La diversification des techniques de fraude informatique s’est énormément développée dans les dernières années. En ces temps où le télétravail est à l’honneur, et pour la première fois pour certains, les fraudeurs ne font pas relâche. On peut également penser que des travailleurs utilisent maintenant davantage leur ordinateur et leurs appareils personnels dans un contexte de télétravail, ce qui peut avoir un impact sur la sécurité des communications. Chacun doit donc faire preuve d’une vigilance accrue, d’autant plus puisqu’il n’est pas certain qu’une protection d’assurance couvrira les conséquences d’une fraude informatique.
En effet, d’une part, les primes d’assurance en matière de polices et d’avenants spécifiques visant les cyberrisques représentent des coûts importants et il est à prévoir que plusieurs entreprises ne disposent pas de tels produits spécialisés. D’autre part, si l’entreprise s’est procurée une telle police spécifique, il est important de noter que la couverture d’assurance liée à ce type d’incidents peut varier d’une police d’assurance à l’autre. Dans certains cas, l’usage d’un appareil personnel n’est pas couvert. Par ailleurs, ce ne sont pas tous les types de fraude qui font l’objet d’une couverture en vertu des polices d’assurance commerciales standards.
Qu’on parle d’hameçonnage, de fraude au président, d’ingénierie sociale ou de vol d’identité, les conséquences économiques de tels incidents peuvent être majeures pour une entreprise. Afin de vous permettre d’être à l’affût, nous vous présentons donc quelques exemples de stratagèmes utilisés par les fraudeurs, issus de la jurisprudence récente, tant au Québec, qu’ailleurs au Canada.
La fraude au président
Ce type de fraude implique généralement la réception d’un courriel signé, en apparence, par un dirigeant de l’entreprise visée qui requiert un transfert de fonds urgent, lié à une transaction hautement confidentielle. Les personnes visées par ce type de fraude occupent souvent des postes en administration ou en comptabilité.
À titre d’exemple, dans l’affaire Coop Fédérée1, une employée de l’entreprise fraudée a reçu un courriel d’un expéditeur, dont l’adresse correspondait à celle du chef de la direction, lui expliquant qu’il communiquait avec elle dans la plus stricte confidentialité puisque La Coop procéderait sous peu à une offre publique d’achat. On lui demandait de prendre rapidement contact avec un avocat pour la remise des coordonnées bancaires nécessaires au virement, qui devait être réalisé de façon urgente. La Coop a finalement émis un ordre de paiement autorisant son institution financière à procéder à un virement de fonds de 4 946 355,26 $ en devises américaines dans un compte frauduleux basé à Hong-Kong. Le délai de quelques jours avant la découverte du stratagème n’a pas permis d’interrompre le paiement et de récupérer l’argent.
Dans son jugement, la Cour d’appel souligne :
« L’hameçonnage, c’est-à-dire ces fraudes sur Internet visant à obtenir des renseignements confidentiels par des messages émanant en toute apparence d’un organisme institutionnel ou d’un tiers de confiance, est un véritable fléau. Il afflige tantôt les gens à faibles revenus tantôt les plus fortunés (sociétés ou personnes physiques) »2.
À noter que cette affaire est actuellement en appel à la Cour suprême3, notamment en ce qui concerne la question de la couverture d’assurance de cette réclamation faite par La Coop à ses assureurs.
Courriel frauduleux
Un autre exemple de courriel frauduleux nous provient de l’affaire Dentons4.
Dans le cadre d’une transaction immobilière, un montant de 2,5 M$ devait être transféré à un créancier hypothécaire. Au moment où le transfert devait être effectué, l’avocat a reçu un courriel en apparence signé par le créancier hypothécaire qui demandait de transférer l’argent dans un compte international, en prétextant que le compte initialement prévu faisait l’objet d’un audit. L’avocat a tenté de confirmer l’information en laissant un message vocal au créancier hypothécaire, mais cet appel est demeuré sans réponse.
L’avocat a par la suite reçu un second courriel fournissant les informations du nouveau compte, encore une fois basé à Hong Kong, au nom d’une autre entreprise. Des lettres d’autorisation signées par le créancier hypothécaire et par l’entreprise prétendument propriétaire du nouveau compte ont également été fournies par les fraudeurs. La somme de 2,5 M$ a ainsi été transférée et n’a jamais pu être récupérée. Il appert donc que les fraudeurs ont subtilisé l’identité du créancier hypothécaire et ont fourni de fausses lettres d’autorisation.
Encore ici, un litige est survenu entre le cabinet d’avocat et son assureur, ce dernier considérant que la police d’assurance ne couvrait pas ce type de perte. La question fait toujours l’objet d’un débat devant les tribunaux.
La fraude au fournisseur
Une autre technique de fraude est la fraude au fournisseur. À l’instar de la fraude au président, elle vise principalement les entreprises. À l’aide d’une fausse adresse courriel d’un fournisseur habituel, le fraudeur demande à ce que les paiements soient dorénavant effectués dans un nouveau compte dont il a le contrôle.
The Brick Warehouse LP (« Brick ») a récemment été victime de ce genre de fraude. Dans cette affaire5, un individu a contacté par téléphone le service des comptes créditeurs de Brick. Il prétendait être un employé du fournisseur Toshiba et demandait certains détails de paiement. Un employé de Brick lui a transmis l’information. Quelques jours plus tard, l’individu a contacté à nouveau le même employé pour lui demander les mêmes informations. Il l’a alors référé directement, par courriel, au bon département de Brick, en charge de la facturation.
À l’aide de ce courriel, le fraudeur a requis des changements au niveau du compte bancaire de Toshiba pour le versement des paiements. Les paiements qui devaient être effectués à Toshiba ont plutôt été versés dans le compte frauduleux durant plusieurs mois, avant que le fournisseur impayé, Toshiba, ne contacte Brick. Au moment de la découverte du subterfuge, la fraude s’élevait à la somme de 338 322,22 $.
Le litige opposait Brick à son assureur. Pour avoir gain de cause face à ce dernier, Brick devait établir que la demande de transfert de fonds s’était faite à son insu et sans son consentement. Or, puisque la demande émanait d’un employé de Brick, la Cour a jugé qu’elle avait été faite avec son consentement et que la perte n’était pas couverte par sa police d’assurance.
Affaire Groupe Aldo
Plusieurs techniques de fidélisation de clientèle, dont l’émission de cartes de crédit, se traduisent par la collecte d’une quantité importante d’informations personnelles et bancaires, nécessitant la mise en place de mesures de sécurité accrues.
Dans cette affaire, le Groupe Aldo6 a été victime en 2008 d’une brèche de sécurité touchant les détenteurs de carte de crédit Aldo Master Card/BMO. Considérant que le Groupe Aldo avait contrevenu à ses obligations contractuelles en matière de sécurité informatique, les fournisseurs de cartes de crédit lui ont réclamé des pénalités contractuelles s’élevant à plus de 4,8 M $US, et ce, même si aucun client n’a déposé de réclamation ou de poursuite à la suite de la brèche.
Dans cette affaire, la Cour d’appel a conclu que, puisque la réclamation découlait d’une obligation contractuelle, cette perte n’était pas couverte par la police d’assurance responsabilité de Groupe Aldo.
De bonnes habitudes à prendre
Plusieurs leçons peuvent être tirées de ces événements malheureux (et coûteux) pour éviter que votre entreprise ne soit elle aussi victime de l’un ou l’autre de ces types de fraude, particulièrement en cette période d’incertitude et de nouveauté du télétravail des employés.
Tout courriel requérant un transfert d’argent urgent devrait susciter des doutes et faire l’objet de contre-vérifications, idéalement sans répondre directement au courriel reçu. Rechercher une confirmation verbale de la part de la personne apparemment à l’origine de l’envoi ou de personnes connues serait préférable.
Soyez à l’affût de fautes dans les courriels, de l’inversion, du retrait ou de l’ajout de lettres dans l’adresse de l’expéditeur, de signatures ou de formules de salutations inhabituelles, etc. La langue de correspondance peut également être un indice.
En outre, il y a lieu de valider tout changement de coordonnées bancaires de vos fournisseurs, clients ou partenaires en communiquant directement avec eux par téléphone.
Au surplus, dès qu’une entreprise conserve des informations personnelles et bancaires, des mesures de sécurité importantes doivent être mises en place, en vérifiant notamment les obligations contractuelles et pénalités prévues aux contrats.
Pour toute question concernant les risques en matière de fraude informatique et d’assurance, adressez-vous aux membres de notre équipe de litige en assurance ici ou aux auteurs du présent billet.
Me Catherine Pilote-Coulombe, Avocate catherine.pilote-coulombe@steinmonast.ca 418 640-4445 |
Me Nicolas Dubé, Avocat nicolas.dube@steinmonast.ca 418 640-4422 |
Me Jessica Gauthier, Associée jessica.gauthier@steinmonast.ca 418 640-4434 |
1 Co-Operators c. Coop Fédérée, 2019 QCCA 1678, par. 15.
2 Id., par. 15.
3 La Compagnie d’assurance générale Co-Operators et al. c. La Coop Fédérée, et al., 2020 CanLII 26443 (CSC),
4 Dentons Canada LLP v. Trisura Guarantee Insurance Company, 2018 ONSC 7311.
5 The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413.
6 Aldo Group Inc. c. Chubb Insurance Company of Canada, 2016 QCCA 554.