Toronto a évité de justesse une tentative de fraude stupéfiante de 25 millions de dollars l’année dernière lorsque des escrocs ont utilisé les identifiants d’un employé municipal retraité pour tenter de détourner des paiements d’électricité vers des comptes frauduleux.
Ce stratagème, qui ciblait le système de comptes créditeurs de la ville en septembre 2023, représente l’une des attaques financières les plus sophistiquées contre l’infrastructure de Toronto de mémoire récente. Selon des documents obtenus grâce à des demandes d’accès à l’information, les fraudeurs se sont fait passer pour Toronto Hydro, le fournisseur d’électricité de la ville, et ont tenté de rediriger d’importants flux de paiements.
« Cette affaire démontre la sophistication croissante des fraudes financières ciblant les gouvernements municipaux, » a déclaré Josie Scioli, directrice générale adjointe de Toronto. « Nos contrôles internes ont repéré cette tentative avant que l’argent ne quitte nos comptes, mais cela constitue un avertissement sérieux sur l’importance de la cybersécurité. »
La fraude a été détectée lorsque le personnel vigilant de la division des services financiers de la ville a remarqué des irrégularités dans les instructions de paiement prétendument émises par Toronto Hydro. Cette demande suspecte a immédiatement déclenché une enquête, révélant que quelqu’un avait utilisé les identifiants d’accès d’un employé retraité pour manipuler les informations de paiement des fournisseurs dans la base de données de la ville.
Les enquêteurs de la brigade des fraudes du Service de police de Toronto travaillent toujours sur l’affaire, bien qu’aucune arrestation n’ait été annoncée. Le sergent-détective Michael Fitzgerald de l’Unité des crimes financiers m’a confié : « Ce ne sont pas des amateurs opportunistes – nous observons des groupes organisés qui ciblent spécifiquement les systèmes de paiement gouvernementaux avec une connaissance interne du fonctionnement des finances municipales. »
Ce qui rend cette affaire particulièrement troublante, c’est la façon dont les auteurs ont obtenu l’accès aux identifiants d’un employé retraité. Les responsables municipaux ont depuis mis en place des protocoles de vérification supplémentaires pour tous les changements de paiement aux fournisseurs, y compris une vérification obligatoire par rappel téléphonique avec des contacts établis avant de traiter toute modification des coordonnées bancaires des fournisseurs.
L’affaire Toronto Hydro reflète une tendance croissante. Le Centre antifraude du Canada rapporte que les arnaques par compromission de courriels d’entreprise ciblant les municipalités ont augmenté de 35 % l’année dernière, avec plus de 54 millions de dollars de tentatives de fraude contre des institutions publiques à travers le Canada.
« Chaque organisme gouvernemental est maintenant une cible, » explique l’expert en cybersécurité Ritesh Kotak. « Les fraudeurs savent que les municipalités traitent régulièrement des paiements importants et peuvent ne pas disposer des mêmes ressources de sécurité que les institutions financières privées. »
Pour les résidents de Toronto, cet incident soulève des questions sur la sécurité des systèmes financiers de la ville. Bien qu’aucun argent des contribuables n’ait été perdu dans ce cas, cela expose des vulnérabilités qui pourraient potentiellement affecter les services municipaux.
Le conseiller municipal Stephen Holyday, qui siège au Comité d’audit, a plaidé pour des mesures de sécurité supplémentaires suite à l’incident. « Nous avons demandé au personnel d’effectuer un examen complet de tous les identifiants d’accès, en mettant particulièrement l’accent sur la désactivation des comptes d’anciens employés, » a déclaré Holyday lors des discussions du comité le mois dernier.
L’incident a déclenché une révision complète de la sécurité à l’échelle de la ville. Le département informatique de Toronto a mis en place des exigences d’authentification renforcées, notamment la vérification biométrique pour les transactions financières sensibles et une formation trimestrielle obligatoire sur la sécurité pour tout le personnel ayant accès au système financier.
Après des années à couvrir les opérations municipales de Toronto, j’ai observé la vulnérabilité numérique croissante de la ville à mesure que davantage de services passent en ligne. Cette affaire met en lumière l’équilibre délicat entre un gouvernement numérique pratique et des protocoles de sécurité robustes.
Russell Baker, porte-parole de Toronto Hydro, a confirmé que le service public a travaillé en étroite collaboration avec les responsables municipaux tout au long de l’enquête. « Nous maintenons des canaux de communication sécurisés avec tous nos clients majeurs précisément pour prévenir ce type de fraude, » a noté Baker. « Ce partenariat a été crucial pour stopper cette tentative. »
En traversant le quartier financier hier, je ne pouvais m’empêcher de réfléchir à quel point l’infrastructure de notre ville est devenue de plus en plus numérique. Derrière les tours de verre abritant nos institutions financières se trouvent des systèmes de plus en plus complexes gérant quotidiennement des milliards de transactions – des systèmes désormais fermement dans le collimateur des criminels.
Pour les Torontois ordinaires, la ville recommande la vigilance avec les comptes personnels, la vérification régulière des relevés pour détecter toute activité non autorisée, et la méfiance face aux demandes de paiement inattendues – les mêmes principes qui ont contribué à déjouer cette tentative de fraude massive.
L’enquête se poursuit tandis que les responsables s’efforcent de déterminer si d’autres systèmes municipaux ont pu être compromis. Entre-temps, l’expérience de Toronto est devenue une étude de cas pour d’autres municipalités canadiennes cherchant à renforcer leurs protocoles de sécurité financière.
