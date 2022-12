C’était une journée tranquille de janvier 2020 lorsque le directeur général d’une municipalité rurale du sud-ouest du Manitoba a remarqué une série de retraits d’espèces inhabituels de son compte bancaire.

Elle a rapidement alerté son assistant, montrant comment de l’argent avait été envoyé sur plusieurs comptes bancaires que la municipalité n’avait jamais traités.

“C’était un peu comme une bousculade folle pour essayer de comprendre ce qui se passait”, a déclaré Kate Halashewski, qui était à l’époque directrice adjointe de l’administration de la municipalité de WestLake-Gladstone.

« Alors que la journée avançait et [we’re] fouiller dans la paperasse… c’est comme retrait après retrait après retrait.”

Ils ne savaient pas que pendant que les quelque 3 300 résidents de WestLake-Gladstone profitaient de la période des fêtes, la municipalité avait été victime d’une cyberattaque sophistiquée – une qui impliquait une fausse entreprise incitant plus d’une douzaine d’étudiants et de nouveaux Canadiens à agir comme intermédiaires pour soutirer à la municipalité plus de 470 000 $.

L’offre d’emploi

Tout a commencé par une offre d’emploi.

Une entreprise apparemment légitime, avec un site Web professionnel et une adresse en Nouvelle-Écosse, a affirmé qu’elle cherchait des processeurs de trésorerie.

Le contrat était d’un mois. Les employés pourraient travailler à domicile.

On leur a dit qu’ils recevraient des paiements sur leurs cartes de crédit, qu’ils devraient transférer sur leurs comptes bancaires. Ils retireraient ensuite les paiements, les convertiraient en bitcoins et les enverraient sur un autre compte.

« Cette entreprise annonçait sur un certain nombre des principaux sites Web d’emplois qu’on s’attendrait à ce que les gens recherchent un emploi », a déclaré le cap. Tarek Rabie, de l’unité des crimes financiers de la GRC.

Les transactions frauduleuses ont commencé le 19 décembre 2019, mais elles n’ont été découvertes par les responsables de la ville que le 6 janvier. (Warren Kay/CBC)

Dans une entrevue avec CBC News, Rabie a passé en revue l’enquête de la GRC sur l’attaque et a expliqué comment les escrocs ont pu réussir le cyberbraquage sans être détectés.

La majorité des 18 personnes embauchées étaient jeunes et vivaient dans diverses communautés à travers le pays. La plupart étaient de nouveaux Canadiens, a déclaré Rabie.

“Les individus seraient désignés – ce n’est pas un terme flatteur – mais comme une mule financière”, a-t-il déclaré.

Dans ce cas, les 18 “money mules” ont été considérés comme des participants involontaires, attirés vers l’entreprise en utilisant ce que Rabie a décrit comme des documents “préparés par des professionnels” créés pour les “piéger”.

Un journaliste de CBC News a vu l’entente signée par ces nouveaux employés, qui énonçait les conditions de leur travail.

Le document de quatre pages comprenait un sceau avec le nom et le numéro d’entreprise de l’entreprise, signé par le responsable du développement de l’entreprise.

Les seules exigences pour le poste étaient l’accès à Internet, un téléphone, la connaissance des services bancaires par Internet et la proximité d’une machine à bitcoins.

Toute personne effectuant une recherche sur Internet pour l’entreprise trouverait un site Web professionnel, avec des informations correspondant à ce qui était fourni dans le contrat de travail.

Des rumeurs ont commencé à circuler dans la ville selon lesquelles quelqu’un au sein de la municipalité était impliqué dans le vol – une allégation que la municipalité et la GRC nient. (Warren Kay/CBC)

L’e-mail de phishing

Début décembre 2019, les cybercriminels ont envoyé un courriel d’hameçonnage à plusieurs personnes au bureau municipal de WestLake-Gladsone, une municipalité située à environ 150 kilomètres à l’ouest de Winnipeg, sur la rive sud-ouest du lac Manitoba.

Au moins une personne a cliqué sur le lien, ce qui a permis aux pirates d’accéder aux ordinateurs et aux comptes bancaires de la municipalité.

Mais des semaines ont passé et rien ne s’est passé, donc le RM n’a pas signalé l’incident à la police. Ce n’est qu’après la disparition de l’argent que la municipalité a découvert que les deux incidents étaient liés, a déclaré Halashewski.

WestLake-Gladstone a une population d’un peu moins de 3 300 habitants et un budget municipal annuel d’environ 7 millions de dollars. Les dizaines de retraits frauduleux effectués ont totalisé 472 377 $, selon des documents judiciaires. (Warren Kay/CBC)

Rabie ne pense pas que la municipalité ait été spécifiquement ciblée, mais a eu la malchance de faire cliquer un employé sur le lien malveillant.

“La plupart d’entre eux ont tendance à être envoyés à autant d’adresses e-mail que possible, en espérant que quelqu’un clique dessus”, a-t-il déclaré.

Les escroqueries par hameçonnage envoient généralement un e-mail avec un « leurre », comme la promesse d’un prix ou l’usurpation de l’identité du gouvernement afin d’inciter quelqu’un à cliquer sur un lien.

“Une fois qu’un réseau informatique est compromis, il se propage généralement d’un ordinateur à un autre”, a déclaré Rabie.

Les documents judiciaires indiquent que le 19 décembre 2019, une personne s’est connectée au compte bancaire de la municipalité et a changé le mot de passe, ainsi que les questions de vérification personnelle.

Au cours des 17 jours suivants, les cyberattaquants ont ajouté les 18 “employés” embauchés comme bénéficiaires et ont commencé à effectuer systématiquement des retraits, en transférant l’argent sur les cartes de crédit des employés.

Des dizaines de retraits ont été effectués, totalisant 472 377 $, selon des documents judiciaires – un montant considérable pour une municipalité avec un budget annuel total de 7 millions de dollars.

Ces retraits n’ont été découverts que le 6 janvier, lorsque Halashewski a vu 48 virements bancaires – chacun de moins de 10 000 $ – aller vers des comptes inconnus.

“C’était vraiment alarmant”, a déclaré l’ancien directeur général adjoint, qui a quitté ses fonctions en juin 2021.

Kate Halashewski, ancienne directrice adjointe de WestLake-Gladstone, a déclaré que la municipalité avait découvert que l’argent manquait après les vacances. La police pense que le moment de l’attaque – lorsque le personnel était absent – n’était pas une coïncidence. (Warren Kay/CBC)

Le moment de l’attaque pendant les vacances n’était pas une coïncidence, a déclaré Rabie.

“La personne a attendu que le bureau soit vide pour initier les transactions suspectes, car sinon elle aurait été découverte plus tôt”, a-t-il expliqué.

“[It] a probablement fait preuve d’un certain degré de prévoyance et de planification.”

Une fois que le personnel s’est rendu compte que les transactions n’étaient pas autorisées, il a informé la GRC et la coopérative de crédit de la municipalité, qui ont gelé le compte et récupéré un peu moins de 50 000 $.

Où est passé l’argent

Rabie a déclaré que les 18 travailleurs avaient reçu une commission de quelques centaines de dollars pour accepter les transferts.

Il soupçonne que ce sont surtout les nouveaux arrivants au Canada qui ont accepté le poste en raison de leur « méconnaissance des procédures d’emploi canadiennes… et de leur désir d’obtenir un emploi rémunérateur ».

Une fois les transferts et la conversion initiaux terminés, le bitcoin a ensuite été envoyé sur le compte privé des escrocs – qui, selon les experts en cybersécurité, ne sont probablement pas au Canada.

Une fois que l’argent est sorti d’une institution bancaire canadienne, il devient plus difficile de le retrouver, car les fonctionnaires n’ont plus compétence pour obtenir facilement un mandat, a expliqué le Sgt. Guy Paul Larocque, du Centre antifraude du Canada de la GRC.

“Le fait que le monde soit global permet aux auteurs de cibler facilement les victimes… [from] n’importe quelle région du monde », a-t-il dit.

sergent. Guy Paul Larocque, l’agent par intérim responsable du Centre antifraude du Canada de la GRC, affirme qu’une fois que l’argent a quitté une institution bancaire canadienne, il devient plus difficile à retrouver. (GRC)

Pendant ce temps, pendant des mois, les citoyens de WestLake-Gladstone n’avaient aucune idée de la cyberattaque ou de l’argent manquant.

“Je suppose … vous espéreriez que vous pourriez trouver une raison, ou trouver où elle est allée avant de devoir le dire à quelqu’un”, a déclaré Halashewski lorsqu’on lui a posé des questions sur le retard à informer les résidents.

“Parce qu’il ne vaudrait pas mieux dire à quelqu’un : ‘Oh, eh bien, tu sais, ce truc est arrivé, mais on l’a trouvé et on l’a réparé.'”

La municipalité a finalement annoncé qu’elle avait perdu près d’un demi-million de dollars dans un communiqué de presse du 12 octobre 2020.

Il a déclaré que la municipalité était “la cible d’une violation malveillante de la cybersécurité” dans laquelle une somme d’argent “importante” a été volée sur le compte bancaire de la RM.

Poursuites intentées

Autour de la ville, le moulin à rumeurs a commencé à tourner, avec des accusations selon lesquelles quelqu’un au sein de la municipalité était impliqué – des allégations que la municipalité a démenties.

La GRC affirme qu’il n’y a aucune preuve que quiconque au sein de la communauté ait été impliqué dans l’attaque.

Dans les coulisses, une bagarre s’ensuit entre la municipalité contre son institution financière, Stride Credit Union, et son assureur, Western Financial Group.

Les deux ont refusé de couvrir la perte de WestLake-Gladstone.

Pour tenter de récupérer ces pertes, la municipalité a intenté une action en justice devant la Cour du banc du roi contre Stride en mars 2021 et contre Western Financial Group en décembre 2021.

Tous deux restent devant les tribunaux.

La coopérative de crédit de WestLake-Gladstone a déclaré qu’elle ne couvrirait pas les pertes, affirmant dans une déclaration de défense que la municipalité n’avait pas effectué une vérification médico-légale complète comme demandé. (Warren Kay/CBC)

La déclaration de défense de Stride Credit Union affirme que la municipalité n’a pas effectué d’audit médico-légal complet de son système informatique, malgré la demande de la caisse populaire.

La déclaration affirme également que la municipalité n’a pas fourni d’informations supplémentaires lorsque cela a été demandé par la caisse populaire.

La déclaration de défense de Western Financial a déclaré qu’il n’y avait aucune couverture pour la fraude par transfert de fonds ou la fraude informatique dans le cadre de la politique de RM.

Les responsables de la municipalité n’ont pas répondu à une demande de commentaire pour cette histoire.

Stride Credit Union et Western Financial Group ont refusé de commenter car l’affaire est toujours devant les tribunaux.

L’assurance peut ne pas offrir de protection : expert

Imran Ahmad, expert en cybersécurité et avocat à Montréal au sein du cabinet Norton Rose Fulbright, affirme que son cabinet d’avocats suivait ou traitait 500 cas de cyberattaques en 2022, en hausse significative par rapport à 320 en 2021.

“Et ce n’est qu’une seule entreprise au Canada”, a-t-il déclaré.

La police affirme également que les cybercrimes sont en augmentation. Les crimes déclarés par la police ont régulièrement augmenté, passant d’un peu plus de 27 000 il y a cinq ans à plus de 70 000 incidents en 2021, selon les données de Statistique Canada.

Mais les autorités estiment que seulement 5 à 10 % des incidents sont signalés.

“Je peux vous dire que ce n’est pas un crime qui va disparaître”, a déclaré Larocque de la GRC.

Imran Ahmad, expert en cybersécurité et associé principal du cabinet d’avocats Norton Rose Fulbright Canada, affirme qu’il existe de nombreux problèmes lorsqu’il s’agit de récupérer les pertes suite à une cyberattaque. (Fourni par Norton Rose Fulbright Canada LLP)

En ce qui concerne l’assurance, Ahmad a déclaré que “le diable est dans les détails” quant à savoir si vous serez couvert suite à une cyberattaque.

Il a déclaré qu’il était rare de trouver une police qui couvre le type de perte subie par la municipalité, en particulier lorsqu’une entreprise ou une organisation est attaquée par le biais d’une escroquerie par hameçonnage par courrier électronique.

La municipalité est responsable de la sécurité de ses mots de passe, a-t-il déclaré.

“Si quelqu’un a pu accéder aux systèmes de la municipalité ou accéder à un compte de messagerie où le nom d’utilisateur et le mot de passe ont été mis à disposition, ou s’il a pu réinitialiser le mot de passe, c’est sur la municipalité ou cette organisation”, a-t-il déclaré.

La province ordonne une enquête

Dans un geste rare, une directive du cabinet du gouvernement provincial a été donnée plus tôt cette année au vérificateur général du Manitoba pour qu’il mène une enquête sur les opérations «de diverses municipalités, y compris la municipalité de WestLake-Gladstone».

La document gouvernementalpublié en septembre, indique que le service des relations municipales a entendu les préoccupations des citoyens de ces municipalités concernant “la gouvernance du conseil, la gestion financière, la surveillance et la responsabilité publique”.

Aucune arrestation n’a été effectuée en lien avec la cyberattaque de WestLake-Gladstone et la GRC affirme qu’elle ne fait plus l’objet d’une enquête active.