Piratage de données à l’agence du revenu du Canada – il faut une enquête approfondie

Comme nous l’a appris récemment l’émission The Fifth Estate, sur les ondes de la CBC, l’Agence du revenu du Canada a découvert que des pirates informatiques ont réussi à voler des données confidentielles utilisées par la société H&R Block pour produire des déclarations fiscales. Les fraudeurs ont ensuite utilisé ces renseignements confidentiels, dont les identifiants de H&R Block, pour se connecter aux comptes personnels, tenus par l’ARC, de milliers de contribuables. Qu’est-ce que tout cela veut dire pour la majorité des Canadiens? Pourquoi l’ARC n’avait-elle rien dit? Combien d’argent a été versé aux fraudeurs, et que peut-on faire pour protéger les victimes de cette fuite?

En gros, la fraude s’est déroulée comme suit. Les pirates ont obtenu les identifiants de dossier électronique de contribuables canadiens ayant, pour la plupart, fait appel à une entreprise qui, pour faire les déclarations de revenus au nom de leurs clients, avaient obtenu un code d’accès délégué – ce qui est une pratique courante chez les entreprises, comme H&R Block, qui offrent des services de déclaration de revenus. Munis de ces identifiants, les fraudeurs se sont connectés aux comptes de ces contribuables, tenus par l’ARC, et y ont changé des renseignements, principalement sur le compte bancaire où faire les virements automatiques. Les pirates ont ensuite fait de fausses déclarations de revenus, et l’ARC leur a envoyé des millions de dollars en remboursements d’impôt, avant qu’elle n’évente le stratagème. Les données de dizaines de milliers de Canadiens ont ainsi été piratées.

C’est inacceptable, d’autant que cet acte de piratage informatique entache la réputation de l’organisme gouvernemental qui, plus peut-être que tous les autres, doit être au-dessus de tout reproche. Dans une déclaration, H&R Block a dit que rien n’indique que le piratage lui soit imputable, tandis que l’ARC soutient qu’il n’y a pas eu intrusion dans ses systèmes et qu’il n’y avait aucun lien à une implication interne. Cette atteinte aux données et la fraude qui en a résulté sont inquiétantes en soi, mais l’ARC a récemment admis que plus de 31 468 atteintes à la vie privée « substantielles » avaient eu lieu entre mars 2020 et décembre 2023, et qu’elle avait fait de 2020 à octobre 2024 des paiements de 190 millions de dollars qui se sont avérés la conséquence de violations de données. La majeure partie de ces versements ont été faits pendant la première année de la pandémie de Covid-19, mais à lui seul, le vol des données de H&R Block a donné lieu à des paiements frauduleux de 6 millions de dollars. Heureusement, une somme additionnelle de 14 millions de dollars a été bloquée avant qu’elle ne soit versée, mais la question demeure : pourquoi cette fraude n’a-t-elle pas été détectée plus tôt?

Autre question raisonnable : pourquoi le personnel et les dirigeants de l’ARC, et par extension la ministre, n’ont-ils pas pris l’initiative d’expliquer ce qui s’était passé? Il va sans dire que l’ARC doit s’assurer que des mesures soient prises pour prévenir l’atteinte aux données fiscales confidentielles des citoyens. La vaste majorité des Canadiens paient leur juste part et ont confiance dans l’agence chargée de percevoir l’impôt. Ils ont donc besoin de savoir que l’ARC prend au sérieux la fraude fiscale sous toutes ses formes. Nous savons que les escrocs, les pirates et les fraudeurs peaufinent sans cesse leurs méthodes, et l’ARC doit s’adapter à cette réalité.

Pour que ce genre de chose ne se produise plus jamais, nous devons faire toute la lumière sur ce qui s’est passé. Les néo-démocrates réclament la tenue d’une enquête parlementaire sur la mauvaise gestion, par l’ARC, des risques de fraude fiscale. Nous devons savoir ce qu’ont à dire le personnel et les dirigeants de l’Agence, les spécialistes du recouvrement de l’impôt, le commissaire à la protection de la vie privée et les experts de la cybersécurité et de la prévention des fuites de données, afin que les Canadiens sachent que l’ARC fait tout en son pouvoir pour empêcher la fraude.

Le gouvernement doit renforcer l’ARC afin qu’elle dispose des ressources nécessaires pour lutter contre la fraude fiscale et détecter les violations potentielles des données. Si nous avons raison de nous en prendre à ceux qui détroussent l’ARC, nous devons prévoir des ressources suffisantes pour démasquer aussi les personnes qui refusent de payer leur part, comme les Canadiens qui – les Panama/Paradise Papers l’ont bien montré – cachent leur argent dans des comptes à l’étranger. La plupart des Canadiens comprennent que nous devons tous payer notre juste part du fardeau fiscal, mais ils s’attendent aussi à ce que les fraudeurs n’empochent pas un sou malhonnêtement.