Fraudés, des notaires ont perdu des millions!

Des dizaines de comptes ont été ciblés dans les derniers mois par des fraudes, ce qui aurait causé des pertes de plusieurs millions de dollars.

À l’heure où la cybersécurité est sur toutes les lèvres, voilà que c’est au tour de plusieurs études notariales de succomber aux coups des filous.

Les fraudeurs ont donc trouvé des brèches dans l’infrastructure des notaires.

Qui est responsable?

« On parle ici de transactions frauduleuses, dont les notaires ont été victimes. Ces fraudes sont intervenues dans le cadre de la relation qu’entretiennent les notaires avec leur banque », insiste Johanne Dufour, directrice des communications à la Chambre des notaires du Québec.

Pour la CNQ, c’est du côté des institutions que la brèche serait survenue. On dit s’être « toujours fait un devoir d’accompagner (nos) membres à toutes les étapes de la transformation numérique de la pratique notariale. On est en contact avec les institutions financières qui ont la responsabilité d’offrir, elles aussi, des systèmes de protection adéquats », poursuit Johanne Dufour.

Chez Desjardins, l’une des institutions ciblées par les fraudeurs, la situation est prise au sérieux. « Nous faisons enquête pour déterminer exactement ce qui est arrivé. Pour l’instant, toutes les sommes prélevées (par les criminels) ont été remboursées », explique la porte-parole Annie Josiane Bujold.

L’assurance-dépôt s’appliquant aux comptes en fidéicommis couvre les 100 000 premiers dollars. « Il arrive que dans certaines fraudes, on n’indemnise pas. Mais dans les cas dont on parle, on a tout couvert », au-delà de la limite de 100 000 dollars. Car même lorsqu’il y a matière à se demander si la victime aurait pu être plus diligente, « il y a une différence entre négligence et connivence », précise Annie Josiane Bujold.

Des stratagèmes différents

Pour l’instant, on sait que plusieurs stratagèmes différents ont été utilisés pour accéder aux comptes en fidéicommis gérés par les notaires, poursuit Mme Bujold.

Sans préciser exactement lesquels, elle énumère cependant quelques-unes des arnaques qui font des victimes parmi toutes les clientèles des institutions, et pas seulement les professionnels comme les notaires ou les avocats.

« On parle de textos ou de courriels qui demandent de l’aide en prétextant l’urgence, ou encore des fraudes par ingénierie sociale alors qu’on prend des renseignements sur une personne qui permet de lui voler son identité », explique Annie Josiane Bujold.

Cela illustre à quel point la sensibilisation est essentielle, dit-elle, ajoutant que rien ne permet de croire que les notaires aient été autre chose que des victimes dans cette affaire.

Aucun client n’a été lésé par les fraudes, dont le nombre précis et les sommes engagées n’ont pas été précisées.

Des réponses nuancées

Quant à savoir à qui revient la faute, c’est une question dont les réponses sont nuancées.

D’abord, outre le secret professionnel et la conservation des données personnelles, juridiquement, les obligations sont floues pour les professionnels. « Il n'y a rien de très précis quant aux obligations en matière de sécurité informatique, relate Dominic Jaar, leader national des Enquêtes technologiques chez KPMG à Montréal.

Il reste que les professionnels ont des obligations de compétence, « et au 21e siècle, cela implique d’être compétent technologiquement, poursuit Me Jaar. Donc on peut poser la question de la responsabilité du professionnel. Cela étant, aujourd’hui les fraudes sont hypersophistiquées et il est très difficile d'être certain qu’on a affaire à un canular ».

Une situation courante est un message d’un collègue, ou d’un dirigeant, qui évoque dans un courriel dont l’adresse semble valide, l’urgence de faire un transfert de fonds.

« Et dans un monde très rapide, l'exercice de vérification diligente est difficile à faire. »

Dans beaucoup de cas, ce sont des attaques très simples où l’on envoie un lien menant vers un site où l'on télécharge un cheval de troie. Et l’intrusion peut commencer. Le pirate a accès à la correspondance du professionnel, et peut cibler ce dernier en prétextant être un de ses clients.

Plusieurs applications de piratage tirent profit d’une faille des systèmes de courriels qui n'autentifient pas les individivus.

En outre, la technologie implique « une chaîne comptant plusieurs maillons, et on remarque que dans ces fraudes de hameçonnage, il arrive que plusieurs acteurs aient commis une erreur », observe Sébastien Lapointe, avocat spécialisé en droit des technologies chez Holmsted et Associés et formateur sur la question au Barreau et à la CNQ.

Le maillon faible

Et les professionnels du droit sont souvent le maillon faible de la chaîne, poursuit Me Lapointe. « Tant les avocats que les notaires sont visibles, et ont la responsabilité d’importantes sommes d’argent. Ajoutons à cela que les courriels d’hameçonnage sont de plus en plus sophistiqués, ciblant des personnes précises et les juristes sont des cibles de choix pour les mécréants. »

On n’a plus affaire à des courriels génériques bourrés de fautes, écrits en anglais. Depuis un an, on remarque ainsi des fraudes issues du Québec, ciblant des personnes précises dans les cabinets, observe Sébastien Lapointe. « Des textes écrits en français québécois, adaptés à la situation précise du praticien, nommant parfois des clients font leur apparition », dit-il.

La vulnérabilité aux fraudes par hameçonnage est d’autant plus importante qu’elle est inhérente à la technologie des courriels. Contenant des hyperliens bien dissimulés, ajoutant à la vraisemblance, ils permettent de crédibiliser les transactions frauduleuses. Un problème rendu plus criant par le fait « qu’il n’y a pas encore de standard pour valider les ordres de transaction, comme des protocoles de chiffrement dans les courriels », ajoute Me Lapointe.

La Chambre des notaires explique que de la formation professionnelle obligatoire incluant le numérique est au programme des exigences de formation continue pour les notaires.

Récemment, avec le Barreau et l’Ordre des comptables professionnels agréés du Québec, la Chambre s’est dotée d’une offre de services infonuagiques, « c’est-à-dire la gestion des données numériques détenues par ces professionnels et leur assurant la sécurité, la confidentialité, l’intégrité des informations échangées ».

Un lourd fardeau

C’est que la fraude en général et la cybersécurité en particulier sont une préoccupation constante des juristes, notamment des notaires.
« Plusieurs passent des heures à établir des procédures, sécuriser leurs systèmes, et la menace sécuritaire en empêche certains de dormir la nuit », explique Enrico Martin, directeur de l’Association professionnelle des notaires du Québec.

Car même si on instaure un système et des protocoles hautement sécuritaires, les failles peuvent venir d’ailleurs. Comme des clients, explique celui qui a rédigé un rapport sur la cybersécurité pour le Fonds d’assurance professionnelle des notaires.

Lui-même notaire, il a quitté la pratique privée notamment à cause de la lourdeur du fardeau qu’impose la gestion du cyber risque. « La question de valider l’identité des clients, de sécuriser les sommes qu’on leur confie, tout cela hante plusieurs notaires, dont certains n’en peuvent plus et quittent la pratique ».