:
Bonjour à tous. Je déclare maintenant la séance ouverte.
Bienvenue à la 16e séance du Comité permanent de l'industrie, des sciences et de la technologie de la Chambre des communes. Conformément à l'ordre de renvoi du samedi 11 avril, le Comité se réunit pour recueillir des témoignages sur la réponse du gouvernement à la pandémie de la COVID-19.
La séance d'aujourd'hui se déroule par vidéoconférence, et les délibérations seront diffusées sur le site Web de la Chambre des communes.
Je rappelle aux membres et aux témoins d'attendre que je les désigne par leur nom avant de prendre la parole. Quand vous êtes prêts à parler, activez votre microphone, et désactivez-le quand vous avez terminé. Veuillez parler lentement et intelligiblement pour que les interprètes puissent accomplir leur travail, et formulez vos questions et vos observations par l'entremise de la présidente.
Comme je le fais habituellement, je brandirai le carton jaune quand il reste 30 secondes à votre intervention, et le carton rouge quand votre temps est écoulé.
Je vais maintenant accueillir nos témoins.
[Français]
De l'Autorité des marchés financiers, nous recevons M. Jean-François Fortin, directeur général du contrôle des marchés, ainsi que M. Christian Desjardins, directeur de l'évaluation et du renseignement.
[Traduction]
Nous recevons également M. Byron Holland, président et chef de la direction, M. Dave Chiswell, vice-président au Développement de produits, et M. Albert Chang, conseiller juridique, de l'Autorité canadienne pour les enregistrements Internet.
Nous entendrons aussi M. Scott Jones, dirigeant principal du Centre canadien pour la cybersécurité, du Centre de la sécurité des télécommunications.
M. Simon Marchand, examinateur de fraude certifié et administrateur agréé en Biométrie et sécurité, témoignera au nom de Nuance Communications.
Enfin, de la Gendarmerie royale du Canada, nous accueillons M. Eric Slinn, commissaire adjoint aux Opérations criminelles de la Police fédérale, ainsi que
[Français]
M. Guy Paul Larocque, officier responsable intérimaire, du Centre antifraude du Canada.
[Traduction]
Chaque témoin fera un exposé de cinq minutes, suivi par nos tours de questions.
Nous commencerons aujourd'hui par l'Autorité des marchés financiers. Vous disposez de cinq minutes.
:
Je vous remercie, madame la présidente.
Comme vous l'avez mentionné tout à l'heure, je suis le directeur général du contrôle des marchés. Je suis accompagné de mon collègue Christian Desjardins, directeur de l'évaluation et du renseignement.
L’Autorité des marchés financiers est le régulateur des marchés financiers au Québec et il a pour mission d’encadrer le secteur financier.
L’Autorité des marchés financiers assure en tout temps une vigie proactive des enjeux et problématiques liés à la fraude financière. Ces efforts de vigie se font de multiples façons au sein de plusieurs équipes de l’Autorité, ainsi que par nos participations actives au sein de comités québécois, canadiens ou internationaux.
Nous disposons d’équipes multisectorielles, qui travaillent de façon concertée pour assurer la surveillance des marchés, la cybersurveillance et la vigie des marchés. Nous déployons aussi d’importantes ressources financières pour mener des campagnes majeures de sensibilisation et des partenariats stratégiques.
Depuis le 16 mars, l’Autorité des marchés financiers est en mode télétravail. Nous avons su mettre en place rapidement les équipes nécessaires pour que les activités de mise en application des lois et de sensibilisation se poursuivent à distance. Tous les employés, à quelques exceptions près, sont pleinement fonctionnels en télétravail. Certaines activités, comme des entrevues ou des témoignages en personne, ont dû être ralenties, mais cela n'affecte pas nos activités. Les activités de collecte et d’analyse de l’information, de même que des entrevues en vidéoconférence, se poursuivent.
Dans le cadre de la pandémie de la COVID-19, l’Autorité a intensifié ses activités de surveillance sur le Web, notamment. Nous participons également à un groupe d’intervention sur les investissements frauduleux, qui regroupe des gens de l'ensemble des régulateurs en valeur mobilière au Canada, afin d'échanger de l'information sur les activités illégales observées en lien avec la COVID-19.
Nous participons également au groupe de travail qui a été mis sur pied par la North American Securities Administrators Association, une association qui regroupe des régulateurs en valeur mobilière du Canada et des États-Unis et qui vise à coordonner la mise au jour des fraudes potentielles en matière d’investissement liées à la COVID-19 de même qu'à coordonner les enquêtes connexes, et d’informer le public des dangers potentiels.
De plus, nous avons mis en place une stratégie de surveillance des marchés afin de cibler davantage les activités de manipulation de marchés et de délits d’initiés potentiels. À ce titre, nous avons surveillé de plus près les compagnies pharmaceutiques, notamment, en lien avec la fausse promotion de vaccins ou de solutions pharmaceutiques miracles, par exemple.
Nous faisons également des efforts particuliers et une surveillance plus adaptée en lien avec de potentiels délits d'initié dans le contexte du report de la divulgation des états financiers qui a été accordé par les régulateurs compte tenu de la pandémie. Ce report de divulgation d'information relative au marché accentue les risques de délits d’initiés, puisque les dirigeants ou d'autres personnes, comme des professionnels ou des conseillers, peuvent avoir accès plus longtemps à de l’information délicate inconnue du public.
Cela conclut le volet qui traite de la surveillance des marchés et de la mise en application des lois.
Nous avons aussi poursuivi de façon très proactive les interventions et les initiatives d'information visant le public. L'Autorité a cherché à sensibiliser le public en diffusant sur son site Web des alertes dédiées concernant la prévention de la fraude en lien avec la COVID-19. Nous avons également augmenté nos publications au sujet de la prévention de la fraude sur les médias sociaux, comme Facebook.
Nous avons également adressé des communications écrites aux principales associations d’aînés et aux associations de consommateurs du Québec pour rappeler le maintien de nos services d’assistance et pour les inviter à nous faire part des problèmes qu’elles peuvent observer, notamment les tentatives de fraude.
Enfin, nous avons aussi publié de multiples mises en garde, qui sont diffusées sur les médias sociaux et qui sont souvent relayées par nos partenaires.
J'aimerais aussi souligner un élément important. Dès le mois de mars, à la suite d'observations de tentatives de fraude liées à la COVID-19, nous avons investi dans une campagne majeure qui a été déployée du 6 avril au 5 mai à la télé, sur le Web et sur d'autres médias sociaux.
Je voudrais souligner qu'il y a eu plusieurs initiatives de sensibilisation diffusées à la télévision, dans les médias sociaux et par d'autres moyens de communication pour atteindre les personnes âgées et les personnes vulnérables.
L'Autorité des marchés financiers est l'un des régulateurs en matière financière au Canada. Il y a une collaboration constante avec l'ensemble des régulateurs canadiens en la matière et les régulateurs internationaux.
Merci.
:
Je vous remercie beaucoup, madame la présidente et distingués membres du Comité.
La plupart des gens savent que l'Autorité canadienne pour les enregistrements Internet, ou ACEI, est l'organisme qui gère le registre du domaine .ca. Notre mission première consiste à gérer un espace de domaine sécuritaire et stable.
L'ACEI est considérée comme un chef de file mondial dans l'industrie des noms de domaine. En fait, de nombreux pays s'inspirent de nos infrastructures, de nos services et de nos connaissances pour leurs propres registres de noms de domaine. Notre technologie est considérée comme la meilleure parmi nos pairs. Bref, l'ACEI est parfaitement équipée pour affronter la crise de la COVID-19. Nous avons confiance en notre capacité de protéger l'intégrité du domaine .ca.
À ce jour, nous avons détecté un peu plus de 2 000 noms de domaines comportant des mots-clés relatifs à la COVID-19. Pour mettre les choses en contexte, nous avons enregistré plus de 200 000 noms de domaines depuis janvier. Ce chiffre cadre avec ce que nous observons chez nos pairs de l'Europe et du reste du monde, où les noms de domaines relatifs à la COVID-19 composent moins de 1 % des enregistrements effectués jusqu'à maintenant cette année. Sachez toutefois qu'un grand nombre de ces noms de domaine sont parfaitement légitimes et même bénéfiques, comme conquercovid19.ca, une campagne de soutien aux premiers intervenants.
Nous examinons soigneusement tous les domaines relatifs à la COVID-19 pour nous assurer qu'ils sont conformes à nos règles, en ce qui concerne particulièrement les exigences relatives à la présence canadienne, et nous veillons à ce que tous les domaines restent canadiens. Nous collaborons aussi avec le milieu international des noms de domaines, notamment avec des organisations comme Council of European National Top-Level Domain Registries, pour nous assurer que nous appliquons les mêmes pratiques que nos pairs du reste du monde.
L'ACEI n'est toutefois par mandatée pour examiner ou authentifier le contenu des sites Web ayant un nom de domaine .ca. En outre, une telle authentification ne devrait pas être efficace, puisqu'Internet, et les menaces connexes sont d'envergure internationale. Même si les noms de domaines .ca sont assujettis à la loi canadienne, des milliers d'autres menaces viennent de l'étranger. Il existe des outils et des processus bien établis pour contrer la fraude en ligne et les cyberattaques. Si des Canadiens tombent sur un domaine dont ils soupçonnent qu'il est frauduleux ou malveillant, ils devraient communiquer avec le Centre antifraude du Canada ou le Centre canadien pour la cybersécurité, avec lesquels nous travaillons en étroite collaboration.
Au chapitre de la fraude sur Internet, il importe de se rappeler que les pirates adorent les crises. Même si les solutions techniques constituent une importante protection contre la fraude en ligne et les cybermenaces, le plus grand vecteur d'attaques est la faiblesse humaine. Les cybervoleurs exploitent l'anxiété, l'incertitude et la peur afin de s'en prendre aux Canadiens alors qu'ils sont à leur plus vulnérable. Malheureusement, l'actuelle pandémie de COVID-19 constitue un terreau fertile pour ces criminels.
C'est dans cet environnement que nous avons lancé le Bouclier canadien de l'ACEI, une solution gratuite de sécurité et de protection des renseignements personnels destinée aux citoyens canadiens et à leurs familles. En collaboration avec notre partenaire, le Centre canadien pour la cybersécurité, nous protégeons déjà plus de 50 000 Canadiens avec le Bouclier canadien quand ils travaillent, apprennent, enseignent et socialisent alors qu'ils sont confinés à la maison pendant la pandémie. Le Bouclier canadien s'inscrit dans l'engagement de l'ACEI à établir un Internet fiable pour les Canadiens. Nous nous réjouissons d'avoir l'occasion de protéger chaque Canadien avec ce service gratuit.
L'ACEI contribue à protéger les hôpitaux, les écoles, les universités et les municipalités du Canada grâce au service de cybersécurité d'entreprise du pare-feu DNS, un outil installé chez plus de 1,1 million d'utilisateurs, dont des étudiants, des enseignants, des médecins, des fonctionnaires municipaux et des premiers intervenants de toutes les régions du Canada.
:
Bonjour, madame la présidente et distingués membres du Comité. Je vous remercie de m'avoir invité à témoigner depuis ma salle à manger aujourd'hui afin de traiter de la cyberfraude relative à la pandémie.
Je m'appelle Scott Jones et je suis à la tête du Centre canadien pour la cybersécurité, lequel relève du Centre de la sécurité des télécommunications, ou CST. La CST est un des organismes de renseignement clés du Canada et la principale autorité technique du pays en matière de cybersécurité. Lancé en octobre 2018, le Centre pour la cybersécurité est une organisation relativement nouvelle, mais forte d'une riche histoire et de plus de 70 ans d'expérience en cybersécurité, ayant auparavant fonctionné dans le cadre du mandat de sécurité des TI de longue date du CST. Le Centre pour la cybersécurité constitue une source unifiée de conseils, d'avis, de services et de soutien d'experts sur les questions opérationnelles de cybersécurité, et offre aux citoyens et aux entreprises du Canada une source fiable et transparente de conseils en matière de cybersécurité.
Le Centre pour la cybersécurité s'intéresse particulièrement à cinq principaux domaines. Nous informons d'abord le Canada et les Canadiens au sujet des questions de cybersécurité. En outre, nous protégeons les intérêts des Canadiens au chapitre de la cybersécurité grâce à des conseils, des avis, de l'aide concrète ciblés et de solides partenariats fondés sur la collaboration. De plus, nous mettons au point et partageons des technologies et des outils de cyberdéfense spécialisés, ce qui améliore la cybersécurité de tous les Canadiens. Nous défendons également les sybersystèmes, notamment ceux du gouvernement, en déployant des solutions de cyberdéfence perfectionnées. Enfin, nous agissons à titre de chef de file opérationnel et de porte-parole du gouvernement lorsque surviennent des incidents de cybersécurité.
Voilà qui m'amène à l'objet de la discussion d'aujourd'hui: la cybersécurité en temps de pandémie de la COVID-19. Comme nous l'avons fait remarquer dans l'évaluation nationale des cybermenaces en 2018, la cybercriminalité constitue la plus grande menace qui cible les Canadiens. J'aimerais faire le point sur le travail que le Centre pour la cybersécurité accomplit pour protéger les Canadiens des cyberfraudes entreprises avant, pendant et après la pandémie.
En ces temps incertains, les auteurs de cybermenaces tentent de profiter du degré accru d'inquiétude et de crainte des Canadiens au sujet de la COVID-19. De nombreux Canadiens se sentent naturellement craintifs et tendus, et ces réactions émotives peuvent être exploitées en ligne. Nous avons constaté une augmentation des signalements d'acteurs malveillants qui utilisent la COVID-19 dans des campagnes d'hameçonnage et des fraudes commises au moyen de maliciels.
La COVID offre aux cybercriminels et aux fraudeurs un appât efficace qui encourage les victimes à visiter de sites frauduleux, à ouvrir des pièces jointes à des courriels et à cliquer sur des liens dans des messages textes. Souvent, ces sites Web, ces courriels et ces liens adoptent les couleurs d'organisations sanitaires ou appartiennent prétendument au gouvernement fédéral, entre autres, et visent à propager un maliciel et à soutirer de l'argent ou des renseignements personnels aux Canadiens.
Le Centre pour la cybersécurité a évalué que la pandémie de la COVID-19 présente un degré élevé de risque pour la cybersécurité des organisations sanitaires canadiennes qui participent à la réponse nationale à la pandémie. Je tiens à vous assurer que le CST et le Centre pour la cybersécurité font des pieds et des mains pour atténuer ces menaces et pour protéger les Canadiens.
Je prendrai plaisir à vous expliquer les mesures que nous prenons pour tenter de protéger le gouvernement du Canada, les systèmes importants et tous les Canadiens contre les cyberfraudes pendant la pandémie. Nous continuons de tirer parti de toutes les facettes de notre mandat pour que le Canada soit protégé contre les menaces et que le gouvernement fédéral ait accès aux renseignements qui peuvent l'aider à prendre des décisions quant à l'approche à adopter à l'égard de la COVID-19. Le Centre pour la cybersécurité travaille sans relâche pour sensibiliser continuellement la population aux cybermenaces qui ciblent les organisations sanitaires canadiennes en lançant des alertes à la cybermenace de manière proactive et en fournissant des conseils et des avis personnalisés aux organisations sanitaires canadiennes, aux partenaires du gouvernement et aux parties prenantes de l'industrie.
Outre les conseils et les avis que nous offrons aux organisations canadiennes, nous continuons d'améliorer la campagne « Pensez cybersécurité » pour aider tous les Canadiens à prendre des mesures pour assurer leur propre sécurité en ligne. En collaboration avec des partenaires de l'industrie et le réseau international d'organisations de cybersécurité, le Centre pour la cybersécurité contribue à l'élimination de sites frauduleux et d'autres mécanismes utilisés pour arnaquer les Canadiens, y compris des sites appartenant faussement au gouvernement du Canada.
Pour soutenir les programmes importants pour le gouvernement, nous continuons aussi de surveiller les programmes du gouvernement fédéral, comme l'application Web de la Prestation canadienne d'urgence, et de les protéger contre les cybermenaces. [Difficulté technique]
:
Membres du Comité, bonjour. Je vous remercie de me recevoir aujourd'hui.
Je m'appelle Simon Marchand et j'occupe le poste de chef de la prévention de la fraude chez Nuance Communications Canada. Nuance est une entreprise américaine qui est très présente à Montréal. Elle développe des technologies liées à l'intelligence artificielle et à la biométrie vocale, qui sont appliquées notamment à la prévention de la fraude. Chez Nuance, je suis spécifiquement responsable d'appliquer ces technologies de biométrie vocale pour prévenir l'usurpation d'identité. Nuance est très présente au Canada en ce moment, ses technologies de biométrie étant déployées dans la majorité des grandes banques et des entreprises de télécommunication canadiennes. Nuance est aussi présente à l'international, dans les grandes banques américaines et dans la plupart des grandes entreprises de la planète. Nous développons également des technologies destinées aux organismes d'application de la loi et à certains services gouvernementaux pour leur permettre de recueillir des éléments de preuve ou d'identifier des citoyens.
Je suis ici aujourd'hui pour vous faire part de certaines de nos observations. Dans mon rôle, je suis évidemment au courant de toutes les grandes fraudes qui ont cours sur la planète. Je veux vous faire part de certaines observations que nous avons faites en lien avec la pandémie de la COVID-19 et vous faire part de certains des risques qui ont été relevés ou qu'il faut prévoir. Cela permettra d'assurer que la législation canadienne sera prête afin de traiter les problèmes de fraude qui risquent de survenir prochainement.
Je vais commencer par certains risques internes. À cause de la pandémie de la COVID-19, certaines entreprises ont rapidement réorganisé leurs activités pour permettre le télétravail. Il ne m'appartient pas de me prononcer sur les effets bénéfiques ou néfastes du travail à distance. Par contre, le télétravail comporte des risques avérés, surtout quand on parle de service à la clientèle. Tous les agents de service à la clientèle qui sont normalement dans des centres d'appels travaillent maintenant de chez eux, dans un environnement non supervisé. Ces agents disposent de peu de ressources, mais ont maintenant l'occasion d'avoir accès à de l'information de nature délicate sur des consommateurs, qu'il s'agisse de données sur leurs actifs ou d'information pouvant être utilisée par certaines personnes pour se faire passer pour quelqu'un d'autre.
La situation socioéconomique dans laquelle nous nous trouvons va certainement exercer de la pression sur beaucoup de ménages. En matière de fraude interne, nous savons que la pression et l'occasion sont les deux motifs fondamentaux qui vont pousser un employé à agir contre les intérêts de son employeur et à commettre une fraude. Cette fraude peut consister à voler de l'information appartenant à l'organisation, dont certaines recueillent des données de nature très délicate sur les citoyens canadiens.
Ces changements dans l'organisation du travail soulèvent pour l'avenir le risque que de l'information soit volée puis diffusée sur le Web clandestin. Cela va certainement faciliter le travail des fraudeurs spécialisés dans le vol d'identité.
D'autres témoins ont mentionné l'hameçonnage. Le problème est déjà documenté, mais les fraudeurs bien organisés se sont adaptés à la pandémie et utilisent la COVID-19 comme prétexte pour tenter de soutirer de l'information aux gens. Dans certaines régions, il y a une augmentation de 600 % des tentatives d'hameçonnage prétextant la COVID-19, au moyen de pièces jointes, de sites Web ou d'autres méthodes d'approche.
Cela va permettre à des fraudeurs d'accumuler une importante quantité d'information sur les consommateurs. Cette information sera utilisée, non pas dans les prochaines semaines, mais bien dans les 6 à 18 prochains mois pour ouvrir des comptes, obtenir des produits financiers ou se procurer des produits d'entreprises de télécommunication.
Puisque les banques et les entreprises de télécommunication sont de compétence fédérale, il est pertinent que le législateur soit au courant de ces risques. On parle beaucoup de la responsabilité des entreprises pour ce qui est de protéger les données qui leur sont confiées. Cependant, je pense qu'il faut plutôt s'interroger sur la responsabilité des entreprises, en matière de reddition de compte, concernant l'information qu'elles utilisent pour offrir leurs services. En effet, quand on parle d'une banque qui se fait voler de l'information, il faut s'interroger sur sa responsabilité, qui est de protéger cette information. Personne ne s'interroge sur ce qui va être fait avec cette information une fois qu'elle est recueillie. Il y a un grand manque sur le plan de la reddition de compte.
C'est avec plaisir que je répondrai à vos questions à ce sujet.
:
On m'a indiqué où j'étais rendu. Merci. Je suis désolé qu'il y ait eu un problème. La technologie a des répercussions sur nous tous.
En collaboration avec nos partenaires de l'industrie et dans le cadre du travail international d'organisations de cybersécurité, nous avons contribué à éliminer des sites frauduleux, et j'ai parlé de la protection de la Prestation canadienne d'urgence, ou PCU.
Les auteurs de cyberattaques cherchent désormais à exploiter les connexions établies pour le télétravail, étant donné que de nombreux travailleurs exécutent leurs tâches à l'extérieur du périmètre sécurisé normalement fourni par leurs organisations. En l'occurrence, le Centre pour la cybersécurité s'est associé à l'Autorité canadienne pour les enregistrements Internet — ou ACEI, comme vous l'avez entendu — dans le but de créer et de mettre en place le Bouclier canadien de l'ACEI. Ce bouclier consiste en un service gratuit de coupe-feu DNS qui vise à protéger la confidentialité en ligne et à garantir la sécurité des Canadiens. D'ailleurs, l'ACEI a fait montre d'un leadership remarquable en mettant au service des Canadiens un mécanisme de protection des activités en ligne. Je tiens donc à la remercier du travail accompli dans le cadre de notre partenariat.
Pour protéger encore plus les Canadiens, nous avons jugé important de les tenir au courant des questions de cybersécurité. Grâce à la publication de conseils et de consignes spécialement conçus, le Centre pour la cybersécurité permet de renforcer la protection des ressources électroniques des Canadiens. Nous avons diffusé, notamment, des conseils de cybersécurité sur les outils de vidéoconférence et de télétravail. De cette façon, nous tenons à informer et à sensibiliser les Canadiens relativement aux moyens de sécuriser les activités en ligne, particulièrement en cette période où nombre d'entre nous travaillent à domicile.
Le Centre pour la cybersécurité a élaboré tout un éventail de conseils et de consignes, dont un bon nombre sont maintenant plus pertinents que jamais. D'ailleurs, j'encourage les Canadiens à visiter notre site Web pour en apprendre davantage sur les directives et les pratiques exemplaires qu'il convient de mettre en pratique pour que chacun puisse se protéger contre les cybermenaces.
Il importe enfin de souligner que le gouvernement du Canada entretient des relations solides et précieuses avec ses partenaires internationaux de la cybersécurité. Nous échangeons régulièrement des renseignements, ce qui a des répercussions importantes sur le maintien de la sûreté et de la sécurité de nos pays respectifs. Le CST et le Centre pour la cybersécurité sont à l'œuvre pour contrer les cybermenaces qui pourraient peser sur les Canadiens en ces temps difficiles. Toutefois, la cybersécurité est la responsabilité de tous, et nous nous engageons à tirer parti de notre vaste expertise pour assurer la protection du Canada et des Canadiens.
Je vous remercie de nouveau de m'avoir offert l'occasion de témoigner devant vous aujourd'hui et d'avoir fait preuve de patience à l'égard de la technologie. Je me ferai un plaisir de répondre à vos questions.
[Français]
Je vous remercie, madame la présidente.
C'est avec plaisir que je prends la parole devant le Comité dans le cadre de son étude sur la réponse du Canada à la pandémie de la COVID-19.
Je suis accompagné aujourd'hui du sergent Guy Paul Larocque, qui joue un rôle de premier plan dans la gestion du Centre antifraude du Canada, ou CAFC.
[Traduction]
Dans le cadre de notre mandat consistant à protéger l’intégrité économique du Canada, la criminalité financière, y compris la fraude, est depuis longtemps une priorité de la Police fédérale à la GRC. Devant la pandémie de la COVID-19, le travail que nous accomplissons avec nos partenaires des secteurs public et privé au Canada et dans le monde pour combattre et prévenir la fraude s’avère encore plus important. Cette responsabilité partagée témoigne de la confiance que les Canadiens accordent à la GRC pour veiller à leur sécurité et assurer une réponse opportune et efficace à la pandémie de la COVID-19.
Alors que les mesures visant à juguler la crise se poursuivent, la pression sur les Canadiens et les institutions qui servent le pays ne fera que s’accentuer. Les criminels chercheront à exploiter les vulnérabilités du système et des Canadiens eux-mêmes, comme nous l’avons malheureusement constaté. Nous devons faire preuve de diligence pour lutter contre ceux et celles qui tentent d’escroquer les Canadiens les plus vulnérables en misant sur leurs peurs et leurs incertitudes face à la pandémie. En termes clairs, les criminels exploitent activement la peur, l’incertitude et le doute face à la pandémie de COVID-19. Nous le savons parce que le Centre antifraude du Canada, ou CAFC, a constaté une hausse considérable du nombre de signalements de fraude de janvier à avril par rapport à la même période l’an dernier.
Depuis mars 2020, nous avons dénombré près de 1 000 plaintes de fraude relativement à la COVID-19. Dans la plupart des cas, il s’agit de tentatives d’hameçonnage dans le cadre desquelles des criminels cherchent à obtenir des renseignements personnels au moyen de courriels ou de messages textes prétendument liés à des demandes de Prestation canadienne d’urgence, ou de tentatives d’installation d’un logiciel malveillant sur les appareils des victimes. Toutefois, les plus importantes pertes pécuniaires découlent de la vente frauduleuse de biens liés à la pandémie de COVID-19, comme des masques, du matériel de dépistage ou des remèdes miracles.
Bien que nous ayons reçu un grand nombre de signalements de fraude liée à la COVID-19, les criminels continuent à user de fraudes et d’escroqueries traditionnelles pour exploiter les Canadiens, qui en subissent de lourdes conséquences. Par exemple, les fraudes commises contre les aînés l’an dernier sont estimées à plus de 700 millions de dollars, et ces types de fraudes ont gagné du terrain pendant la pandémie à mesure que ces groupes criminels insensibles ont continué d'exploiter les vulnérabilités des gens et des institutions. Enfin, les groupes du crime organisé tentent d’escroquer le gouvernement et minent les efforts visant à offrir de l’aide financière aux personnes qui sont réellement dans le besoin. L’intensification des activités frauduleuses liées à la COVID-19 et des fraudes traditionnelles illustre vraiment la capacité des groupes criminels de s’adapter aux circonstances et de les exploiter pour en tirer des gains personnels.
En réaction directe aux fraudes commises relativement à la COVID-19, la GRC a intensifié ses efforts en matière de renseignement et d’application de la loi face à ces activités illégales. Plus que jamais, nous admettons que, à tous les échelons des services de police, la GRC a un important rôle à jouer. Pour coordonner l’intervention de la GRC, en mars, nous avons commencé à exécuter un programme axé sur les fraudes liées à la COVID-19. Des efforts de coordination sont déployés à la direction générale, tandis que le CAFC s’occupe de l’analyse du renseignement, de la collecte de statistiques et des activités de communication. Des membres des divisions se chargent de la perturbation des fraudes et de l’application de la loi, en plus d’avoir la responsabilité d’assurer la liaison avec les services de police compétents pour mieux coordonner les interventions à l’échelle locale.
En reconnaissance de la responsabilité partagée entre les organismes publics et privés dans la lutte contre la fraude, la GRC collabore avec ses principaux partenaires et intervenants, au pays comme à l’étranger, pour échanger des renseignements et coordonner les efforts d’application de loi relativement à la pandémie. Si l’objectif initial était les fraudes en ligne, il s’est rapidement élargi pour inclure tous les types de fraude et de crime liés à la COVID-19, pour que nous puissions mieux veiller à la sécurité publique.
La prévention est un élément fondamental de la lutte contre la fraude. En effet, ces fraudeurs sont si envahissants et insidieux, et leurs activités si lucratives, que la seule application de la loi ne suffit pas à lutter contre ce crime; ce serait comme arracher des mauvaises herbes. Comme ma grand-mère le répétait souvent, il vaut mieux prévenir que guérir. L’accroissement continu de la sensibilisation du public est un outil essentiel de la stratégie de prévention qui doit être maintenue. Comme nous l'avons mentionné lors de notre dernière comparution devant le Comité, la GRC gère le CAFC en partenariat avec le Bureau de la concurrence Canada et la Police provinciale de l’Ontario depuis 2005. Ce centre agit à titre de chef de file en matière d’initiatives de prévention, étant notamment très actif sur diverses plateformes médiatiques pour communiquer avec les Canadiens.
En plus d’administrer le CAFC, la GRC gère une unité de prévention et de mobilisation de la police fédérale. Ce groupe joue un rôle important pour coordonner des réunions avec de nombreux services de police, organismes du gouvernement du Canada, fournisseurs du secteur privé et institutions financières à l’échelle du Canada.
Cela dit, je vais m'arrêter ici. Je pourrais probablement poursuivre mon intervention, mais il y a d'autres personnes qui souhaitent s'exprimer.
Je suis impatient de répondre à vos questions.
[Français]
Je vous remercie beaucoup.
:
J’ai changé mon micro et mes écouteurs. Avec un peu de chance, vous m’entendrez mieux.
Madame la présidente, je vous remercie de me donner encore une fois l’occasion de faire un exposé. Comme vous me l’avez demandé, je vais commencer au début afin de m’assurer que les gens qui n’étaient pas en mesure de m’entendre le peuvent maintenant.
Je m’appelle Byron Holland, et je suis président et chef de la direction de l’Autorité canadienne pour les enregistrements Internet, ou ACEI. Notre organisation a pour principale mission d’exploiter le registre des noms de domaine .CA, d’une façon sécuritaire, stable et sécurisée.
Dans notre domaine, l’Autorité est reconnue comme un chef de file à l’échelle mondiale. En fait, un grand nombre de pays tirent parti de notre infrastructure, de nos services et de nos connaissances pour gérer leurs propres registres de noms de domaine. Parmi nos pairs, notre technologie est considérée comme la meilleure en son genre. Bref, l’ACEI est parfaitement équipée pour gérer la crise de la COVID-19. Nous avons confiance en notre capacité de protéger l’intégrité du registre des noms de domaine .CA.
Jusqu’à maintenant, nous avons repéré un peu plus de 2 000 noms de domaine .CA dont les mots clés sont liés à la COVID-19. Pour replacer les choses dans leur contexte, je précise que nous avons ajouté plus 200 000 noms de domaine depuis le début de l’année. Cela cadre avec ce que nous ont fait observer nos pairs partout dans le monde, où les noms de domaine liés à la COVID représentent moins de 1 % de l’ensemble des enregistrements. Toutefois, il est important de noter que bon nombre de ces domaines sont parfaitement légitimes, et même positifs, comme le nom de domaine conquercovid.ca, qui est lié à une campagne visant à appuyer les premiers intervenants.
Nous examinons minutieusement tous les noms de domaine liés à la COVID-19 afin de nous assurer qu’ils respectent nos règles, en général, et nos exigences relatives à la présence canadienne, en particulier. Nous travaillons aussi en collaboration avec la communauté mondiale des noms de domaine, y compris des organisations comme le Council of European National Top-Level Domain Registries, afin de nous assurer que nos pratiques exemplaires coïncident avec celles appliquées à l’échelle mondiale.
Toutefois, il est important de noter que l’ACEI n’a pas pour mandat d’examiner ou d’authentifier le contenu des sites Web des domaines .CA et, de toute manière, une telle authentification serait inefficace, étant donné qu’Internet et les menaces qui s’y rattachent sont véritablement d’origine mondiale. Même si les domaines .CA sont assujettis aux lois canadiennes, il y a des milliers d’autres menaces qui proviennent de l’extérieur de nos frontières. Des outils et des processus bien établis ont été mis en place pour gérer la fraude en ligne et les cyberattaques. Si les Canadiens trouvent des noms de domaine qu’ils soupçonnent d’être utilisés à des fins frauduleuses ou malveillantes, ils peuvent communiquer avec le Centre antifraude du Canada ou, comme nous l’avons entendu, avec le Centre canadien pour la cybersécurité. Nous travaillons en étroite collaboration avec ces deux organisations.
En ce qui concerne la fraude sur Internet, il est important de se souvenir que les pirates informatiques aiment profiter d’une crise importante. Même si les solutions techniques forment un obstacle substantiel à la fraude en ligne, la fragilité humaine, que les cybercriminels exploitent, constitue le meilleur vecteur d’attaque. Malheureusement, la pandémie actuelle a fourni à ces criminels un climat d’anxiété accrue qui les aide à exercer leurs activités, et elle a simultanément forcé la plupart des Canadiens à travailler, à apprendre, à enseigner et à socialiser au moyen de leurs appareils personnels et de leur réseau résidentiel, lesquels ne sont pas protégés par une sécurité de catégorie commerciale.
C’est dans ce contexte que nous avons lancé le Bouclier canadien de l’ACEI, une solution de sécurité et de protection de la vie privée conçue à l’intention de tous les Canadiens et de leur famille. Comme vous l’avez entendu dire, nous avons élaboré cette solution en partenariat avec le Centre canadien pour la cybersécurité. À l’heure actuelle, nous protégeons plus de 50 000 Canadiens, et ce bassin d’utilisateurs s’agrandit. Le Bouclier canadien témoigne de l’engagement que l’ACEI a pris à l'égard de la création d'un Internet digne de confiance pour les Canadiens, et nous sommes impatients de donner à tous les Canadiens l’occasion de se protéger au moyen de ce service gratuit.
Nous contribuons aussi à protéger des hôpitaux, des écoles, des universités et des municipalités du Canada à l’aide de notre service de cybersécurité d’entreprise, c’est-à-dire DNS Firewall de l’ACEI. Notre clientèle compte plus de 1,1 million d’utilisateurs qui comprennent des étudiants, des enseignants, des médecins, des travailleurs municipaux et des premiers intervenants partout au Canada. Nous offrons ce service gratuitement à tous les établissements de soins de santé et les petites entreprises du Canada jusqu’en septembre, au moment où, avec un peu de chance, la crise commencera à s’atténuer.
Enfin, la connaissance est le facteur qui importe le plus lorsqu’il s’agit de protéger les Canadiens contre la fraude en ligne. Tout comme nos parents nous ont appris à regarder des deux côtés avant de traverser la rue, les Canadiens ont besoin d’acquérir un sens pratique sur Internet qui leur permettra de repérer les tentatives de fraude, les fausses nouvelles, la désinformation et les arnaques. La meilleure façon d’y parvenir consiste à les sensibiliser et à les éduquer.
À l’ACEI, nous faisons équipe avec Beauceron Security, un excellent exemple de réussite au Nouveau-Brunswick, afin de mettre en œuvre la formation sur la sensibilisation envers la cybersécurité de l’ACEI, c’est-à-dire une plateforme qui permet d’éduquer les employés, d’établir des points de référence et de mettre les employés continuellement à l’épreuve afin de s’assurer qu’ils ont acquis le sens pratique le plus récent en matière de cybersécurité. Nous avons aussi lancé un cours de cybersécurité gratuit, intitulé « Pratiques de cybersécurité pour les travailleurs à distance », afin d’aider des milliers de Canadiens qui travaillent maintenant à la maison à se protéger et à protéger leur organisation contre des cybermenaces.
Tout ce que j’ai mentionné jusqu’à maintenant représente des exemples d’innovation, de compétence et de leadership canadiens dans le domaine de la cybersécurité. Toutefois, au moment où le Canada et le monde entier entrent dans une ère où Internet s’avère être un canot de sauvetage pour l’économie mondiale, nous croyons que le Canada doit en faire davantage pour être un chef de file de la cybersécurité à l’échelle mondiale. Nous encourageons le gouvernement du Canada à consacrer encore plus de fonds à la recherche sur la cybersécurité et à l’élaboration de solutions et de plateformes pour protéger les Canadiens et assurer la sécurité de notre économie numérique. C’est seulement en investissant que nous pourrons faire en sorte que les Canadiens aient accès à de la formation, des outils et des plateformes pour se protéger et protéger leurs entreprises contre la fraude en ligne et des logiciels malveillants.
Il n’y a pas de solution miracle. Comme le portrait des menaces évolue constamment, notre sensibilisation et notre technologie doivent progresser au même rythme. À l’Autorité canadienne pour les enregistrements Internet, l'ACEI, nous sommes impatients de vous aider de toutes les façons possibles.
Je vous remercie d’avoir pris le temps de m’écouter.
:
Je vous remercie, madame la présidente.
Je veux d'abord souligner la contribution du député Masse, qui nous sensibilise à cet enjeu depuis quelque temps. Il nous amène à en prendre conscience, et nous en venons à mieux le connaître. Comme parlementaire, je sens que nous avons la responsabilité d'agir pour mieux protéger nos concitoyens.
J'aimerais revenir sur l'intervention de M. Marchand. Il a mentionné notamment que, lorsque les conditions économiques et sociales se dégradaient, les attaques externes se produisaient beaucoup plus souvent. On parle ici d'une augmentation qui est de l'ordre de 600 %. De plus, ces informations sont utilisées non pas à court terme, mais davantage à moyen terme, soit à l'intérieur d'une période d'environ 18 mois.
Monsieur Marchand, vous avez dit qu'il y avait un manque sur le plan de la reddition de compte du fait que la situation actuelle facilitait l'ouverture de comptes frauduleux et les activités criminelles. Pouvez-vous nous expliquer en quoi cela représente un problème, concrètement, et quelle forme pourrait prendre la reddition de compte dans les entreprises?
:
Je vous remercie beaucoup, monsieur Lemire.
Je vais commencer par clarifier le chiffre de 600 %. Il concerne l'augmentation du nombre d'attaques liées à la COVID-19 pendant cette période très précise, et pas nécessairement l'augmentation liée à des relations de fonction économique. En cas de crise économique, il y aura évidemment une augmentation des attaques de fraudes. Les pourcentages varient.
Cela étant dit, l'absence de reddition de compte dans les entreprises qui relèvent de la compétence fédérale pose problème dans la mesure où toutes les lois actuelles — on peut penser à la Loi sur la protection des renseignements personnels et les documents électroniques, par exemple — forcent les entreprises à révéler le fait qu'elles ont été victimes d'une attaque qui leur a fait perdre de l'information. Cependant, au Canada, il n'y a présentement aucun portrait global du nombre de personnes qui sont effectivement victimes d'une utilisation de leur identité une fois que cette dernière a été volée. Comme les entreprises relevant de la compétence fédérale sont des banques et des entreprises de télécommunications, elles sont des facilitatrices de crimes l'une pour l'autre, c'est-à-dire que l'on base beaucoup la crédibilité d'une identité sur le fait que la personne possède un compte de téléphone ou un compte bancaire. Ce sont donc des entreprises qui ont accès à beaucoup d'informations de nature délicate et qui, une fois qu'un fraudeur a réussi à entrer, vont permettre à ce fraudeur de commettre de plus en plus de fraudes.
Je possède plus de 10 ans d'expérience dans le domaine de la prévention et je travaille en collaboration avec les équipes de prévention de la fraude qui sont mises sur pied dans ces entreprises. Je peux vous dire qu'une équipe de prévention d'une banque ou d'une entreprise de télécommunications n'a aucune obligation de révéler combien de comptes ont été ouverts sur une base quotidienne ou annuelle. Il n'y a même aucune obligation de contacter ou d'identifier les victimes d'un vol d'identité. Cela veut dire que vous pourriez avoir été victime d'un vol d'identité, que votre identité a pu être utilisée pour ouvrir un compte dans une entreprise de télécommunications, par exemple. L'équipe qui s'occupe des fraudes a pu détecter le vol d'identité et renverser l'opération, mais elle n'a pas l'obligation d'en aviser le citoyen, c'est-à-dire le consommateur. Ainsi, ce dernier est complètement aveugle. Personne ne sait quand son identité a été utilisée. Le citoyen ne peut pas prendre d'autres mesures pour se protéger dans l'avenir. Ce manque de reddition de compte empêche le gouvernement de poser des gestes clairs et d'encadrer les processus d'identification et d'authentification des gens qui vont ouvrir des comptes bancaires ou des comptes de téléphone.
:
Merci, madame la présidente.
J'aimerais remercier les témoins, vous remercier, madame la présidente, et remercier les autres membres du Comité de ce travail continu. Je vous en suis tous très reconnaissant.
L'une des choses qui a capté mon attention dans les témoignages que nous avons entendus, qui étaient excellents, c'est que nous nous fions aux médias sociaux, y compris à Facebook, pour enquêter et nous renseigner sur la façon de nous protéger contre la fraude. Cependant, Facebook a récemment lui-même été trouvé coupable et a dû payer 9 millions de dollars en amende pour avoir trompé des Canadiens. En fait, il semble qu'il ait fait « des déclarations fausses ou trompeuses sur la confidentialité des renseignements personnels des Canadiens » . Pourtant, nous dépensons des dizaines de millions de dollars des contribuables en publicités sur cette plateforme.
Je m'adresserai d'abord à M. Marchand, puisqu'il a probablement une bonne perspective des États-Unis.
Concernant la fraude chez les entreprises, Volkswagen a conclu une entente de 14,7 milliards de dollars avec les États-Unis. Au Canada, le Bureau de la concurrence lui a imposé une amende de 2,5 millions de dollars. Equifax a signé une entente de 600 millions de dollars aux États-Unis; au Canada, le Bureau de la concurrence ne lui a imposé aucune amende. Plus récemment, Facebook s'est fait imposer une amende de 5 millions de dollars aux États-Unis, puis une autre de 9,5 millions de dollars au Canada.
À mes yeux, le Bureau de la concurrence, le Commissariat à la protection de la vie privée et le CRTC sont des outils importants pour protéger les Canadiens de la fraude. Leurs pouvoirs semblent toutefois un peu obsolètes.
Pouvez-vous nous expliquer s'il y a un désalignement entre les peines imposées au Canada et celles imposées aux États-Unis, et nous dire si cela rend la responsabilisation difficile, même lorsque la fraude est commise par ce qu'on appelle des entités commerciales?
:
Je vous remercie beaucoup de la question.
Il y a peut-être deux outils que nous pourrions regarder à court terme. En fait, le but est de fournir des outils aux entreprises qui sont exposées à ces risques. Maintenant que les fraudeurs ont accès à l'information, comment pouvons-nous donner des outils aux banques et aux entreprises de télécommunications pour empêcher les fraudeurs de les attaquer avec succès?
Les normes STIR/SHAKEN font partie de ces outils. Évidemment, selon moi, comme les Américains vont instaurer ces normes rapidement, on peut s'attendre à ce que des fraudeurs passent au nord de la frontière et viennent tirer profit d'un trou dans la législation, dans la réglementation du Canada.
Les normes STIR/SHAKEN constituent, à mon avis, un outil fondamental parce que les fraudeurs utilisent l'appropriation, ou scooping, pour être capables de perpétrer certaines fraudes d'identité. Ce n'est donc pas juste une question d'appels robotisés, c'est aussi une question de vol d'identité.
Quant à l'autre outil, je pense qu'il faut renforcer les règles visant l'identification des clients. En ce moment, un numéro d'assurance social, un permis de conduire ou une carte d'assurance-maladie est suffisant pour ouvrir un compte bancaire ou un compte téléphonique. Ces pièces d'identité sont désuètes. Il va falloir commencer à regarder la question de l'identité numérique, de l'identité biométrique.
Plusieurs pays sont déjà passés à ces niveaux supérieurs d'identification. Pour protéger les citoyens, cela va devenir fondamental de se demander s'il faut exiger une certaine forme d'identification biométrique, plus avancée, au moment d'ouvrir de tes comptes.
:
Je vous remercie de la question.
Ultimement, je pense que l'éducation est une bonne chose. Il faut en effet sensibiliser les gens aux risques auxquels ils s'exposent lorsqu'ils sont sur le Web et qu'ils répondent à des appels. Selon moi, la loi est inadéquate, mais elle touche en partie la protection des données qui sont confiées à une entreprise avec laquelle on a une relation d'affaires. Cependant, tout un pan de la législation est totalement absent, en l'occurrence le fait de s'assurer de ce qu'il advient de l'identité de la personne une fois qu'elle a fait l'erreur de fournir ses renseignements personnels ou que, à son insu, ces renseignements lui ont été volés.
Quand cette identité est utilisée pour obtenir une carte de crédit, ouvrir un compte bancaire, faire du blanchiment d'argent ou autre chose du genre, il ne faut pas seulement considérer le crime, mais également le fait que cela facilite à plus grande échelle l'activité criminelle globale, que ce soit la traite de personnes, le trafic de la drogue ou les activités terroristes. Je pense qu'il faut responsabiliser les entreprises quant à cet autre aspect. Il va falloir mettre en vigueur une loi beaucoup plus mordante pour protéger les gens une fois que leur identité est tombée dans d'autres mains.
:
Merci beaucoup, madame la présidente.
À n'en pas douter, nous avons droit aujourd'hui à des témoignages fort intéressants.
Nous ne manquons pas d'entendre certains commentaires, même en provenance du gouvernement, quant à savoir si l'on souhaite vraiment ou non faire enquête sur les fraudes à ce moment-ci. J'estime que cela ouvre sans doute la porte encore davantage aux criminels qui veulent profiter de la situation, ce qui est plutôt frustrant.
J'aimerais faire un retour en arrière. À la fin mars, le Centre pour la sécurité des télécommunications a annoncé avoir fermé des sites Web frauduleux qui avaient usurpé l'identité de l'Agence de la santé publique du Canada, de l'Agence du revenu du Canada et, plus récemment, de l'Agence des services frontaliers du Canada. Le général Vance, le chef d'état-major de la Défense de notre pays, vient de nous faire savoir que certains indices laissent croire que les adversaires du Canada comptent exploiter l'anxiété croissante causée par la pandémie actuelle.
J'adresse ma question aux gens de la GRC. Quelle forme pourraient prendre selon vous de telles attaques? De quels pays est-il question et prenons-nous actuellement des mesures pour contrer cette menace?
Madame Gray, je crois que nous nous intéressons au même sujet, et je pourrai peut-être donner suite à vos questions.
Moi aussi, j'ai des questions pour la GRC. À Guelph, nous avons la chance d'avoir un ancien agent de la GRC, Gord Cobey, comme chef de police. Nous collaborons de près. De plus, la Police provinciale de l'Ontario dessert les environs de Guelph, ce qui fait que nous avons des corps policiers de ressorts différents qui travaillent ensemble et qui entretiennent des liens.
Monsieur Slinn, lors de votre dernière comparution, vous avez parlé de l'éducation du public et à quel point il est important de transmettre les renseignements rapidement. Si c'est possible de le dire en séance publique, pouvez-vous nous indiquer comment les corps policiers transmettent les renseignements? Y a-t-il une façon dont nous pouvons vous aider à réagir plus rapidement à la COVID-19, comme nous avons eu à le faire dans d'autres secteurs?
:
Je vous remercie, madame la présidente.
Ce qui m'a vraiment irrité à propos de la situation concernant Facebook, c'est que cette entreprise a eu recours également à des applications tierces. Aux États-Unis, elle est tenue de verser 5 milliards de dollars, et au Canada, 9 millions de dollars. Cette somme ne couvre même pas les frais de publicité du gouvernement du Canada. Nous diffusons de la publicité sur la fraude sur la plateforme de cette entreprise qui a induit les Canadiens en erreur. Je pense que c'est inapproprié. Je suppose que nous disposons de très peu d'outils.
Je vais m'adresser à nouveau à M. Marchand. En ce qui concerne les normes STIR/SHAKEN, je comprends ce qu'ont fait valoir les entreprises, mais elles n'ont pas réussi à nous convaincre de ne pas mettre en œuvre ces normes, car, même si toutes les entreprises n'adoptent pas immédiatement les normes STIR/SHAKEN, celles-ci auront des avantages clairs. Ces normes permettraient de filtrer les appels téléphoniques. Les consommateurs auraient des choix et un certain pouvoir. Ils pourraient choisir de ne pas répondre à un appel qui n'a pas été filtré. Ils auraient davantage de contrôle.
Que pourrions-nous faire d'autre? Cela ne me dérange pas si vous rejetez ces idées. Vous ne me blesserez pas. Devrions-nous mettre en place une initiative énergique semblable au programme Échec au crime? Devrions-nous avoir recours au publipostage, car nous pouvons contrôler le message diffusé aux Canadiens par l'entremise du système postal? Devrions-nous envisager de mettre sur pied une commission royale d'enquête?
Plus nous consacrons d'argent à la prévention de la fraude, moins nous en consacrons à la prévention d'autres crimes. Nous ne pouvons pas passer à la vitesse supérieure dans ce pays parce qu'il semble y avoir un chaînon manquant.