La chasse à la baleine

CHRONIQUE / Tout avait l’air si réaliste.

Le courriel avait toutes les apparences d’un vrai et semblait provenir du directeur général de la Ville d’Ottawa, Steve Kanellakos.

Croyant agir sous les ordres de son patron, la trésorière Marian Simulik a donc fait un virement électronique de près de 100 000 $US, l’été dernier, à un faux fournisseur américain.

Une transaction de routine pour cette gestionnaire responsable d’un budget annuel de 3,5 milliards de dollars.

C’est seulement cinq jours plus tard, à la réception d’un second courriel lui demandant de verser 154 000 $ US au même fournisseur, que Mme Simulik a flairé la fraude.

Coup de chance, son patron était assis à ses côtés à ce moment-là. « Je ne t’ai jamais envoyé ça ! », lui a signifié celui-ci avec étonnement.

L’enquête du vérificateur général a conclu que Mme Simulik, gestionnaire respectée des fonds publics depuis 28 ans, avait été victime d’une arnaque connue sous le nom de « fraude du faux PDG ». Dans ce cas-ci, la Ville d’Ottawa a bon espoir de récupérer une partie du 100 000 $ US grâce à une enquête des Services secrets américains.

Au bord des larmes, Mme Simulik a affirmé lundi que ce stratagème sophistiqué l’avait fortement ébranlée. On le serait à moins. Parce qu’on est ici dans les ligues majeures de la fraude. On ne parle plus d’hameçonnage, mais de pêche en haute mer. De chasse à la baleine. C’est le gros poisson que visent des fraudeurs opérant le plus souvent à l’étranger, parfois à partir de gros centres de piratage installés dans des pays d’Europe de l’Est.

La « fraude du PDG », qui vise typiquement le responsable des finances d’une grosse organisation, est une affaire de longue haleine, m’a expliqué un expert en cybersécurité.

Avant de tenter quoi que ce soit, les fraudeurs tentent de comprendre l’« ingénierie sociale » d’une organisation. Ils cherchent à savoir qui signe les chèques. Comment fonctionne le processus d’approbation. Peu à peu, ils s’enhardissent. Ils se font passer pour des petits fournisseurs. Ils essaient de soutirer de petits montants. Jusqu’au jour où ils envoient LE courriel frauduleux. Signé de la main du patron lui-même. Il contient des informations en apparence si précises et si crédibles que même un directeur des finances averti risque de tomber dans le panneau.

Mme Simulik s’en voulait. Mais elle est loin d’être la seule gestionnaire bernée par ce type d’escroquerie. « Bienvenue dans le club ! », pourrait lui dire ce PDG d’un important équipementier autrichien qui a perdu son poste, en 2016, après s’être fait soutirer 42 millions d’Euros. Au Québec, le cas le plus connu de « fraude du président » est celui de la Coop fédérée. Profitant de l’absence du patron, un fraudeur avait réussi à se faire passer pour le boss auprès de la directrice des finances. Par courriel, il l’avait convaincue de verser 5,5 millions sur un compte en Chine, prétendument pour financer une mégatransaction. Tout était tellement réaliste que la dame, pourtant expérimentée, n’y avait vu que du feu.

De son côté, le Bureau de la concurrence du Canada souligne que la « fraude du PDG » a soulagé les poches des Canadiens de 13 millions de dollars en 2017. Quant à l’Union des municipalités du Québec, elle a lancé récemment un fonds d’assurance pour se prémunir contre les cyberattaques.

Dans les circonstances, on a envie de dire que la Ville d’Ottawa s’en tire plutôt bien. Une perte de 100 000 $ US, ce n’est rien. Surtout qu’au moment de la fraude, les fondés de pouvoir de la municipalité pouvaient virer, sans autre approbation, des sommes pouvant aller jusqu’à 25 millions.

Imaginez si le fraudeur s’était montré plus gourmand !

Les contrôles ont été resserrés à la suite de l’enquête du vérificateur général. Tant mieux. Il reste que dans le jeu du chat et de la souris que se livrent grandes organisations et pirates informatiques, l’issue reste incertaine.