Montréal abrite une véritable petite industrie de la fraude bancaire en ligne, cachée dans des forums de messagerie anonymes. Des pirates collaborent pour détrousser leurs victimes et encaisser des gains considérables, jusqu’à 600 000 $ par an, démontrent des enquêteurs privés qui ont infiltré ces « bazars » du cybercrime.

Publié le 16 mars
Hugo Joncas
Hugo Joncas La Presse

« Les grandes banques sont toutes frappées », dit Pierre-Luc Pomerleau, associé chez Vidocq. L’entreprise, qui les aide à prévenir ces crimes, brosse le portrait d’un véritable « écosystème » de la fraude au Québec dans un rapport publié le 10 mars.

Pour vendre les informations volées, les cybercriminels investissent les applications cryptées comme WhatsApp, Signal, Discord et ICQ, mais surtout Telegram.

Afin d’observer les cybercriminels à l’œuvre, des agents de Vidocq ont infiltré « plus d’un millier » de forums pour fraudeurs en ligne.

À vendre : des méthodes d’hameçonnage, ainsi que des informations personnelles volées permettant de prendre le contrôle de comptes bancaires. Numéros de sécurité de cartes de crédit, numéros d’identification personnelle, questions de sécurité… Certains offrent ou achètent des « fullz » : dans le jargon, c’est l’ensemble des données personnelles nécessaires à la connexion sur un compte compromis.

PHOTO TIRÉE D’UNE CAPTURE D’ÉCRAN

Certains offrent ou achètent des « fullz » : dans le jargon, c’est l’ensemble des données personnelles nécessaires à la connexion sur un compte compromis. Avec la phrase « be btc ready », le vendeur demande à l’acheteur éventuel d’avoir un portefeuille de bitcoins (btc) prêt à envoyer des fonds.

Un ministre important du gouvernement Legault en a d’ailleurs fait les frais en décembre, quand un pirate a mis en vente son dossier de crédit chez TransUnion sur Telegram, tel que le révélait La Presse le 24 février. Nous avons préservé l’identité de l’élu, qui n’aurait fait preuve d’aucune négligence.

Relisez l’article « Vol de données : un important ministre du gouvernement Legault visé »

« Une annonce typique inclut une saisie d’écran du compte à détourner (qui dévoile le type de compte et son solde) et le prix demandé pour ces renseignements », explique le rapport de Vidocq. Un prix typiquement exprimé en bitcoins ou dans une autre cryptomonnaie comme des ethereums.

« Quand on voit la copie d’écran d’un profil chez un de nos clients, on l’envoie à l’institution financière concernée », dit Pierre-Luc Pomerleau. La banque peut alors surveiller le compte et bloquer la transaction frauduleuse qui se prépare. « On a vu des commentaires de certains acheteurs qui se demandaient pourquoi ça ne marchait pas », raconte-t-il. La fraude est alors sabotée.

Cybercriminels du cru

Pendant six semaines en 2021 et 2022, Vidocq a pu observer trois fraudeurs particulièrement prolifiques, vraisemblablement québécois. Sous les yeux de ses agents, les pirates se sont échangé des informations pour compromettre et vider pas moins de 428 comptes, seulement durant cette période.

Les revenus qu’ils touchent par la fraude apparaissent considérables. Ils pourraient avoir encaissé entre 20 000 $ US et 27 000 $ US chacun en 3 semaines seulement.

À ce rythme, le plus efficace d’entre eux serait donc en mesure de toucher plus de 600 000 $ CAN par an.

S’ils sont les plus prolifiques, les trois fraudeurs que décrit Vidocq dans son rapport sont loin d’être seuls. Les groupes de discussion sur Telegram où les enquêteurs les ont observés rassemblent jusqu’à 1342 utilisateurs différents. Parmi eux, de nombreux Montréalais.

« Vidocq a noté que, quand des membres d’un forum rapportent des tentatives d’infiltration par les autorités, ils ont tendance à référer à la Sûreté du Québec plutôt qu’à tout autre corps de police », indique son rapport.

Ses analystes ont aussi noté « des expressions typiques de Québécois francophones, comme “Jsp”, une abréviation pour “Je ne sais pas” ».

« La région de Montréal semble malheureusement être devenue un “hot spot” pour les fraudeurs s’attaquant à des institutions financières et leurs clients partout au pays », dit Pierre-Luc Pomerleau, en entrevue avec La Presse.

Vidocq n’a pas pu déterminer pourquoi exactement, mais elle croit que le facteur bilinguisme y contribue. Les pirates peuvent ainsi comprendre des questions de sécurité, des formulaires d’authentification en français, et non uniquement en anglais.

Des comptes « mules » en cryptomonnaies

Pour « vider » les comptes bancaires de leurs victimes, les fraudeurs entrent en relation avec d’autres pirates qui contrôlent des comptes de cryptomonnaies volés sur des plateformes comme Coinbase et Shakepay.

Ces comptes de bitcoins servent de « mules ». Les fraudeurs utilisent les transferts Interac par courriel pour y envoyer les fonds de leurs victimes et brouiller les pistes.

En échange, le cybercriminel qui contrôle le compte de bitcoins volé reçoit une juteuse commission pouvant atteindre la moitié de la somme détournée.

  • « Qui peut convertir des petits comptes de la Banque Royale en bitcoins ? Utilisateurs vérifiés seulement », demande l’utilisateur d’un forum sur la messagerie Telegram.

    PHOTO TIRÉE D’UNE CAPTURE D’ÉCRAN

    « Qui peut convertir des petits comptes de la Banque Royale en bitcoins ? Utilisateurs vérifiés seulement », demande l’utilisateur d’un forum sur la messagerie Telegram.

  • « N’importe quel authentifiant (pour accéder frauduleusement à un compte) je l’encaisse, en une heure les fonds arrivent dans le portefeuille, on partage 50/50-messagerie privée pour obtenir des preuves – ne me faites pas perdre mon temps si vous n’avez pas d’authentifiant », mentionne cette communication en franglais.

    PHOTO TIRÉE D’UNE CAPTURE D’ÉCRAN

    « N’importe quel authentifiant (pour accéder frauduleusement à un compte) je l’encaisse, en une heure les fonds arrivent dans le portefeuille, on partage 50/50-messagerie privée pour obtenir des preuves – ne me faites pas perdre mon temps si vous n’avez pas d’authentifiant », mentionne cette communication en franglais.

1/2
  •  
  •  

Desjardins et la Banque Nationale moins touchés

Si le problème est généralisé, Vidocq a fait une découverte étonnante : les deux plus grands acteurs au Québec, Desjardins et la Banque Nationale, semblent moins touchés.

Pierre-Luc Pomerleau n’a pas d’explication claire, mais il formule une hypothèse : « Peut-être que les fraudeurs ne veulent pas s’attaquer à des institutions financières de leur région », dit-il. Un cybercriminel risque ainsi moins de se retrouver avec les informations volées d’un cousin ou de sa belle-mère.

Peut-être aussi qu’ils se concentrent sur les plus grandes banques aux clients anglophones parce qu’ils représentent un plus vaste bassin de victimes potentielles.

Mais il y a probablement autre chose, pense Pierre-Luc Pomerleau.

Les contrôles des institutions financières du Québec sont plus adéquats que ceux des autres banques canadiennes.

Pierre-Luc Pomerleau

Après le vol de données sur 9,7 millions de personnes qu’a connu Desjardins en 2019, le Mouvement a massivement investi en sécurité et mis en place de nouveaux moyens d’éviter la fraude, comme la reconnaissance vocale. Ces investissements ont pu faire diminuer l’attrait de ses clients pour les fraudeurs.

Chez Desjardins, la porte-parole Chantal Corbeil signale que le nombre de fraudes qu’a enregistrées le Mouvement en 2021 est en baisse de 4,5 % par rapport à 2020 et les sommes détournées, de 12 %.

« Les institutions financières les plus ciblées devraient revoir leurs contrôles d’authentification et la gestion de leurs comptes en ligne pour contrecarrer les modus operandi de ces fraudeurs », dit Pierre-Luc Pomerleau.

Vidocq a préféré ne pas nommer les banques les plus touchées dans son rapport.

La firme souligne que la police aurait tout intérêt à utiliser des techniques d’enquête d’infiltration pour combattre ce type de crime.

« Le renseignement sur les fraudeurs pourrait appuyer les enquêtes criminelles des autorités, qui font cruellement défaut en ce moment », affirme le rapport de Vidocq.

La Sûreté du Québec et la police de Montréal n’ont pas répondu à nos questions.

De son côté, Pierre-Luc Pomerleau assure que les forces de l’ordre peuvent compter sur sa collaboration. « Si la police nous contacte là-dessus, Vidocq n’a aucun problème à travailler avec elle. »

En savoir plus

  • 8638 $ à 54 065 $
    Solde moyen dans les comptes compromis des trois fraudeurs en ligne québécois que surveillait Vidocq, dans les trois dernières semaines de veille.
    Vidocq