Au plus fort de la saison des déclarations de revenus de cette année, l’Agence du revenu du Canada a découvert que des pirates informatiques avaient obtenu des données confidentielles utilisées par l’une des plus grandes sociétés de préparation de déclarations de revenus au pays, H&R Block Canada.

Des imposteurs ont utilisé les informations d’identification confidentielles de l’entreprise pour obtenir un accès non autorisé à des centaines de comptes personnels de l’ARC de Canadiens, modifier les informations de dépôt direct, soumettre de fausses déclarations et empocher plus de 6 millions de dollars en faux remboursements des fonds publics, selon une enquête menée par CBC. Le cinquième pouvoir et Radio-Canada l’a constaté.

Dans un cas, les pirates ont déposé une déclaration avec un code postal légitime, mais une fausse adresse sur une Tomato Street inexistante.

«Évidemment, la porte est ouverte et certaines personnes infiltrent le système», a déclaré en entrevue André Lareau, professeur agrégé de fiscalité à l’Université Laval, à Québec. “Mais l’ARC ne semble pas avoir trouvé la clé pour verrouiller la porte.”

Selon des sources, la crise a incité l’ARC à communiquer avec le cabinet de la ministre du Revenu, Marie-Claude Bibeau.

L’agence a préparé des lignes de presse pour répondre aux demandes de renseignements en cas de questions sur la violation des données H&R Block et sur les raisons pour lesquelles l’agence a payé des millions à des fraudeurs.

La ministre du Revenu, Marie-Claude Bibeau, a refusé une demande d'entrevue. Son bureau n'a pas expliqué quand elle a appris la récente augmentation des atteintes à la vie privée.
La ministre du Revenu, Marie-Claude Bibeau, a refusé une demande d’entrevue, notamment sur les récentes violations des comptes de l’ARC des Canadiens. (Justin Tang/La Presse Canadienne)

En fin de compte, le public n’a jamais été alerté du projet.

Bibeau a refusé Le cinquième pouvoir/Demande d’entrevue de Radio-Canada.

Dans un communiqué, H&R Block a déclaré qu’il n’y avait aucune preuve que la violation en provenait.

Le cabinet fiscal a déclaré qu’une “enquête interne approfondie” avait conclu qu’aucune de ses “données, systèmes, logiciels et sécurité” n’avait été compromise. H&R Block a déclaré qu’il ne savait pas que les contribuables canadiens touchés par la violation étaient l’un de ses propres clients.

Selon des sources, l’ARC n’a pas réussi à identifier les pirates informatiques, mais a exclu la possibilité d’une violation de ses propres systèmes ou d’une implication interne. En fin de compte, on ne sait pas qui a piraté ces données et d’où.

Ni le ministre du Revenu ni le bureau des relations avec les médias de l’ARC n’ont répondu aux questions concernant la violation de données de H&R Block.

Le cinquième pouvoir et Radio-Canada n’identifient pas les sources car elles ne sont pas autorisées à parler publiquement.

Augmentation massive des violations signalées au Parlement

L’enquête menée par Le cinquième pouvoir et Radio-Canada a constaté que la violation de données de H&R Block n’est qu’un exemple parmi tant d’autres qui accablent l’ARC, alors que les vérificateurs et les enquêteurs craignent que le public ne perde confiance dans l’agence chargée de protéger l’argent des contribuables et les renseignements personnels.

Alors que l’agence se démène en interne pour faire face aux soi-disant acteurs menaçants, Le cinquième pouvoirL’enquête de /Radio-Canada a révélé que le public est pour la plupart tenu dans l’ignorance des sommes colossales volées et des failles flagrantes dans la capacité de l’agence à détecter les fraudes.

Lareau a déclaré qu’une enquête parlementaire devrait être lancée pour déterminer « l’ampleur » du problème — et pour obliger l’ARC et le ministre à répondre.

“Ils devraient tous dire exactement ce qui s’est passé (et) combien d’argent est impliqué”, a-t-il déclaré.

L’ARC a également le devoir de signaler les atteintes « importantes » aux comptes des contribuables au commissaire à la protection de la vie privée, qui relève directement du Parlement.

André Lareau, professeur agrégé de fiscalité à l'Université Laval à Québec, se dit préoccupé par le nombre de violations dans les comptes fiscaux des Canadiens. « L'ARC ne semble pas avoir trouvé la clé pour verrouiller la porte », dit-il.
André Lareau, professeur agrégé de fiscalité à l’Université Laval, à Québec, se dit préoccupé par le volume de faux remboursements versés aux fraudeurs. « L’ARC ne semble pas avoir trouvé la clé pour verrouiller la porte », dit-il. (Mathieu Potvin/Radio-Canada)

Dans un rapport présenté au Parlement en juin, le commissaire à la protection de la vie privée a signalé 71 atteintes à la vie privée à l’ARC au cours de l’exercice se terminant le 31 mars 2024. Au cours des trois années précédentes, 42 atteintes à la vie privée avaient été signalées.

Ces chiffres ont depuis explosé.

Dans les réponses aux questions de Le cinquième pouvoir/Radio-Canada, l’ARC a admis avoir été victime de plus de 31 468 atteintes « importantes » à la vie privée entre mars 2020 et décembre 2023, touchant 62 000 contribuables canadiens.

Le Parlement n’est pas informé

Le commissaire à la protection de la vie privée, Philippe Dufresne, a également refusé une entrevue.

Dans un courriel, son bureau a défendu la décision de laisser l’augmentation massive des atteintes à la vie privée en dehors de son rapport de juin 2024 aux députés. Le bureau du commissaire a justifié cette décision en affirmant que l’ARC avait envoyé les informations après la période de déclaration de mars 2024 et qu’il inclurait les nouveaux chiffres dans le rapport annuel de l’année prochaine.

Pour sa part, l’ARC a déclaré qu’elle n’avait déclaré que rétroactivement les 31 468 atteintes à la vie privée.

Les fraudeurs ont obtenu des informations d'identification de tiers pour produire des déclarations au nom d'un contribuable. Ensuite, ils ont falsifié la déclaration et modifié le compte de dépôt direct. Avant que l’ARC ne puisse découvrir l’arnaque, l’argent a été versé.
Les fraudeurs ont obtenu des informations d’identification de tiers pour produire des déclarations au nom d’un contribuable. Ensuite, ils ont falsifié la déclaration et modifié le compte de dépôt direct. Avant que l’ARC ne puisse découvrir l’arnaque, l’argent a été versé. (Yosri Mimouna/Radio-Canada)

En réponse aux questions de Le cinquième pouvoir/Radio-Canada, l’agence a déclaré avoir remarqué une « augmentation marquée des violations de données externes et des cybermenaces » où des « tiers non autorisés » ont accédé aux comptes de taxes des Canadiens, modifié les informations de dépôt direct, produit des « feuillets de renseignements fiscaux frauduleux » et produit des déclarations frauduleuses.

L’ARC a déclaré que les contribuables individuels sont informés lorsqu’une violation se produit, qu’ils bénéficient d’une « protection du crédit au besoin » et qu’elle prend la protection des renseignements fiscaux des Canadiens « très au sérieux ».

L’ARC n’a pas voulu expliquer comment et quand elle a appris pour la première fois que le nombre d’atteintes à la vie privée était sous-déclaré au Parlement, et elle n’a pas non plus ventilé le nombre total déclaré par année.

En 2020, le Conseil du Trésor a signalé que les cyberattaques de l’ARC cette année-là avaient été maîtrisées. En 2022, un juge dans un recours collectif concernant des atteintes à la vie privée au sein du gouvernement fédéral a conclu que les informations de dépôt direct avaient été modifiées par des fraudeurs dans 12 700 comptes de l’ARC.

Dans un deuxième communiqué envoyé vendredi soir, l’ARC a déclaré avoir autorisé par erreur plus de 190 millions de dollars en faux paiements liés à des cas « confirmés » d’atteintes à la vie privée entre 2020 et début octobre 2024.

L’agence a déclaré que la plupart de ces cas se sont produits en 2020, dans le contexte de la pandémie de COVID-19, et qu’il y a eu une « réduction drastique » ces dernières années.

Dans sa déclaration, l’agence a déclaré avoir versé un total de 3 millions de dollars en 2024 à des imposteurs – un chiffre qui semble en contradiction avec les 6 millions de dollars perdus dans la seule violation de données H&R Block de cette année, selon des sources.

Selon des sources, l’ARC a un arriéré de cas suspects qui n’ont pas encore été signalés comme cas « confirmés ».

Les identifiants H&R Block brisent un microcosme

Tous les stratagèmes contre l’ARC n’impliquaient pas des atteintes à la vie privée. Les fraudeurs utilisent souvent leurs propres comptes pour faire de fausses déclarations.

Selon des sources, l’affaire impliquant H&R Block est un microcosme d’une agence débordée, sous-financée et déjouée où les pirates informatiques et les escrocs prospèrent grâce à l’incapacité de l’ARC à détecter une multitude de fraudes dans les déclarations de revenus.

Selon des sources, ce qui est connu au sein de l’ARC comme une culture du « payer et courir après » complique les efforts de l’agence pour réprimer les déclarations frauduleuses – une politique délibérée visant à rendre les remboursements d’impôt au public le plus rapidement possible et à vérifier les écarts plus tard.

Lareau a déclaré que l’ARC aime promouvoir une « image » d’une agence « efficace » qui produit les déclarations « le plus rapidement possible ».

Cette approche laisse un trou béant pour que les fraudeurs puissent prospérer, ont déclaré des sources. Le cinquième pouvoir/Radio-Canada.

Il semble que les responsables de l’agence aient initialement découvert que quelque chose n’allait pas après avoir remarqué en avril des publications sur le dark web proposant de vendre des données H&R Block obtenues illégalement.

Une enquête de Fifth Estate/Radio-Canada a découvert un escroc sur le dark web à la recherche d'informations confidentielles sur H&R Block. L’identité de la personne qui a piraté ces données et l’origine du piratage restent inconnues.
Une enquête de Fifth Estate/Radio-Canada a découvert un escroc sur le dark web à la recherche d’informations confidentielles sur H&R Block. L’identité de la personne qui a piraté ces données et l’origine du piratage restent inconnues. (Le Cinquième Pouvoir/Radio-Canada)

Les pirates avaient obtenu les identifiants de production électronique H&R Block fournis par l’ARC – essentiellement les clés électroniques confidentielles utilisées par les comptables du cabinet pour produire des déclarations au nom des contribuables.

Il est finalement devenu évident que les informations de blocage volées par H&R aidaient les imposteurs à accéder aux déclarations de revenus des Canadiens, à modifier leurs informations bancaires et même leurs adresses afin de réclamer de faux remboursements et crédits d’impôt.

Selon des sources, l’ARC s’est rendu compte qu’elle avait émis plusieurs faux remboursements sans rapport avec le même compte bancaire.

Les auditeurs de l’ARC ont conclu qu’ils avaient été trompés en versant plus de 6 millions de dollars en 2024, avant d’empêcher que 14 millions de dollars supplémentaires soient versés à des imposteurs.

Manque de communication à l’intérieur et à l’extérieur de l’agence

Selon des sources, l’ARC ne partage pas toujours des informations clés avec les institutions financières, même lorsqu’elle soupçonne des fraudeurs d’utiliser l’un de leurs comptes bancaires.

Des sources ont ajouté que l’agence s’inquiétait également du fait qu’un manque de communication interne ralentissait la chasse aux pirates.

Dans sa déclaration, l’ARC a déclaré que la forte augmentation des violations signalées remonte à 2020 et à l’introduction des prestations d’urgence liées à la COVID-19. L’agence a déclaré avoir réagi en offrant une meilleure protection aux comptes des contribuables individuels et en protégeant ses services en ligne.

Un porte-parole de l’ARC a déclaré que « des processus et des procédures sont en place pour réagir rapidement et atténuer les menaces envers les renseignements et les comptes des contribuables » en cas de violation.

« À mesure que les fraudeurs adaptent leurs pratiques, l’ARC fait de même », a déclaré la porte-parole de l’agence, Kim Thiffault.

  • Si vous avez des conseils sur ce sujet, envoyez un courriel à Harvey.Cashore@cbc.ca ou Daniel.Leblanc@cbc.ca ou appelez au 416-526-4704.