Agence du revenu du Canada: des milliers de comptes ont été piratés

Des fraudeurs ont profité de failles dans les systèmes de l'Agence du revenu du Canada pour prendre le contrôle du compte fiscal de centaines de contribuables, après avoir mis la main sur des données confidentielles utilisées par une firme qui produit des millions de déclarations de revenus chaque année.

L’information, d’abord rapportée par Radio-Canada, a été confirmée par Le Journal.

Au printemps dernier, l’Agence du revenu du Canada (ARC) a découvert que des escrocs avaient obtenu des codes électroniques confidentiels utilisés par un préparateur fiscal, H&R Block, pour produire des déclarations au nom de leurs clients.

Grâce à cette information, les fraudeurs sont parvenus à prendre le contrôle du compte de nombreux contribuables, et à changer le compte bancaire au dossier.

Selon l’enquête menée par CBC et Radio-Canada, l’ARC n’a colmaté la brèche qu’après s’être rendu compte qu’elle avait effectué plusieurs faux remboursements à des contribuables qui partageaient le même compte bancaire.

Les fraudeurs seraient ainsi parvenus à soutirer 6,6 millions $, et ils avaient fait des demandes pour 14,9 millions $ de plus.

Aucun incident rapporté

Selon nos sources, l’ARC exclut la possibilité que «la fuite vienne de l’Agence». «Les systèmes de l’ARC n’ont pas été compromis, des fraudeurs ont mis la main sur des renseignements sur le dark web», a-t-on fait valoir.

De fait, les renseignements personnels en question, comme le nom, la date de naissance, l’adresse et le numéro d’assurance sociale, pouvaient se trouver là en raison de fuites de données qui ont eu lieu par le passé.

Dans ce contexte, les codes électroniques confidentiels ont servi de «clé» pour que les fraudeurs puissent capitaliser des informations qu’ils avaient déjà en main, a illustré une source gouvernementale, qui n’a pas exclu que d’autres entreprises que H&R Block aient pu être touchées.

Au moment d’écrire ces lignes, H&R Block Canada n’avait pas répondu aux questions du Journal. L’entreprise a toutefois affirmé à Radio-Canada que la fuite ne provient pas de ses systèmes non plus. D’ailleurs, aucun incident de confidentialité n’a été rapporté à la Commission d’accès à l’information.

De plus en plus de violations

Dans une déclaration écrite au Journal, l’ARC a rappelé qu’il y a eu une «augmentation importante» du nombre de cas de vols d’identité et de «l’utilisation non autorisée des renseignements d’un contribuable par un tiers» après la pandémie.

En tout et pour tout, l’ARC a été victime de 31 468 atteintes à la vie privée, touchant 62 000 contribuables, entre mars 2020 et décembre 2023.

Jusqu’à récemment, seulement 113 de ces cas avaient été signalés dans les rapports annuels du Commissariat à la protection de la vie privée, pendant cette période.

L’ARC a justifié ces «retards de signalement» en disant qu’elle a «priorisé protéger les comptes et aviser les contribuables touchés», et qu’elle a dû «élaborer un processus de signalement de ces types d’atteinte à la vie privée».

Montants versés par l’ARC à la suite de fraudes liées au vol d’identité

• 2020: 181 millions $

• 2021: 5 millions $

• 2022: 0,4 million $

• 2023: 2 millions $

• 2024: 3 millions $ (en date du 4 octobre 2024)

* Ces chiffres ne tiennent compte que des déclarations T1 et des prestations liées à la COVID-19.

Source: Agence du revenu du Canada