Les organisations canadiennes reçoivent depuis un certain temps de nombreux messages qui semblent provenir de sources de confiance, mais qui émanent en fait de fraudeurs.
L’année dernière, l’usurpation d’identité est devenue la forme de fraude en ligne la plus répandue et la plus coûteuse pour les entreprises canadiennes. Selon une étude réalisée par Paiements Canada en 2024, une entreprise sur cinq a été victime d’une fraude liée aux paiements au cours des six mois précédents, ce qui a entraîné des pertes financières dans un cas sur sept.
En fait, la proportion d’organisations ayant été visées par une fraude a été plus élevée que chez les consommateurs canadiens, alors même qu’une majorité avait la certitude d’être bien protégée. Le type de fraude le plus couramment utilisé contre les entreprises du Canada pendant cette période est la fraude par usurpation d’identité, qui a représenté le quart de tous les signalements d’escroqueries liées aux paiements.
En quoi consiste une fraude par usurpation d’identité ?
Le succès de ce stratagème repose sur le fait que le fraudeur se fait passer pour une source de confiance afin d’éviter de subir un examen minutieux et de se faire détecter. Il communique par courriel, par texto, par message sur les médias sociaux et même par téléphone pour demander un paiement ou des renseignements confidentiels en prétendant travailler pour une entreprise, une institution ou une organisation de confiance.
Selon le Centre antifraude du Canada, le Bureau de la concurrence et la Gendarmerie royale du Canada (GRC), l’usurpation d’identité est l’une des formes de fraude affichant la croissance la plus rapide au pays. En 2024, le Centre antifraude du Canada a reçu plus de 108 000 signalements provenant de plus de 34 600 victimes, dont les pertes financières imputables aux fraudes en ligne s’élèvent à 638 milliards de dollars. Ce sont plus de 2 milliards de dollars que les Canadiens ont perdus aux mains des fraudeurs en ligne depuis 2021.
Fonctionnement d’une fraude par usurpation d’identité
La fraude par usurpation d’identité peut être d’une grande efficacité et faire des ravages sur le plan financier, puisqu’elle exploite des relations existantes avec des sources de confiance, y compris des fournisseurs, des institutions financières, des services de messagerie, des employés, des clients, des autorités policières et des organismes de réglementation.
Pour mener à bien son stratagème, le fraudeur doit parfois connaître les contacts professionnels avec qui sa victime a l’habitude de faire affaire. Cependant, il prétend généralement entrer en contact avec la personne au nom d’une institution, d’une organisation ou d’une entreprise de services couramment utilisée.
Souvent, l’escroc laisse entendre qu’une opération non autorisée a eu lieu, qu’une commande n’a pas été reçue, que des sommes ou des taxes exigibles sont en souffrance ou qu’un paiement a été envoyé vers le mauvais compte. Dans la quasi-totalité des cas, le fraudeur tente d’obtenir des renseignements confidentiels, comme des mots de passe, un numéro d’assurance sociale ou des informations bancaires, ou demande à la victime d’effectuer un paiement.
Pour rendre leurs demandes plus crédibles, les escrocs font également appel à l’intelligence artificielle, à des données recueillies lors d’une violation ou d’un piratage antérieur, ou à des renseignements publics. Il arrive aussi qu’ils dirigent la victime vers un site Web « cloné » qui semble identique au site légitime de l’organisation, ou qu’ils clonent des numéros de téléphone et des renseignements relatifs à l’identification de l’appelant afin de paraître authentiques.
Indices à surveiller pour repérer une usurpation d’identité
La meilleure façon de se protéger contre la fraude par usurpation d’identité est d’être conscient de son existence, de faire preuve de prudence et de demeurer sur ses gardes devant certains signes révélateurs.
Par exemple, un grand nombre de demandes frauduleuses misent sur le fait que les utilisateurs agiront avant de réfléchir, ce qui explique que les demandes de fonds ou de renseignements semblent souvent urgentes. Le caractère urgent des communications fait donc partie des signes à surveiller.
De plus, il faut faire preuve d’une grande prudence face aux demandes de renseignements personnels ou confidentiels qui ont déjà été fournis ou qui semblent inutiles vu la nature de votre relation avec l’organisation ou la personne à l’origine de la demande.
Enfin, les demandes de paiement ou d’envoi de fonds qui sortent du cadre existant de l’organisation, par exemple les versements vers un nouveau compte ou au moyen d’un nouveau portail de paiement, exigent une enquête plus poussée.
Prévention des fraudes par usurpation d’identité
Si vous recevez une demande urgente de renseignements personnels ou de paiement, en particulier si les fonds ou les informations doivent être envoyés vers une nouvelle adresse, un nouveau compte ou un nouveau site Web, il est important de mener une enquête plus approfondie avant de faire quoi que ce soit. Cette étape doit être suivie même si le message semble provenir d’une source de confiance.
Bien que ce type de fraude vise souvent à imiter des sources et des contacts légitimes, il existe souvent des signes subtils que l’expéditeur n’est pas qui il prétend être. Il peut par exemple s’agir de différences mineures dans l’adresse courriel, d’erreurs d’orthographe ou d’un appel provenant d’un numéro inconnu.
Si vous n’êtes pas certain de la légitimité d’un expéditeur, essayez de communiquer avec lui au moyen de ses coordonnées officielles ou de celles que vous avez utilisées par le passé. Ainsi, si vous recevez par exemple un courriel d’un soi-disant fournisseur exigeant un paiement supplémentaire pour une commande récente, appelez directement son bureau plutôt que de répondre au courriel.
Nous invitons les entreprises à intégrer à leurs politiques l’obligation de demander, lors de chaque opération, des renseignements que seule la source légitime peut connaître, par exemple, les détails d’une commande précédente, des numéros de facture ou des identifiants de clients.
Les organisations de toutes les tailles peuvent également mieux se protéger en adoptant de robustes outils de prévention et de détection de la fraude, comme Kobalt.io (ce lien mène à un site web dont le contenu est en anglais seulement), un partenaire Au-delà des services bancaires RBC.
Quoi faire en cas de fraude par usurpation d’identité
Nous encourageons les entreprises et les particuliers qui sont victimes d’une fraude par usurpation d’identité à signaler immédiatement l’incident au Centre antifraude du Canada et à mettre fin à toute communication avec les fraudeurs présumés.
Par la suite, les organisations devraient rapidement modifier tous leurs mots de passe et identifiants de connexion, même ceux associés à des comptes non touchés, et encourager tous les membres de leur équipe à faire de même. Il peut être utile de faire appel à un gestionnaire de mots de passe comme 1Password, partenaire Au-delà des services bancaires RBC, pour générer rapidement des mots de passe complexes, uniques et sûrs pour tous les comptes tout en les rendant accessibles dans une seule application sécurisée.
Si une organisation pense avoir été victime d’une fraude par usurpation d’identité, elle doit également en aviser son institution financière en vue de suspendre les paiements et de sécuriser les comptes. Selon une étude de Paiements Canada, 71 % des entreprises ont reçu un remboursement total ou partiel pour les fonds qu’elles ont perdus aux mains de fraudeurs.
Comme les entreprises canadiennes présentent un risque élevé d’être visées par ce type de fraude en ligne de plus en plus répandu, il est important qu’elles se dotent d’outils, de politiques et de protocoles de cybersécurité efficaces, et qu’elles demeurent à l’affût des communications suspectes, même celles qui semblent provenir de sources de confiance.
En savoir plus : La cybersécurité des petites entreprises (ce lien mène à un site web dont le contenu est en anglais seulement)
