Le gouvernement fédéral a fait preuve d’un «mépris total» envers les milliers de contribuables canadiens dont les renseignements personnels ont été compromis dans une série de cyberattaques contre les services en ligne du fisc, allègue une demande d’action collective déposée devant la Cour fédérale la semaine dernière.
C’est le cas de l’Ontarienne Anne Campeau, 52 ans, dont les renseignements personnels ont été utilisés pour une demande frauduleuse pour deux versements de la Prestation canadienne d’urgence (PCU) le 6 août dernier.
Mme Campeau n’était pourtant même pas admissible à la PCU, puisque son travail de répartitrice pour le service de police de Windsor n’a jamais été interrompu par la pandémie de COVID-19.
Pourtant, le 10 août, elle a reçu un courriel de l’Agence du revenu du Canada pour la notifier d’une nouvelle communication dans sa boîte de messagerie sur le portail gouvernemental. Elle n’a trouvé aucune trace du message en question, mais en fouillant un peu, elle a constaté que ses informations de dépôt direct avaient été changées pour que les prestations soient versées dans un compte bancaire au Québec. L’adresse courriel associée à son compte avait aussi été mise à jour.
La demande d’action collective déposée le 24 août à la Cour fédérale de Vancouver est faite en son nom et en celui de «toutes les personnes dont les renseignements personnels ou financiers figurant dans leur compte CléGC ou leur compte à l’Agence du revenu du Canada ont été divulgués à une tierce partie depuis le 15 mars 2020».
C’est à partir de cette date que des millions de Canadiens privés de revenus en raison de la pandémie devenaient éligibles à recevoir la Prestation canadienne d’urgence (PCU). La Prestation canadienne d’urgence pour les étudiants (PCUE) a été créée un peu moins de deux mois plus tard.
Or, les plaignants estiment que la mise en place du système de demande en ligne pour ces deux types de prestations a été faite «à la hâte» et que le Canada n’a pas pris les précautions nécessaires pour protéger les renseignements personnels des contribuables.
Résultat? Le 15 août, le Secrétariat du Conseil du Trésor du Canada dévoilait par voie de communiqué que les renseignements personnels de milliers de personnes - incluant leur numéro d’assurance sociale, leurs informations bancaires, leur adresse et leurs avis de cotisation - ont été compromis à la suite d’une série de cyberattaques.
«Ces attaques, qui utilisaient des noms d’utilisateur et des mots de passe recueillis à la suite de précédents piratages de comptes dans le monde entier, tiraient parti du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes», affirmait-on dans le communiqué.
“Les individus affectés vont devoir surveiller leur dossier de crédit indéfiniment à partir de maintenant.”
- Me Angela Bespflug, cabinet Murphy Battista LLP
Anne Campeau assure pourtant que le mot de passe de son compte ARC était «tellement obscure que personne n’aurait pu le deviner». Elle ajoute être très prudente avec ses renseignements personnels, puisque son travail au sein de la police lui a donné l’occasion de voir le calvaire vécu par les victimes de vol d’identité.
«Les usages qui pourraient être faits de cette information sont innombrables», renchérit l’avocate Angela Bespflug, du cabinet Murphy Battista LLP à Vancouver, qui a déposé la demande d’action collective.
«La chose la plus terrifiante à propos des attaques impliquant des renseignements aussi personnels, c’est que les individus affectés vont devoir surveiller leur dossier de crédit indéfiniment à partir de maintenant», déplore-t-elle, soulignant que certaines des victimes du vol de données sont des étudiants éligibles à la PCUE.
«Ils ont 18, 19, 20 ans et ils vont devoir surveiller leur crédit pour le restant de leurs jours.»
Sans compter que, dans certains cas, les personnes dont les renseignements personnels ont été compromis ont vu leurs versements de PCU ou de PCUE être suspendus jusqu’à la tenue d’une enquête, alors qu’ils auraient bien eu besoin de cet argent.
L’ARC avertie
Selon des fonctionnaires fédéraux, la première de trois cyberattaques visant l’ARC a eu lieu le 7 août dernier. L’attaque par «bourrage de justificatifs» a permis d’accéder aux mots de passe et noms d’usagers de 9041 comptes CléGC, utilisés par une trentaine de ministères et agences fédérales.
La Gendarmerie royale du Canada a été prévenue de cette attaque le 11 août, a affirmé Annette Butikofer, commissaire adjointe et dirigeante principale de l’information à l’ARC, lors d’une conférence de presse tenue le 17 août.
Une deuxième attaque survenue quelques jours plus tard aurait permis de pirater quelque 2200 autres comptes.
Ce n’est qu’après une troisième attaque, le 15 août, que l’ARC a interrompu les services Mon dossier, Mon dossier d’entreprise et Représenter un client.
Pourtant, selon la demande d’action collective, des contribuables auraient avisé l’ARC que leurs comptes avaient été piratés dès la mi-mars. «Malgré tout, l’ARC n’a pas pris les mesures raisonnables pour empêcher que les plaignants ne subissent d’autres préjudices», peut-on lire dans les documents déposés à la cour, que le HuffPost Québec a pu consulter.
L’ARC «savait ou aurait dû savoir que son système de demande en ligne pour la PCU et la PCUE était vulnérable à des cyberattaques, et la partie défenderesse a échoué à prendre les mesures raisonnables et adéquates pour protéger les renseignements personnels et financiers des [usagers touchés] avant et après le lancement de ces programmes», allègue-t-on.
Tout cela laisse croire à Angela Bespflug que le nombre de victimes dépasse les 11 200 estimés par l’ARC. «Nous savons que certaines personnes qui ont été affectées et dont les renseignements personnels et financiers ont été compromis n’ont pas été notifiés par l’ARC», a-t-elle affirmé, ajoutant qu’il est possible que le Canada n’ait pas encore pu déterminer toute l’ampleur des incidents.
«Tous les jours, nous entendons parler de davantage de personnes affectées», affirme l’avocate.
L’ARC n’a pas répondu à la demande de commentaires du HuffPost Québec, mercredi.
Dédommagements réclamés
Depuis qu’elle a pris connaissance de la brèche à son compte, Anne Campeau affirme avoir passé environ six heures au téléphone avec l’ARC afin de s’assurer que la demande de PCU frauduleuse disparaisse de son dossier. Elle dit n’avoir reçu aucune communication de la part de l’agence reconnaissant que ses renseignements personnels ont été compromis.
Elle a donc pris l’initiative de protéger son dossier de crédit de plusieurs façons. Elle a notifié les agences de surveillance du crédit Equifax et Transunion, ainsi que toutes les institutions où elle détient des comptes bancaires, des cartes de crédit et une hypothèque. Elle s’est aussi inscrite à des services de surveillance du crédit, ce qui représente une dépense de quelques centaines de dollars par année.
“Tout ce que je sais, c’est que mes renseignements flottent quelque part dans le dark web et je ne suis pas contente.”
- Anne Campeau, victime d'un vol d'identité
C’est pour ce genre de démarches stressantes et coûteuses que la demande d’action collective réclame compensation, en plus des montants de PCU ou de PCUE dus.
Selon la firme d’avocats à l’origine de la demande d’action collective, les Québécois dont les renseignements ont été compromis pourraient également être éligibles à une compensation plus importante, notamment en vertu de dispositions du Code civil du Québec et de la Charte des droits et libertés de la personne. Angela Bespflug affirme que sa firme est en voie de s’organiser pour pouvoir répondre en français aux demandes d’informations concernant l’action collective.
Mais même si l’action collective est autorisée et couronnée de succès, les personnes lésées risquent de ne pas voir la couleur de leur argent avant plusieurs mois, voire des années.
En attendant, Anne Campeau vit dans l’incertitude, puisqu’elle ne sait pas qui a eu accès à ses renseignements personnels et, par extension, à ceux de son épouse, avec qui elle produit des déclarations d’impôts conjointes.
«Tout ce que je sais, c’est que mes renseignements flottent quelque part dans le dark web et je ne suis pas contente», dit-elle. «Je vais prendre ma retraite dans quelques années. Je n’ai pas envie d’être retraitée et de me mettre à recevoir des coups de fil me disant que je suis en défaut de paiement pour des cartes de crédit que je ne possède pas.»
Avec La Presse canadienne