Utiliser les virements Interac pour envoyer ou recevoir de l’argent est devenu une seconde nature pour des centaines de milliers de Québécois.

Nicolas Bérubé Nicolas Bérubé
La Presse

C’était le cas de Nicolas Lizotte. Le Lavallois de 36 ans, propriétaire de plusieurs immeubles, reçoit une cinquantaine de virements Interac par mois de la part d’une partie de ses locataires.

« Je n’avais jamais eu de problème, dit-il. J’ai toujours trouvé ça pratique. »

Son opinion a changé l’été dernier, quand il a reçu un avis par courriel disant qu’un locataire venait de lui envoyer 900 $. Or, l’argent n’a jamais atterri dans son compte.

« Pour faire un test, j’ai demandé à ma conjointe de me faire un virement Interac. Avant d’appuyer sur “envoyer”, elle a vu que mon adresse courriel avait été détournée et que l’argent allait désormais à une certaine Susan Anderson, de Toronto. »

Nicolas Lizotte a cru qu’il s’agissait d’une erreur, et que réparer cette erreur serait simple. Après quatre mois et une quarantaine d’heures passées à communiquer avec Interac, la Banque CIBC, la caisse populaire Desjardins, la Banque Royale du Canada et le Service de police de Laval, il réalise que ce n’est pas le cas.

Personne ne peut rien faire pour moi. Tout le monde se renvoie la balle. J’arrive au bout de mes ressources. Je comprends que je ne verrai jamais la couleur de ces 900 $.

Nicolas Lizotte

Problème courant

Marie-Pier Fortin Nadeau, entrepreneure qui habite en Beauce, a elle aussi vécu une opération frauduleuse avec le système de virements Interac l’été dernier, quand une cliente a tenté de lui envoyer une somme de 2900 $, alors qu’elle devait lui envoyer moins de 10 $.

« Et là, je reçois un texto d’un numéro local dans lequel ma cliente se nomme et me dit : “Désolée Marie, j’ai fait une erreur dans mon virement, peux-tu copier-coller le lien et me le renvoyer ?” »

Trouvant cette requête étrange, Mme Fortin Nadeau lui a répondu d’annuler elle-même le virement. Le lendemain, lors d’une conversation avec sa cliente, elle a appris que cette dernière n’avait jamais tenté de la joindre par texto la veille.

« Quelqu’un avait essayé de faire un virement de 2900 $ à partir de son compte, et elle ne comprenait pas pourquoi. » Les deux femmes ont rencontré les policiers, et la tentative de virement a été annulée sans que l’argent sorte du compte.

Selon Claudiu Popa, expert en cybersécurité et auteur du livre The Canadian Cyberfraud Handbook, ces scénarios sont de plus en plus courants au pays. En Ontario, une femme a subi une fraude de 1734 $ en tentant d’envoyer un virement Interac à une amie, qui n’a jamais reçu les fonds. À Toronto, un entrepreneur a perdu 2775 $ quand un fraudeur a piraté son courriel, et intimé à un client de lui faire parvenir cette somme, selon des reportages de la CBC.

Les banques canadiennes sont excellentes pour protéger leurs systèmes internes contre les pirates informatiques. Par contre, lorsqu’il est question de la sécurité du système qui fait le lien avec le client, la plupart des banques ne passent pas le test.

Claudiu Popa, expert en cybersécurité

Les fraudeurs peuvent acheter des mots de passe sur le Net, et accèdent ensuite au compte en ligne d’un client bancaire pour y changer les paramètres liés aux virements Interac. Il suffit ensuite que le client fasse un virement ou en reçoive un pour que les fonds soient détournés.

« Utiliser une adresse courriel dans les envois de fonds n’est pas optimal au point de vue de la sécurité, et certains pays ont abandonné cette pratique, dit M. Popa. Mais les institutions financières canadiennes l’offrent parce que c’est pratique et que ça va vite. » 

Sandra DeCarvalho, directrice principale des communications d’entreprise chez Interac, note que c’est l’institution financière qui entretient la relation avec le client. « Nous ne sommes pas impliqués dans les décisions en cas de résolution de problème, car celles-ci demeurent du ressort de l’institution financière et du client », précise-t-elle.

Le réseau Interac est protégé par plusieurs systèmes de sécurité, affirme Mme DeCarvalho. « Notre équipe dévouée travaille 24 heures sur 24, 7 jours sur 7 pour aider nos quelque 300 institutions financières partenaires et des experts en matière de fraude à repérer les tentatives de fraude et à faire enquête au besoin. Nos institutions financières partenaires notent le plus bas taux de fraudes jamais connu au Canada ! »

Selon Interac, les Canadiens ont effectué 371 millions de transferts électroniques, pour des sommes totales de 132 milliards de dollars l’an dernier.

Authentification à deux facteurs

La majorité des fraudes de ce type pourraient être réglées en instaurant l’authentification à deux facteurs, qui complexifie l’accès à son compte bancaire, dit Claudiu Popa. « Google l’a implantée, Twitter l’a implantée. Mais la majorité des institutions financières canadiennes ne l’a pas fait », dit-il, ajoutant que seule la Banque TD offrait un tel système à ses clients.

Pour Nicolas Lizotte, essayer de trouver son argent a été une expérience « éducative » sur le système bancaire canadien. Il continue de recevoir des dizaines de virements Interac par mois.

« Le problème, c’est que ça met tout le monde sur ses gardes. Même ma mère ne veut plus me faire de virements. »

Comment se prémunir contre la fraude ?

1. Ne pas changer de mot de passe

« Changer de mot de passe ne règle rien, car si votre ordinateur ou votre téléphone est infecté par un virus, vous venez de donner votre nouveau mot de passe au fraudeur », dit Claudiu Popa, expert en cybersécurité.

2. Ne pas réutiliser un mot de passe

« Si un site avec lequel vous transigez est piraté et que votre mot de passe est le même pour tous les sites, les pirates pourront avoir accès à plusieurs de vos comptes. »

3. Utiliser un gestionnaire de mots de passe

« Personne ne peut se souvenir de dizaines de mots de passe. En utilisant un gestionnaire de mots de passe, vous n’aurez même plus à les taper. Les gestionnaires les plus fiables sont KeePass et 1Password. »

4. Faire pression auprès de son institution financière

« Faites pression publiquement après de votre institution financière pour l’inciter à offrir l’authentification à deux facteurs. Vous pouvez notamment lui écrire sur sa page Facebook. »