.


Il n’aura jamais été aussi simple, rapide et sécuritaire pour les citoyennes et citoyens de valider leur identité. En effet, le Service d’authentification gouvernementale est convivial et répond à d es exigences de sécurité rehaussées pour assurer une protection accrue des renseignements personnels et des données détenues par le gouvernement du Québec .

Un accès, plusieurs services

Lancé à la fin de l’année 2022, le Service d’authentification gouvernementale permet déjà la connexion avec un seul compte, à plusieurs services, dont SAAQclic, le service en ligne de la Société de l’assurance automobile du Québec, ainsi que les services en ligne de la Régie de l’assurance maladie du Québec.À terme, tous les services en ligne du gouvernement du Québec demandant une authentification sécurisée utiliseront cette solution. Votre compte sera donc votre porte d’entrée vers tous ces services en ligne! Plus il y aura de services qui utiliseront le Service d’authentification gouvernementale, plus il vous sera utile d’avoir déjà créé votre compte. Notez toutefois que les modes d’acc ès traditionnels aux services seront maintenus.

Un service sécuritaire

La sécurité des renseignements personnels est une priorité pour l’État. Cet aspect a été intégré au Service d’authentification gouvernementale dès sa conception pour assurer la sécurité et la confidentialité des données des citoyennes et citoyens. Dans cette optique, de nombreux mécanismes de sécurité robustes ont été mis en place dans le service. Une surveillance en temps réel 24h/24, 7 j/7 assure la détection et la prise en charge immédiate de tout événement qui pourrait menacer la sécurité de l’information. Les citoyennes et citoyens préoccupés par ces questions sont invités à consulter la Politique de confidentialité du Service d’authentification gouvernementale qui explique tout ce qu’il faut savoir en lien avec la gestion des renseignements personnels.

Par ailleurs, bien que le Service d’authentification gouvernementale remplace graduellement les solutions d’authentification actuellement utilisées par les différents services en ligne du gouvernement, les autres solutions d’authentification déjà utilisées demeurent sécuritaires durant cette période de transition.

Créez votre compte dès maintenant

Pour rendre sécuritaire la création d’un compte au Service d’authentification gouvernementale et protéger vos renseignements personnels, quatre informations clés sont requises pour vérifier votre id entité. Vous devrez avoir en main votre numéro d’assurance maladie, votre numéro d’assurance sociale, votre numéro d’avis de cotisation ainsi que le numéro de référence de votre permis de conduire ou de votre carte d’assurance maladie. Avec ces quatre documents en main, l’inscription ne prendra pas plus de 10 minutes de votre temps. Nul besoin d’attendre de devoir utiliser un service en ligne en particulier pour vous inscrire : vous pouvez créer votre compte au Service d’authentification gouvernementale en tout temps. Une fois votre compte crée, vous n’aurez pas à en refaire un pour accéder aux services en ligne qui utiliseront prochainement le Service d’authentification gouvernementale. Vous pourrez simplement vous connecter à votre compte existant pour prouver votre identité et accéder aux services désirés en toute sécurité.

Le gouvernement du Québec invite les citoyennes et citoyens à créer leur compte dès maintenant. C’est simple, rapide et sécuritaire et vous serez ainsi prêt à l’utiliser lors de votre prochaine transaction avec les services gouvernementaux qui vous touchent.

En cas de doute, il est préférable de raccrocher et de contacter soi-même son institution financière au numéro indiqué à l’endos de sa carte.

Jean-Benoît Turcotti, porte-parole de Desjardins

« Il ne faut pas rappeler le numéro qui est donné par la personne qui communique avec nous et ne pas se fier à son afficheur », ajoute le porte-parole de Desjardins. Peu importe la variante, ces arnaques exploitent toutes les mêmes « trois parties » qu’il faut apprendre à reconnaître, recommande le lieutenant Benoît Richard, de la Sûreté du Québec :

« Premièrement, on vous fait croire que vous, ou quelqu’un de votre entourage, êtes à risque de quelque chose. Deuxièmement, on vous fait croire qu’il faut prendre une action immédiate. Et troisièmement, que ça nécessite une action de votre part, et pas de la leur », résume-t-il.

« Ils le font en utilisant les mêmes gestes, les mêmes mots que les institutions financières. Et ils le font vraiment très bien », ajoute le policier.

La seule bonne nouvelle, si tant est que c’en soit une, c’est que l’utilisateur peut aller dans les réglages de son téléviseur et désactiver le suivi publicitaire. À partir de là, les téléviseurs cessent d’analyser de façon périodique le contenu affiché à leur écran.

Autre trouvaille positive – mais peut-être pas si surprenante – révélée par l’étude : les téléviseurs connectés captent moins d’images là où la loi protège davantage la vie privée.

Les chercheurs universitaires ne manquent d’ailleurs pas de soulever des inquiétudes relatives au respect de la vie privée des propriétaires de téléviseurs connectés.

Résumé

Des dizaines de milliers de contribuables canadiens piratés, des millions envolés

Le nombre réel de cyberattaques est bien plus élevé que ce qui a été rapporté au Parlement.

Des failles dans les systèmes de l’Agence du revenu du Canada ont permis à des fraudeurs de soutirer des millions au fisc canadien.

Photo : Radio-Canada

Publié à 4 h 00 HAE

Écouter l’article | 8 minutes

La version audio de cet article est générée par la synthèse vocale, une technologie basée sur l’intelligence artificielle.

En pleine saison des impôts 2024, l’Agence du revenu du Canada (ARC) a découvert que des fraudeurs avaient mis la main sur des informations confidentielles utilisées par H&R Block Canada, une firme qui produit des millions de déclarations fiscales chaque année.

Grâce à des codes destinés aux préparateurs fiscaux, ces imposteurs ont pris le contrôle du compte fiscal de centaines de contribuables, pour y changer notamment le compte bancaire au dossier.

Selon une enquête menée par l’émission The Fifth Estate de CBC et par Radio-Canada, ces pirates ont soumis des centaines de fausses déclarations et soutiré 6 millions de dollars avant que le stratagème ne soit découvert. L’un des pirates a même transmis une déclaration contenant un code postal légitime, mais en inscrivant une adresse sur une fausse rue Tomato.

AILLEURS SUR INFO : Le ministre Carmant somme la grande patronne de la DPJ de démissionner

Informé des résultats de l’enquête menée par CBC/Radio-Canada, le fiscaliste André Lareau a critiqué les vulnérabilités de l’ARC dans un contexte de hausse des attaques informatiques.

Les voleurs sont entrés dans la banque et le système d’alarme ne fonctionne pas, a illustré le professeur associé de droit à l’Université Laval.

Selon nos sources, l’ARC a découvert des traces du nouveau stratagème de fraude fiscale en avril sur le web clandestin.

Des pirates informatiques s’y vantaient d’avoir des identifiants pour la transmission électronique de déclarations fournis par l’ARC à H&R Block. Essentiellement, il s’agissait de codes électroniques confidentiels utilisés par les experts de l’entreprise pour produire des déclarations au nom de leurs clients.

Une demande pour des informations concernant la firme H&R Block envoyée dans le système de messagerie cryptée Telegram.

Photo : Capture d’écran

L’ARC s’est plus tard rendu compte qu’elle avait effectué plusieurs faux remboursements à des contribuables qui n’avaient aucun lien entre eux… mais qui partageaient le même compte bancaire.

Les vérificateurs de l’ARC ont mis fin au stratagème alors que les malfaiteurs avaient obtenu 6 millions de dollars en remboursement, et fait des demandes supplémentaires pour 14 millions de dollars.

Radio-Canada et The Fifth Estate ont accordé la confidentialité à des sources qui ne sont pas autorisées à parler publiquement de ces dossiers.

Une fuite non divulguée

Dans une réponse écrite, H&R Block a déclaré qu’il n’y avait aucune indication que la fuite provenait de ses systèmes informatiques.

La compagnie a déclaré qu’une enquête interne approfondie avait conclu qu’en aucun cas ses données, ses systèmes, ses logiciels et ses mesures de sécurité n’avaient été compromis.

La firme H&R Block affirme que la fuite de données ne provient pas de ses systèmes.

Photo : Radio-Canada / Jocelyn Boissonneault

H&R Block a ajouté qu’il n’y avait aucune indication que ses propres clients faisaient partie des contribuables touchés par la fuite.

Des sources affirment que l’ARC a préparé des lignes de presse au printemps pour être prête à répondre aux demandes de renseignements sur ce stratagème, en plus d’informer le cabinet de la ministre du Revenu.

Le public canadien, toutefois, n’a pas été informé proactivement de la situation.

La ministre du Revenu national​​, Marie-Claude Bibeau, a refusé la demande d’entrevue de CBC/Radio-Canada sur cette question.

Le bureau de la ministre du Revenu national, Marie-Claude Bibeau, aurait été informé au printemps du stratagème frauduleux qui a coûté des millions de dollars aux contribuables.

Photo : La Presse canadienne / Justin Tang

Des sources ont déclaré que l’ARC n’avait pas réussi à identifier les pirates informatiques, mais avait exclu la possibilité d’une violation de ses propres systèmes ou d’une implication interne.

L’identité et la provenance des auteurs du stratagème demeurent donc inconnues.

Augmentation massive des violations signalées

Dans une série de rapports annuels présentés au Parlement, le Commissariat à la protection de la vie privée n’a signalé qu’un total de 113 atteintes à la vie privée au sein de l’ARC au cours des exercices financiers de 2020 à 2024.

En réponse aux questions de CBC/Radio-Canada, l’ARC admet maintenant avoir été victime de 31 468 atteintes à la vie privée entre mars 2020 et décembre 2023, qui ont touché directement 62 000 contribuables canadiens.

Selon nos sources, plusieurs vérificateurs et enquêteurs craignent que le public ne perde confiance envers l’agence fédérale responsable de protéger l’argent et les renseignements personnels des contribuables.

Aux yeux du fiscaliste André Lareau, un comité parlementaire devrait lancer une étude pour déterminer l’ampleur du problème et obtenir des réponses de l’ARC et de la ministre responsable.

Ils devraient dire exactement ce qui s’est passé et combien d’argent est en jeu, a-t-il déclaré.

André Lareau, professeur associé à la faculté de droit de l’Université Laval

Photo : Radio-Canada / Mathieu Potvin

Le député conservateur Pierre Paul-Hus dénonce le silence du gouvernement.

Ils ont caché l’information au public et aux parlementaires, dit-il en entrevue. On doit savoir ce qui s’est passé à l’Agence du revenu du Canada et surtout pourquoi ils ont caché l’information aux Canadiens.

Le Commissariat à la protection de la vie privée a défendu la décision de ne pas divulguer l’augmentation massive des atteintes à la vie privée dans son rapport annuel au Parlement déposé en juin.

Le Commissariat a expliqué que l’ARC avait envoyé les informations sur la hausse du nombre de cas après la fin de l’exercice financier 2023-2024, et que ces nouveaux cas feront partie du prochain rapport annuel.

Le commissaire Philippe Dufresne a refusé une demande d’entrevue sur la question.

Pour sa part, l’ARC a déclaré qu’elle avait signalé les 31 468 atteintes à la vie privée de manière rétroactive, après qu’elles aient fait l’objet d’enquêtes et été confirmées.

En réponse aux questions de The Fifth Estate et de Radio-Canada, l’agence a déclaré avoir remarqué une augmentation marquée des violations de données externes et des cybermenaces où des tiers non autorisés ont accédé aux comptes de Canadiens, modifié les informations de dépôt direct, soumis des feuillets de renseignements fiscaux frauduleux et produit de fausses déclarations de revenus.

Un stratagème fiscal a permis à des pirates informatiques de soutirer plus de 6 millions de dollars au fisc cette année.

Photo : Radio-Canada / Yosri Mimouna

L’ARC a déclaré que les contribuables sont informés directement lorsqu’une violation se produit, qu’ils bénéficient d’une protection du crédit au besoin et qu’elle prend très au sérieux la protection des renseignements fiscaux des Canadiens.

L’ARC n’a pas expliqué comment et quand elle a appris pour la première fois que le nombre d’atteintes à la vie privée était nettement supérieur aux chiffres fournis au Parlement.

En réponse à nos questions, l’ARC a affirmé avoir émis des paiements d’une valeur totale de 190 millions $ en lien avec des cas confirmés de fraude liés à des atteintes à la vie privée depuis 2020.

La majorité de ces montants ont été accordés en 2020, au début de la pandémie de la COVID-19. Les montants ont depuis connu une forte réduction, indique l’agence.

L’ARC ajoute avoir transmis un total de 3 millions de dollars à des fraudeurs en 2024, un montant inférieur aux sommes qui auraient été perdues en lien avec le stratagème basé sur les données de H&R Block. Selon nos sources toutefois, l’ARC doit encore procéder à l’évaluation de plusieurs dossiers suspects qui ne sont pas encore considérés comme des cas confirmés de fraude.

H&R Block : loin d’être une exception

Selon des sources, des fraudes récentes illustrent à quel point l’ARC est débordée, sous-financée et déjouée par des pirates informatiques et des escrocs qui profitent d’une incapacité à détecter une multitude de fraudes fiscales.

L’ARC vit avec les conséquences de sa politique qui vise à traiter les demandes de remboursement et à poser des questions plus tard, indiquent des sources.

André Lareau explique que l’ARC est fière de son image d’agence efficace qui traite les dossiers des contribuables le plus rapidement possible.

Cette approche créerait néanmoins des failles qui permettent à des fraudeurs de prospérer, ont déclaré des sources à The Fifth Estate et à Radio-Canada.

Des sources affirment que l’ARC ne partage pas toujours des informations clés avec les institutions financières, même lorsqu’elle soupçonne des fraudeurs d’utiliser l’un de leurs comptes bancaires.

Les bureaux principaux de l’Agence du revenu du Canada au centre-ville d’Ottawa.

Photo : Radio-Canada / Félix Desroches Des sources ont ajouté que l’agence s’inquiète également du fait qu’un manque de communication interne ralentissait la chasse aux pirates.

L’ARC a déclaré que la forte augmentation des violations d’informations privées remonte à 2020 et à l’introduction de nouvelles prestations d’urgence liées à la COVID-19. L’agence a déclaré avoir réagi en offrant une meilleure protection aux comptes des contribuables individuels et en protégeant ses services en ligne.

Dans sa déclaration écrite, l’ARC a souligné que des processus et des procédures sont en place pour réagir rapidement et atténuer les menaces envers les renseignements et les comptes des contribuables en cas de violation.

À mesure que les fraudeurs adaptent leurs pratiques, l’ARC fait de même, a déclaré une porte-parole de l’agence, Kim Thiffault.


Daniel Leblanc

Nouveau projet de loi

Ce double standard risque cependant d’être éliminé par le projet de loi 72, actuellement à l’étude à l’Assemblée nationale. Une série d’amendements à la Loi sur la protection du consommateur prévoient justement de limiter la responsabilité des consommateurs à 50 $ en cas de transaction non autorisée frauduleuse.

Le fait d’obtenir les codes par supercherie, ce n’est pas une transaction autorisée.

Simon Jolin-Barrette, ministre de la Justice, lors de l’étude détaillée du projet de loi

Si des « indices probants » d’une fraude sont détectés, « la personne va se faire rembourser », a ajouté le ministre, en réponse à des questions posées par l’opposition.

« La démonstration d’une simple faute de la part du consommateur n’est pas suffisante » pour refuser une indemnisation en vertu du projet de loi, a précisé le cabinet du ministre en réponse à nos demandes de précision. « L’institution doit établir une faute lourde, c’est-à-dire une insouciance, une imprudence ou une négligence grossière. »

Sébastien Plourde, d’Option consommateurs, voit dans ces déclarations du ministre une intention « qui pourrait grandement aider les victimes de fraudes bancaires ».

Le Royaume-Uni resserre ses règles

Au Royaume-Uni, un nouveau cadre réglementaire sans égard à la faute, entré en vigueur le 7 octobre, oblige les institutions financières à rembourser les victimes d’une fraude bancaire dans les cinq jours, jusqu’à concurrence de 85 000 livres sterling (152 000 $). « C’est la banque qui a le fardeau de la preuve et doit démontrer ce qui s’est passé, et la simple négligence du client n’est plus suffisante comme argument », résume Simon Marchand, expert en fraude de l’entreprise de cybersécurité GeoComply. « En réaction, les banques britanniques ont investi massivement dans leurs méthodes de protection », en ajoutant notamment des mécanismes d’identification biométriques, indique-t-il. La déclaration des fraudes aux autorités est aussi devenue obligatoire pour les banques du Royaume-Uni.

Un incident à Montréal-Nord.

L’arrondissement de Montréal-Nord affecté par une intrusion dans son système informatique

Publié le 22 novembre 2024 à 12 h 22

SourceMontréal-Nord

Montréal — L’Arrondissement de Montréal-Nord annonce que ses opérations sont affectées, depuis lundi, par une intrusion dans son système informatique.

L’Arrondissement a immédiatement réagi pour contenir les effets indésirables de cette intrusion et assurer la continuité des services à la population. Ainsi, ses services sont maintenus à l’exception de l’émission de permis et du comptoir de services temporaire de la bibliothèque Yves-Ryan installé à la mairie. Le Bureau Accès Montréal, fermé depuis lundi, offre à nouveau l’entièreté de ses services.

Une firme spécialisée a été embauchée pour procéder à une enquête afin d’identifier les sources de l´intrusion. Avec le soutien de cette firme et de la Ville, les ressources spécialisées de l’Arrondissement sont mobilisées en vue d’un retour à la normale de l’ensemble des opérations dans les meilleurs délais.

L’Arrondissement a déposé une plainte officielle auprès du SPVM. Pour s’assurer de transmettre des informations fiables et vérifiées, il ne fera aucune autre déclaration à ce sujet avant de recevoir les résultats de l’enquête en cours.

Répondre aux appels frauduleux confirme que votre numéro de téléphone est actif. Ça donne l’occasion aux fraudeurs de vous vendre leur histoire et de vous inciter à devenir victime de fraude.

1 Like

La police de Toronto met la population en garde contre des fraudeurs qui téléphonent aux gens en se faisant passer pour ses agents.

Le numéro affiché, le 416-808-5200, est bien celui de la division 52 de la police de Toronto, mais il s’agit en fait d’une usurpation de numéro.

Le Service de police de Toronto rappelle au public que, si vous recevez un appel téléphonique d’une personne qui dit être un policier, obtenez son nom et son numéro de matricule, puis rappelez directement la police pour confirmer s’il s’agit d’un appel légitime.

Une citation de Communiqué de la police de Toronto

Selon la Loi sur la protection des renseignements personnels dans le secteur privé (ou Loi sur le privé), les organismes publics et les entreprises privées qui recueillent des « renseignements personnels sensibles » doivent s’assurer que cette collecte est « nécessaire ».

Me Guilmain souligne que l’employeur avait obtenu le consentement des employés pour collecter leurs données biométriques.

C’est un autre rappel de la Commission : obtenir un consentement ne change rien au critère de nécessité.

Me Antoine Guilmain, codirecteur du groupe de pratique national Cybersécurité et protection des données au cabinet Gowling WLG

Patrick s’empresse alors d’aviser un ami à qui il avait suggéré d’investir sur la plateforme. Cet ami aura aussi finalement tout perdu, soit environ 10 000 $ canadiens.

Plusieurs personnes étaient prêtes à mettre tout l’argent qu’ils ont amassé, l’argent de leur retraite. C’est pourquoi je viens vous rencontrer, a-t-il dit à Radio-Canada, pour empêcher que des gens perdent tout [en faisant affaire] avec des personnes qui sont peut-être en train d’arnaquer du monde.

Patrick précise aussi qu’une personne de son entourage était même prête à investir près de 200 000 $.

L’Autorité des marchés financiers confirme avoir reçu une plainte concernant MarketsCo à la fin du mois de janvier.

On est en train de regarder ça de très près […], elle n’a pas le permis ni l’autorisation pour pouvoir opérer sur le territoire québécois, affirme Sylvain Théberge.

L’Autorité des marchés financiers a publié lundi une mise en garde concernant les activités de MarketsCo.

Photo : Capture d’écran : lautorite.qc.ca

Celui-ci rappelle que chaque investisseur doit s’informer auprès de l’AMF avant de mettre leur argent dans une entreprise qu’il ne connaît pas. Il est possible de contacter directement un agent de l’Autorité des marchés financiers ou d’aller sur leur site web pour consulter le registre des personnes autorisées.

“Le fait qu’une entreprise ne soit pas enregistrée auprès de l’AMF, dépendamment évidemment de la nature du problème qui pourrait arriver, vous n’avez aucun recours, vous n’avez pas accès au fonds d’indemnisation de l’autorité. C’est vraiment une démarche très importante, primordiale, pour vous assurer que cette entreprise est enregistrée chez nous, mais que vous pouvez faire affaire avec cette entreprise en toute confiance”, ajoute Sylvain Théberge.

C’est complètement illogique. Il n’y a aucun argent à aller chercher. [La somme d]’argent, elle est déjà disparue, elle est déjà assimilée par les criminels, il n’y a pas de recours.

Une citation de Éric Parent, spécialiste en cybersécurité