Piratage massif d’informations fiscales à l’ARC

Durant la saison des impôts 2024, des fraudeurs ont accédé à des informations confidentielles de l’Agence du revenu du Canada (ARC), touchant des dizaines de milliers de Canadiens. Une enquête conjointe de Radio-Canada et CBC a révélé que des codes électroniques utilisés pour préparer des déclarations d’impôts avaient été compromis par des cyberpirates qui ont ainsi pu détourner plusieurs millions de dollars.

Les pirates ont visé des comptes fiscaux de contribuables en utilisant des identifiants de la compagnie H&R Block Canada. Ce faisant, ils ont pu accéder aux informations bancaires de certains comptes et les modifier. Grâce à ce procédé, ils ont pu déposer des centaines de fausses déclarations et détourner ainsi 6 millions de dollars (M$) avant que la fraude ne soit découverte. L’ARC a ensuite repéré plusieurs remboursements frauduleux associés à des comptes bancaires partagés entre différentes victimes. Plusieurs remboursements avaient été envoyés à la même adresse.

Une enquête interne de H&R Block Canada n’a révélé aucune violation de sécurité dans ses bases de données. De son côté, l’ARC n’a pas encore réussi à identifier les responsables, mais l’agence a exclu une faille de sécurité dans ses propres infrastructures et a écarté toute implication interne.

Depuis 2020, le Commissariat à la protection de la vie privée a signalé 113 incidents de sécurité à l’ARC dans ses rapports annuels au Parlement. Cependant, l’ARC a révélé d’autres chiffres à CBC/Radio-Canada laissant croire que cette fraude n’était que la pointe de l’iceberg. De mars 2020 à décembre 2023, l’agence a enregistré 31 468 violations de la vie privée, touchant directement 62 000 contribuables. Au total, l’ARC estime que des paiements frauduleux totalisant 190 M$ ont été effectués en raison de failles de sécurité bien plus que les 3 M$ annoncés en 2024.

L’ARC attribue notamment l’augmentation de ces incidents à une vague d’attaques ciblant les prestations d’urgence liées à la COVID-19, mises en place en 2020. À la suite de ces fraudes, le fisc canadien affirme avoir renforcé la sécurité de ses services en ligne et proposé des solutions de protection de crédit aux victimes.

Ces incidents récents mettent en lumière des faiblesses dans la gestion des remboursements à l’ARC. Selon des sources citées par Radio-Canada, l’ARC traiterait d’abord les demandes de remboursement avant de poser des questions. Cette politique qui vise à accélérer le traitement des dossiers créerait des brèches de sécurité que les criminels peuvent exploiter.

Par ailleurs, le fait que l’ARC ne partage pas systématiquement les informations sur les transactions suspectes avec les institutions financières complique l’identification et la suspension des comptes frauduleux, selon des sources.

Les failles de sécurité à l’ARC ne datent pas d’hier. En août 2020, l’agence avait dû suspendre temporairement ses services en ligne après que 5 500 comptes ont été compromis lors d’une cyberattaque. En mars 2021, environ 800 000 comptes avaient été suspendus de façon préventive après la découverte d’une fuite d’identifiants personnels.