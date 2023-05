Le juge Mounsey vit un cauchemar financier, luttant contre une attaque constante de voleurs d’identité demandant des cartes de crédit, des prêts et plus encore sous son nom après que des pirates ont mis la main sur ses informations personnelles sur un site Web gouvernemental il y a trois ans.

Et comme si cela ne suffisait pas, ce même ministère oblige l’homme de Toronto à blanchir son nom encore et encore.

Les renseignements personnels et financiers de milliers de contribuables, y compris leurs numéros de compte bancaire et d’assurance sociale, se sont retrouvés entre de mauvaises mains après que l’Agence du revenu du Canada (ARC) et d’autres services gouvernementaux les sites Web ont été piratés au printemps ou à l’été 2020.

Depuis lors, les fraudeurs ont tenté d’accéder au crédit et aux avantages sous le nom de Mounsey au moins 18 fois.

Il a dû faire face à des demandes frauduleuses de carte de crédit et de compte bancaire, à des paiements automatiques à une entreprise de services publics – et à quatre demandes d’assurance-emploi plus une demande CERB totalisant environ 40 000 $.

La partie la plus frustrante, dit-il, est de faire face aux demandes du gouvernement de payer des milliers de dollars en impôts et en intérêts, liés à ces demandes d’assurance-emploi.

« Ils ne cessent de demander de plus en plus d’argent », a déclaré Mounsey à Go Public. « Je suis la victime ici. C’est leur protocole de sécurité qui a échoué, mais je dois ramasser tous les morceaux. »

REGARDER | Se battre pour laver son nom :

Mounsey fait partie d’un recours collectif, certifié l’année dernière devant un tribunal fédéral, qui prétend que des « échecs opérationnels » du gouvernement ont permis aux pirates d’accéder aux informations.

Le gouvernement n’a pas commenté la poursuite, mais a déclaré que la cyberattaque reposait sur le « credential stuffing » – l’utilisation d’identifiants et de mots de passe volés pour accéder à d’autres sites Web et applications – et a exhorté les Canadiens à éviter de réutiliser les mots de passe. Certains y ont vu une tentative de rejeter la responsabilité de la fuite sur ses victimes.

Selon des documents judiciaires, les pirates se sont connectés avec succès à au moins 48 110 comptes de l’ARC. Ils ont ensuite modifié les informations bancaires de dépôt direct sur 12 700 comptes de contribuables et ont frauduleusement demandé des prestations CERB. Mounsey est l’un d’entre eux.

« En fin de compte, vous avez un Canadien qui a été victime d’une cyberattaque », a déclaré Ritesh Kotak, analyste en sécurité et avocat en technologie.

« Le fait qu’un individu doive passer par tant d’obstacles différents, traiter avec tant d’agences différentes et passer des centaines d’heures pour faire face à cette situation est tout simplement inapproprié. »

L’ARC a finalement reconnu que les renseignements de Mounsey avaient été volés, mais exige néanmoins qu’il paie les impôts et les intérêts liés aux fausses réclamations faites par les fraudeurs. (Chris Wattie/Reuters)

Mounsey a appris la cyberattaque pour la première fois à l’été 2020, par l’intermédiaire de l’amie de sa femme, qui avait découvert que son compte de l’ARC avait été piraté.

Lorsqu’il s’est connecté, il a remarqué que ses informations de dépôt direct avaient été modifiées. Il s’est inscrit à un service de surveillance du crédit et d’alerte à la fraude et a communiqué avec Equifax, TransUnion, l’ARC et le Centre antifraude pour demander qu’un indicateur soit apposé sur ses comptes.

L’ARC menace de poursuites judiciaires

Il a fallu deux ans et demi avant que l’ARC n’informe officiellement Mounsey qu’il était peut-être victime du piratage. À ce moment-là, il avait dû faire face à un flot d’activités frauduleuses.

Une lettre de l’ARC datée du 4 octobre 2022 indiquait qu’« une personne non autorisée » avait peut-être accédé à son compte et modifié ses informations de dépôt direct le 27 mai 2020. Elle offrait un abonnement de cinq ans au système d’alerte de crédit en ligne de TransUnion. Mounsey dit qu’il a essayé de s’inscrire, mais le lien n’a pas fonctionné, et il avait lui-même mis en place un service de détection de fraude de crédit des années plus tôt.

« Quand j’ai reçu cette lettre [I thought] OK, c’est un aveu que oui, mon compte est compromis. Alors mon processus de pensée est comme, ‘enfin quelqu’un comprend et je ne recevrai plus d’avis qu’il cherche de l’argent. Ils veulent me soutenir' », a-t-il déclaré.

Mais la lettre ne disait rien sur le fait de ne pas poursuivre Mounsey pour de l’argent et, sous le termes et conditions sur son site Web, l’ARC indique qu’elle n’est pas responsable des dommages causés aux contribuables liés aux « violations de la sécurité des données ».

L’avocat et analyste en cybersécurité Ritesh Kotak affirme que le gouvernement n’a pas offert les bonnes mesures de soutien aux Canadiens pris dans le piratage du site Web de l’ARC (Keith Whelan/CBC)

L’optimisme de Mounsey qu’il obtiendrait enfin l’aide du gouvernement s’est rapidement estompé. En mars 2023, l’ARC a envoyé une autre lettre, exigeant qu’il paie 6 018,97 $ ou qu’il fasse face à une éventuelle action en justice pour les impôts et les frais d’intérêts liés à ces demandes frauduleuses d’assurance-emploi.

« J’étais très contrarié… Je pense que j’ai reçu peut-être quatre avis différents disant: » Hé, vous devez nous donner de l’argent… et si vous ne nous payez pas dans les prochains mois, nous allons commencer saisissant votre salaire.

« La même organisation me parlait des deux côtés dans sa bouche. » dit Mousey.

Pendant des mois, il a essayé d’éclaircir la situation – passant de l’ARC à Service Canada, s’efforçant de faire parvenir les documents qu’un ministère veut à l’autre.

Mais au lieu de travailler avec lui, Mounsey dit que les départements compliquent les choses. À un moment donné, il dit que l’ARC a fermé son dossier parce que Service Canada a mis trop de temps à annuler un relevé d’impôt.

Il a dû recommencer le processus. Tout cela malgré le fait que Service Canada ait reconnu, dans une lettre envoyée à la fin avril, que les fraudeurs peut avoir utilisé les renseignements personnels de Mounsey pour soumettre ces demandes d’assurance-emploi.

Mounsey montre la montagne de paperasse qu’il a accumulée au cours des trois dernières années face aux fraudeurs et au gouvernement. (Craig Chivers/CBC)

Go Public a demandé aux deux départements pourquoi ils n’avaient pas travaillé ensemble pour résoudre les problèmes de Mounsey. Service Canada a répondu en disant que l’Agence et l’ARC sont « deux entités distinctes avec des capacités et des responsabilités différentes ».

« Service Canada travaille en étroite collaboration avec les demandeurs pour résoudre ces problèmes liés aux demandes d’assurance-emploi frauduleuses le plus rapidement possible », a-t-il déclaré dans un courriel.

L’ARC dit à Go Public qu’elle ne peut pas commenter les situations particulières des contribuables en raison des règles de confidentialité en vertu de la Loi de l’impôt sur le revenu.

En règle générale, il est dit que dans « les cas d’incident de vol d’identité confirmé, l’ARC veillera à ce que la protection appropriée et les mesures correctives soient prises, ce qui ramènera le contribuable à une interaction transparente avec l’ARC ».

Mais Kotak, l’expert en sécurité, affirme que l’interaction de Mounsey a été tout sauf transparente.

« Je m’occupe de ces victimes tout le temps et c’est déchirant », a-t-il déclaré. « Le dentifrice est sorti du tube et le remettre n’est tout simplement pas possible. Une fois que vos informations ont été compromises, il est très difficile de guérir quelqu’un… c’est très difficile, voire impossible dans certains cas. »

« Confiance et sécurité »

L’ARC affirme avoir amélioré la sécurité de son site Web depuis les piratages, notamment en ajoutant une authentification multifacteur obligatoire et en révoquant de manière proactive les identifiants et les mots de passe des utilisateurs qui auraient pu être volés ailleurs. « Les Canadiens peuvent utiliser les services en ligne de l’ARC en toute confiance et en toute sécurité », indique-t-il.

Mais Tanya Janca, PDG et fondatrice de la société de cybersécurité We Hack Purple, affirme que le site manque encore de mesures de sécurité de base.

L’experte en cybersécurité Tanya Janca affirme que le site de l’ARC manque toujours de protections de base et craint que les données des contribuables ne soient menacées. (Google Meet)

D’une part, dit-elle, il n’a pas d’en-têtes de sécurité – une fonctionnalité qui configure les navigateurs des utilisateurs pour utiliser les paramètres de défense lorsqu’ils sont sur le site Web – et qui sont requis par la politique de sécurité du gouvernement fédéral.

Lorsque Go Public a posé des questions sur le manque d’en-têtes, l’ARC n’a pas répondu.

Elle est également préoccupée par les termes et conditions du site, affirmant que le ministère fédéral renonce à toute responsabilité si les comptes sont piratés, car les contribuables n’ont pas le choix de partager leurs informations sensibles avec l’agence.

Ces termes et conditions stipulent qu’il existe une « faible possibilité de violation de la sécurité des données » et que l’ARC n’est « pas responsable des dommages ». vous pourriez ressentir en conséquence. »

L’ARC a déclaré à Go Public que la clause de non-responsabilité « garantit que les contribuables comprennent leur rôle dans la protection de leurs informations privées », ajoutant que de telles clauses de non-responsabilité se trouvent couramment sur toutes sortes de sites Web bancaires et gouvernementaux.

Et après?

Près de trois ans après la cyberattaque, Mounsey dit que son crédit est foiré et il s’inquiète de ce à quoi il devra faire face ensuite.

« [I need to do] tout ce que je peux faire pour m’assurer qu’ils ne me prennent pas plus d’argent et pour laver mon nom parce que personne d’autre ne semble m’aider », a-t-il déclaré.

« J’ai travaillé avec tant de personnes différentes pour essayer de rectifier cela, mais je reçois des messages différents de chaque organisation… Ce serait formidable s’ils se parlaient au lieu de me faire porter toute la responsabilité… C’était vraiment un cauchemar . »

Il travaille maintenant avec Service Canada pour obtenir un nouveau numéro d’assurance sociale, mais dit qu’il n’est pas certain de l’utilité de ce numéro puisqu’il est toujours responsable de tout ce qui se passe avec l’ancien.