Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada

Vue d’ensemble

1. En octobre 2024, les médias ont rapporté^{Note de bas de page 1} qu’un grand nombre de comptes de l’Agence du revenu du Canada (ARC) appartenant à des contribuables canadiens avaient été exploités par des acteurs malveillants dès mars 2020.
2. Selon les reportages, des acteurs malveillants ont réussi à accéder au compte de l’ARC de Canadiennes et de Canadiens afin d’obtenir ou de modifier des renseignements personnels, ce qui leur a permis de rediriger le paiement de prestations du gouvernement du Canada (GC) ou de soumettre des demandes frauduleuses pour de telles prestations et d’augmenter les risques pour les particuliers de subir un vol d’identité, des pertes financières et d’autres épreuves. L’ARC emploie le terme utilisation non autorisée de renseignements de contribuables par une tierce partie pour décrire ces atteintes.
3. En octobre 2024, à la suite de la réception d’une plainte, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a commencé une enquête sur la question afin d’établir si l’ARC s’était acquittée de ses obligations prévues dans la Loi sur la protection des renseignements personnels (la Loi).
4. Le but de l’enquête est d’établir si l’ARC avait mis en place des mesures de protection adéquates pour protéger les renseignements personnels des contribuables contre l’accès et la modification non autorisés et, plus précisément, contre le vol d’identité et l’usurpation par des acteurs malveillants de l’identité de contribuables légitimes pour accéder à leurs renseignements ou les modifier et réclamer des prestations à l’ARC.
5. Nous notons qu’en février 2024, le Commissariat avait conclu une enquête portant sur une cyberattaque menée en 2020 qui a ciblé le service en ligne Mon dossier de l’ARC et touché des milliers de contribuables. L’enquête de 2020 portait sur la technique d’attaque appelée « bourrage d’identifiants », tandis que la portée de la présente enquête comprend l’ensemble des vecteurs d’attaque et des techniques que les acteurs malveillants utilisent pour compromettre les comptes des contribuables.
6. Au cours de la présente enquête, l’ARC n’a pas été en mesure de fournir au Commissariat des détails sur chaque cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie qu’elle avait rapporté. Elle a expliqué que cela était en raison des limites de ses systèmes de suivi, du volume global des atteintes et des ressources considérables que cela nécessiterait. Au lieu de cela, l’ARC a remis au Commissariat un échantillon statistiquement représentatif de ces cas.
7. Les données fournies par l’ARC étaient également dépourvues de certains détails clés que le Commissariat jugeait nécessaires pour évaluer la robustesse des mesures de sécurité de l’Agence et l’efficacité de ses améliorations visant à prévenir de nouveaux cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie. En raison des détails manquants, notre enquête s’est appuyée sur l’information disponible pour établir les principes généraux qui guident l’approche des acteurs malveillants pour réussir une telle utilisation non autorisée. Ces renseignements ont ensuite éclairé notre analyse de la position de sécurité de l’ARC en ce qui concerne la prévention de l’utilisation non autorisée de renseignements de contribuables par une tierce partie, la détection et le confinement des cas qui se produisent, la prise des mesures correctives qui s’imposent et la gouvernance de ce type d’atteinte.
8. Dans l’ensemble, nous avons observé que l’ARC a mené des efforts importants pour améliorer sa position de sécurité depuis l’enquête sur un sujet connexe menée par le Commissariat il y a cinq ans. Particulièrement, l’approche de l’ARC en matière de confinement et d’atténuation a été satisfaisante. De plus, nous reconnaissons que les pratiques de l’ARC ont évolué et ont mûri au cours de la période visée par l’enquête.
9. Néanmoins, notre enquête a permis de conclure qu’il y a des lacunes au chapitre des pratiques de l’ARC en matière de prévention, de surveillance et de détection, des mesures correctives et de gouvernance.
10. En ce qui concerne la prévention, par exemple, nous notons que l’Agence n’a pas mis en œuvre rapidement l’utilisation obligatoire de l’authentification multifacteur (AMF) et, quand elle l’a fait, elle ne s’est pas appuyée sur les méthodes les plus solides fondées sur les pratiques exemplaires de l’industrie. De plus, l’ARC n’a pas adopté les pratiques exemplaires correspondant à une approche à vérification systématique en matière de sécurité et elle n’a pas eu non plus une visibilité suffisante sur sa surface d’attaque.
11. En ce qui concerne la surveillance et la détection, l’ARC utilise une multitude d’outils. Toutefois, pendant la période visée par l’enquête, le fait que ce soit principalement les individus touchés qui ont signalé la majorité des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie et que l’ARC ne soit pas en mesure de déterminer quand et comment chaque cas s’est réellement produit soulève des questions sur l’efficacité de l’approche de l’ARC.
12. En ce qui concerne les mesures correctives, l’ARC effectue une analyse des causes profondes dans le cadre de sa réponse aux stratagèmes complexes. Cependant, dans la pratique, elle n’adopte pas la même approche pour les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie qui ne font pas partie de stratagèmes complexes, ce qui la prive de renseignements précieux sur les tactiques des acteurs malveillants et les vulnérabilités des points d’entrée compromis. Une telle analyse est essentielle pour que l’ARC puisse adapter ses mesures de défense et ses mesures correctives à ses processus d’authentification. De plus, le fait que l’ARC ne fasse pas le suivi du moment où les cas d’utilisation non autorisée ont réellement eu lieu rend difficile l’évaluation de l’efficacité de ses mesures correctives.
13. Enfin, nous prenons note de la création par l’ARC de certaines équipes clés pour faciliter la gouvernance de l’utilisation non autorisée de renseignements de contribuables par une tierce partie, mais nous concluons en définitive que l’approche de l’organisation n’est pas suffisamment coordonnée et proactive pour traiter ce type d’atteinte.
14. Notre enquête a révélé que l’ARC a contrevenu aux paragraphes 6(2) et 8(2) de la Loi en ce qui concerne l’exactitude et la communication des renseignements personnels. Nous avons formulé neuf recommandations à l’intention de l’ARC, et cette dernière en a accepté huit intégralement, et une partiellement. Nous concluons donc que la plainte est fondée et conditionnellement résolue.

Contexte

15. En février 2024, le Commissariat a conclu une enquête^{Note de bas de page 2} portant sur une cyberattaque menée en 2020 qui a ciblé le service en ligne Mon dossier de l’ARC et touché des milliers de contribuables. Cette enquête a permis de conclure que l’ARC avait sous-évalué le niveau de validation de l’identité qu’imposait le degré élevé de sensibilité des renseignements personnels accessibles et qu’elle n’avait pas mis en place les mesures de surveillance adéquates pour détecter et contenir rapidement les atteintes. Par conséquent, le Commissariat a recommandé à l’ARC d’améliorer ses pratiques de validation de l’identité et ses mesures de surveillance, recommandation acceptée par l’organisation. L’ARC fournit des mises à jour au Commissariat depuis la publication du rapport de 2024 et, en janvier 2026, elle a déclaré au Commissariat que toutes les activités liées à ses engagements ont été menées à bien.
16. L’enquête de 2020 portait sur une technique appelée « bourrage d’identifiants », dans le cadre de laquelle les justificatifs d’identité volés obtenus à la suite d’atteintes antérieures visant d’autres organisations sont utilisés pour accéder à des comptes en ligne existants appartenant au même individu. Au cours des dernières étapes de cette enquête, le Commissariat a appris que d’autres atteintes ont été détectées en 2020, mais n’ont pas été déclarées. Ces atteintes se rattachaient à des fraudes liées à des demandes d’accès à la Prestation canadienne d’urgence (PCU)^{Note de bas de page 3} et au versement de prestations et auraient touché jusqu’à 15 000 individus. L’ARC a indiqué que ces atteintes n’étaient pas liées au bourrage d’identifiants et s’est engagée à signaler au Commissariat tout cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie qui représente une atteinte jugée substantielle^{Note de bas de page 4}.
17. Le 9 mai 2024, le Commissariat a reçu un rapport d’atteinte de l’ARC qui portait sur 31 393 incidents distincts d’utilisation non autorisée de renseignements de contribuables par une tierce partie survenus entre le 11 mai 2020 et le 9 novembre 2023. L’ARC a confirmé que ce chiffre comprenait les 15 000 atteintes non signalées mentionnées dans le rapport d’enquête sur le bourrage d’identifiants.
18. À la suite de la réception du rapport d’atteinte de mai 2024 et dans les mois précédant le lancement de la présente enquête, le Commissariat a tenu de nombreux échanges avec l’ARC pour mieux comprendre et évaluer le volume des atteintes et déterminer les prochaines étapes à suivre.
19. L’ARC a indiqué qu’elle utilise le terme « utilisation non autorisée de renseignements de contribuables par une tierce partie » pour caractériser l’accès non autorisé à des renseignements fiscaux confidentiels d’un particulier ou d’une entreprise, ainsi que leur communication ou leur usage non autorisé par une personne autre que le contribuable ou une personne autorisée (comme un comptable)^{Note de bas de page 5}. Ce type d’utilisation non autorisée peut être associé à un incident où un seul compte est touché ou à un cas complexe où de nombreux comptes sont touchés. Des acteurs malveillants peuvent ainsi, sans y être autorisés, accéder aux renseignements personnels des contribuables touchés ou les modifier dans le but d’en tirer un gain financier. Dans le contexte des utilisations non autorisées de renseignements de contribuables par une tierce partie, les attaquants se font passer pour des contribuables en utilisant les renseignements personnels de ces derniers, et ces renseignements sont obtenus au moyen de diverses sources. En général, les méthodes de détection utilisées pour repérer l’exploitation d’une vulnérabilité technique diffèrent de celles qui s’appliquent à l’exploitation de la vulnérabilité humaine. Ainsi, l’ARC a signalé qu’au cours de la période visée par l’enquête, les cas d’utilisation non autorisée ne sont parfois détectés que des mois ou même des années après qu’ils se sont produits et noté qu’ils sont le plus souvent portés à l’attention de l’ARC par les contribuables eux-mêmes.
20. La Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT) exige que les institutions fédérales signalent une atteinte au plus tard sept jours après avoir déterminé qu’elle est substantielle^{Note de bas de page 6}. Cependant, compte tenu des difficultés liées à la détection des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie et du grand nombre de cas auquel l’ARC était confrontée, elle a demandé au SCT l’autorisation de signaler les atteintes liées à ces cas une fois par trimestre. Le SCT a accepté cette demande en octobre 2024, sous réserve d’un examen annuel^{Note de bas de page 7}.
21. Le rapport de mai 2024 était le premier rapport trimestriel que le Commissariat a reçu de l’ARC. Au moment de la rédaction du présent rapport, l’ARC avait soumis six rapports trimestriels faisant état de 42 755 atteintes individuelles confirmées^{Note de bas de page 8}. L’ARC a également fait état séparément des atteintes à la vie privée confirmées résultant des cas complexes et des cas d’utilisation non autorisée de renseignements d’entreprises par une tierce partie, comme l’exige le SCT.
22. En octobre 2024, après que les médias (en anglais seulement) eurent rapporté que des milliers de comptes de contribuables avaient été compromis dans le but d’obtenir un gain financier et qu’un grand nombre d’atteintes n’avait pas été déclaré, le Commissariat a reçu une plainte et a lancé une enquête. Parallèlement, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) a débuté une étude sur les atteintes à la vie privée à l’Agence du revenu du Canada. Au cours de quatre réunions tenues en novembre et en décembre 2024, le Comité a entendu les témoignages de dix personnes, dont le Commissaire à la protection de la vie privée du Canada^{Note de bas de page 9}.

Portée et méthodologie

23. Le fait que les atteintes se soient produites n’est pas contesté. Toutefois, une atteinte ne signifie pas en soi qu’une organisation n’a pas pris les mesures nécessaires pour protéger les renseignements personnels qui lui sont confiés. Par conséquent, l’objectif de la présente enquête était d’évaluer les mesures de protection que l’ARC avait en place pour empêcher l’accès aux renseignements des contribuables, leur communication et leur modification et d’évaluer systématiquement la façon dont les systèmes de l’ARC étaient protégés contre divers vecteurs d’attaque, peu importe le point d’entrée utilisé par les acteurs malveillants.
24. Au début de l’enquête, nous avons demandé à l’ARC des détails sur les 34 625 cas confirmés d’utilisation non autorisée de renseignements de contribuables qu’elle avait déclarés jusqu’à ce moment dans deux rapports trimestriels^{Note de bas de page 10} afin d’évaluer les mesures de protection en place et l’efficacité de l’intervention de l’organisation en cas d’atteinte. Plus précisément, nous avons demandé des renseignements sur les points d’entrée dans les systèmes de l’ARC, les vecteurs d’attaque utilisés par les acteurs malveillants dans les atteintes et la façon dont celles-ci ont été détectées, corrigées et atténuées.
25. L’ARC n’a pas été en mesure de fournir au Commissariat les renseignements demandés concernant chaque cas. Comme l’ARC l’a expliqué, cela est en partie attribuable au fait qu’elle a seulement commencé à faire le suivi des cas individuels en 2022^{Note de bas de page 11}. L’ARC a également mentionné des limites en ce qui concerne ses systèmes de suivi.
26. En raison du manque de précisions sur les vecteurs d’attaque et les vulnérabilités des points d’entrée exploitées dans chaque cas, l’ARC n’a pas pu établir comment chacune des atteintes s’est produite exactement ni l’expliquer au Commissariat. Par conséquent, le Commissariat n’a pas été en mesure d’évaluer l’efficacité des mesures correctives et préventives mises en œuvre par l’ARC pour éviter que de nouveaux cas se produisent.
27. Pour régler ce problème, l’ARC a proposé de soumettre au Commissariat un échantillon des cas d’utilisation non autorisée de renseignements de contribuables, indiquant qu’il serait statistiquement représentatif de l’ensemble des cas^{Note de bas de page 12}. Étant donné que l’information sur toutes les atteintes n’était pas disponible, le Commissariat a accepté l’approche proposée par l’ARC afin d’obtenir une certaine perspective sur les données.
28. À la lumière de l’échantillon fourni par l’ARC, nous avons concentré notre enquête sur les points d’entrée les plus couramment utilisés, notamment : i) les institutions financières^{Note de bas de page 13}, ii) Mon dossier^{Note de bas de page 14} et iii) les services téléphoniques de renseignements généraux^{Note de bas de page 15}. De plus, nous avons examiné deux autres points d’entrée : les déclarations de revenus^{Note de bas de page 16} (l’un des points d’entrée désignés dans l’échantillon et faisant l’objet d’un stratagème particulier exploitant le service de TED^{Note de bas de page 17} rapporté dans les médias) et Représenter un client (un point d’entrée qui figurait dans des rapports antérieurs au Commissariat)^{Note de bas de page 18}.
29. Les conclusions de ce rapport sont fondées sur des observations écrites de l’ARC, y compris les rapports sur les atteintes à la vie privée, les évaluations des facteurs relatifs à la vie privée et les observations données à la suite de notre rapport de 2024, ainsi que sur des démonstrations et les séances d’information par des experts en la matière de différents secteurs de programme de l’ARC. Nous avons également recueilli de l’information accessible au public, y compris des reportages médiatiques et des transcriptions d’audiences de comités parlementaires.

Analyse

Enjeu : Est-ce que l’ARC a protégé adéquatement les renseignements personnels contre la communication et la modification non autorisées?

30. L’article 8 de la Loi ordonne aux institutions fédérales de ne pas communiquer des renseignements personnels qui relèvent d’elles sans le consentement de l’individu qu’ils concernent, sauf si la communication correspond à l’une des exceptions énoncées au paragraphe 8(2).
31. Le paragraphe 6(2) de la Loi oblige les institutions fédérales de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elles utilisent à des fins administratives soient à jour, exacts et complets.
32. Dans son rapport d’atteinte présenté au Commissariat, l’ARC reconnaît des infractions à l’article 8 et au paragraphe 6(2). Dans certains cas, les acteurs malveillants ont accédé à des renseignements dans les comptes. Dans d’autres, les acteurs malveillants ont modifié des renseignements dans les comptes, ce qui les a rendus inexacts. Par conséquent, le Commissariat conclut que l’ARC a contrevenu à la Loi. La plainte est donc fondée.
33. La Loi a pour objet d’assurer la protection des renseignements personnels relevant des institutions fédérales. Les institutions ont donc l’obligation de veiller à ce que des mesures de protection raisonnables soient en place pour protéger les renseignements personnels. Bien que la Loi ne l’exige pas explicitement, les mesures de protection sont imposées par les instruments de politique applicables du SCT relatifs à la protection de la vie privée qui sous-tendent l’application de la Loi^{Note de bas de page 19}. La mise en œuvre de mesures de protection permet de faire en sorte que des mesures de sécurité appropriées soient en place pour protéger les renseignements personnels contre les menaces accidentelles et délibérées (notamment l’accès non autorisé, la modification, la communication, l’utilisation inappropriées et plus).
34. Il est bien connu, et le Commissariat l’a déjà déclaré, que les fonds de renseignements de l’ARC sont vastes et comprennent une quantité importante de renseignements personnels sensibles appartenant à la population canadienne^{Note de bas de page 20}. De plus, l’ARC note dans ses observations et ses politiques internes qu’elle est une cible attrayante pour les auteurs de menaces externes qui cherchent à tirer parti de son rôle dans la distribution des remboursements et des prestations à la population canadienne. Le Commissariat a déclaré par le passé, et c’est toujours le cas, que le risque qu’une communication ou une modification non autorisée de renseignements détenus par l’ARC cause un préjudice aux individus est élevé. Les individus peuvent se faire usurper leur identité et subir la perte de milliers de dollars en prestations ou en remboursements d’impôts ou être tenus responsables de demandes de prestations ou de déclarations de revenus frauduleuses représentant des milliers de dollars^{Note de bas de page 21}. Ces risques peuvent également causer des préjudices connexes au chapitre de la vie privée, par exemple le stress psychologique lié au fait d’être victime (possiblement pendant des années) d’un vol d’identité^{Note de bas de page 22}.
35. Par conséquent, le Commissariat est d’avis que le degré de sensibilité et le volume élevés des renseignements personnels, ainsi que les conséquences graves sur les contribuables canadiens que peut avoir la compromission de ces renseignements, justifient des mesures de protection proportionnelles contre la modification et la communication non autorisées.
36. Les mesures de protection et de sécurité devraient être suffisantes pour empêcher à la fois les menaces prévalentes en matière de cybersécurité et les menaces ciblées comme l’utilisation non autorisée de renseignements de contribuables par une tierce partie. Lorsqu’il existe une vulnérabilité ou un vecteur d’attaque atypique, le Commissariat s’attend à ce que l’ARC prenne des mesures précises et adaptées pour renforcer les mesures de sécurité afin de contrer les risques qui en découlent.
37. Le Commissariat a donc cherché à comprendre le fonctionnement des systèmes de l’ARC, les points d’entrée clés, les approches utilisées par les attaquants et la façon dont la structure de l’ARC facilite la prévention, la surveillance, la détection, le confinement et l’atténuation des atteintes.

Les systèmes de l’ARC

38. Selon le site Web de l’ARC, Mon dossier est un portail en ligne dans le compte de l’ARC des contribuables qui leur permet de consulter et de gérer leurs renseignements personnels et fiscaux, de demander des prestations et de faire des paiements à l’ARC. Mon dossier n’est pas le seul portail disponible pour accéder aux services de l’ARC : les personnes peuvent également configurer Mon dossier d’entreprise^{Note de bas de page 23} pour afficher et mettre à jour les renseignements fiscaux de leur entreprise ou Représenter un client^{Note de bas de page 24} pour gérer les renseignements d’entreprise, de fiducie ou d’un individu au nom d’une autre personne avec son autorisation^{Note de bas de page 25}. L’ensemble de ces portails constitue un compte de l’ARC.
39. Un individu peut s’inscrire à un compte de l’ARC et ouvrir une session au moyen de l’une des trois options suivantes : i) nom d’utilisateur et mot de passe de l’ARC; ii) Partenaire de connexion et iii) Partenaire provincial. Pour obtenir un code d’utilisateur et un mot de passe de l’ARC, un individu doit avoir un numéro d’assurance sociale (NAS) et avoir produit une déclaration de revenus pour l’année d’imposition en cours ou l’année précédente. Pour s’inscrire à l’aide d’un partenaire de connexion, qui permet à une personne d’utiliser ses renseignements bancaires en ligne pour ouvrir une session, il doit également avoir un compte auprès de l’une des institutions financières énumérées et être inscrit aux services bancaires en ligne. Enfin, pour s’inscrire à l’aide d’un partenaire provincial, un individu doit avoir un compte British-Columbia Services Card ou un compte Alberta.ca. Il doit également détenir un NAS pour valider son identité la première fois qu’il ouvre une session^{Note de bas de page 26}.
40. Le Commissariat a interrogé l’ARC au sujet de tous les points d’entrée dans ses systèmes qui sont accessibles au public. Ces renseignements étaient nécessaires pour que le Commissariat puisse enquêter sur les points d’entrée précis que les acteurs malveillants ont exploités pour obtenir l’accès aux renseignements personnels des individus, tout en ayant connaissance de l’ensemble de la surface de menace de l’ARC^{Note de bas de page 27}. L’ARC n’avait initialement pas fourni cette information, mais elle a plus tard produit une liste de points d’entrée organisée en cinq catégories, à savoir i) les services numériques^{Note de bas de page 28}, ii) les services téléphoniques^{Note de bas de page 29}, iii) les services postaux et par télécopieur^{Note de bas de page 30}, iv) les services en personne^{Note de bas de page 31} et v) l’échange de données^{Note de bas de page 32}.
41. L’enquête portait sur les points d’entrée les plus couramment utilisés selon l’échantillon fourni par l’ARC. Il s’agit : i) des institutions financières; ii) de Mon dossier; iii) de la ligne téléphonique pour les demandes de renseignements généraux; iv) des déclarations de revenus^{Note de bas de page 33}. Les déclarations de revenus figurent dans l’échantillon de données et ont été utilisées dans un stratagème bien connu utilisant le service de TED, et le service « Représenter un client » a été utilisé dans des stratagèmes complexes signalés par l’ARC.
42. Le Commissariat souligne que, même si l’échantillon a fourni certains des renseignements demandés, il ne répondait pas entièrement à une question clé, à savoir comment les attaquants ont réussi à contourner les processus d’authentification pour accéder sans autorisation aux renseignements personnels en possession de l’ARC ou pour les modifier. Bien que les observations de l’ARC indiquent le point d’entrée et les résultats de la compromission, l’Agence n’a pas expliqué la façon dont la compromission est survenue ni la vulnérabilité précise exploitée dans chaque cas.

Mon dossier

43. Lorsqu’un individu a un compte de l’ARC, il a accès au portail Mon dossier, ce qui lui permet de consulter et de modifier plusieurs éléments de ses renseignements personnels, y compris ses adresses postale et électronique, ses numéros de téléphone, ses préférences en matière de notification, son état matrimonial et ses renseignements pour le dépôt direct. Au moyen de Mon dossier, l’individu peut également présenter des demandes de prestations.
44. Pour ouvrir un compte de l’ARC, un individu doit d’abord confirmer son identité. Pour ce faire, il doit fournir son numéro d’assurance sociale, sa date de naissance et les montants déclarés dans sa déclaration de revenus traitée la plus récente des deux dernières années d’imposition. Après avoir fourni ces renseignements, l’individu peut choisir de créer des justificatifs d’identité (un identifiant et un mot de passe de l’ARC) ou d’utiliser des identifiants déjà établis auprès d’un partenaire de connexion, comme une institution financière autorisée.
45. Après avoir confirmé son identité, l’individu peut s’inscrire à l’AMF pour recevoir son mot de passe à usage unique au moyen de l’application d’authentification d’un tiers, d’une grille de codes d’accès ou du téléphone. Il sera invité à s’inscrire en sélectionnant deux options pour l’AMF. Les individus doivent fournir un mot de passe à usage unique chaque fois qu’ils ouvrent une session dans leur compte de l’ARC. La dernière étape du processus d’inscription consiste à vérifier l’identité de l’individu au moyen d’un service de vérification des documents ou de l’envoi par la poste d’un code de sécurité de l’ARC.

Institutions financières

46. L’option Partenaire de connexion permet à un individu d’utiliser ses justificatifs d’identité bancaires pour accéder à son compte de l’ARC^{Note de bas de page 34}, alors qu’il est authentifié par son institution financière. Lorsqu’un individu s’est inscrit à son compte à l’aide de cette option, il peut également demander à l’institution financière de faire mettre à jour ses renseignements de dépôt direct.
47. Lorsqu’ils ouvrent une session de cette façon, les individus sont dirigés vers une page d’ouverture de session pour l’institution financière choisie. Une fois-là, ils sont invités à entrer leurs justificatifs d’identité pour l’institution financière dont ils sont clients. Une fois les renseignements acceptés, les individus doivent suivre le processus d’AMF de l’ARC, qui constitue la dernière étape avant d’accéder à leur compte de l’ARC^{Note de bas de page 35}.

Appels téléphoniques pour des demandes de renseignements généraux

48. Les individus peuvent utiliser les services téléphoniques de l’ARC^{Note de bas de page 36} pour accéder à des renseignements généraux ou à des renseignements propres à leur compte ou pour effectuer des actions dans leurs comptes. Par exemple, ils peuvent utiliser ces services pour obtenir le solde de leurs comptes et certains renseignements fiscaux ou pour mettre à jour leur nom, leur état matrimonial ou leur adresse.
49. Pour accéder à ces services par téléphone, les individus doivent répondre à des questions basées sur certains renseignements biographiques et renseignements concernant leur compte de l’ARC.

Déclarations de revenus

50. Les individus peuvent préparer leur déclaration de revenus en utilisant un logiciel de déclaration de revenus et en la soumettant en ligne ou par la poste. Ils peuvent également faire appel à une entreprise de préparation des déclarations de revenus, ou déclarant par voie électronique TED, pour soumettre leur déclaration en leur nom. Selon la façon dont un individu présente sa déclaration de revenus, le processus diffère :
    • Lorsqu’ils utilisent un logiciel de déclaration de revenus, les individus doivent entrer des renseignements personnels, comme leur nom, leur adresse et leur NAS, et leurs renseignements fiscaux^{Note de bas de page 37}, puis soumettre leur déclaration. Au moment de la rédaction, les individus pouvaient mettre à jour leur adresse courriel, leur état matrimonial et la langue de correspondance de leur choix au moyen de leur déclaration de revenus. Cependant, les individus sont encouragés à confirmer l’exactitude des renseignements concernant le dépôt direct, de l’adresse postale et des préférences en matière de notification (en ligne ou par courrier postal) figurant au dossier de l’ARC avant de soumettre leur déclaration^{Note de bas de page 38}.
    • Lorsqu’ils souhaitent présenter une déclaration sur papier, les individus doivent demander une trousse d’impôt sur le revenu papier à l’ARC, puis poster la déclaration à l’ARC.

TED

51. Le service de TED est un service automatisé utilisé par les fournisseurs de services de déclaration de revenus autorisés^{Note de bas de page 39} pour transmettre les déclarations de revenus de leurs clients par voie électronique. Les individus n’utilisent pas le service de TED; ils ont recours à un fournisseur de services de déclaration de revenus autorisé, qui utilise les documents fournis par l’individu pour produire une déclaration en leur nom au moyen du service de TED.
52. Pour s’inscrire afin d’utiliser le service de TED, les fournisseurs de services de déclaration de revenus doivent remplir un formulaire de demande et faire l’objet d’un contrôle d’admissibilité par l’ARC^{Note de bas de page 40}. Si l’ARC détermine qu’un fournisseur est admissible, elle lui fournit, lors de l’inscription, un numéro du service de TED et un mot de passe, que l’ARC les encourage à garder confidentiels. Les utilisateurs du service de TED doivent renouveler leur compte chaque année. Lors du renouvellement, le mot de passe est automatiquement réinitialisé^{Note de bas de page 41}. Toutes les déclarations de revenus produites par le même fournisseur de services de déclaration de revenus sont déposées sous le même numéro du service de TED.
53. Les utilisateurs du service en ligne de TED utilisent des produits logiciels pour soumettre des déclarations de revenus au nom de leurs clients. Il faut soumettre ces produits logiciels à des vérifications et des essais pour établir s’ils sont compatibles avec le service de TED et s’ils tiennent compte de toute modification législative.

Représenter un client

54. Un contribuable peut autoriser d’autres individus ou fournisseurs de services de déclaration de revenus à communiquer avec l’ARC en son nom. Ces personnes autorisées deviennent des représentants du contribuable et ont accès à ses renseignements fiscaux^{Note de bas de page 42}.
55. Un représentant peut être toute personne autorisée à accéder aux renseignements et aux services au nom d’un individu, d’une entreprise, du titulaire d’un régime enregistré ou d’une fiducie. Une telle autorisation est accordée par l’individu, l’entreprise, le titulaire du régime enregistré ou la fiducie qui désigne le représentant. Ce dernier peut être un ami ou un membre de la famille, un tuteur légal ou une personne ayant obtenu une procuration, un planificateur financier, etc. Pour utiliser le portail Représenter un client, les représentants doivent avoir un compte de l’ARC. À partir de la page d’accueil de leur compte de l’ARC, les représentants doivent ajouter un compte de représentant et s’inscrire à Représenter un client. On leur fournira ensuite un numéro ID Rep. Une fois l’inscription faite, les représentants peuvent demander à un contribuable l’autorisation d’accéder à ses renseignements, ou le contribuable peut utiliser son compte pour demander à un représentant inscrit de le représenter^{Note de bas de page 43}. Les services offerts au représentant varient selon que le client est un particulier, une entreprise ou une fiducie : les particuliers peuvent accorder un accès à l’information sans pouvoir de modification ou un droit d’accès et de modification. L’ARC réserve certains droits d’accès et de modification aux représentants juridiques^{Note de bas de page 44}. De plus, l’ARC a indiqué que des mécanismes internes peuvent empêcher un représentant de prendre des mesures à l’égard d’un compte.
56. Lors d’une enquête antérieure^{Note de bas de page 45}, en 2023, le Commissariat a appris que des acteurs malveillants utilisaient « Représenter un client » pour accéder frauduleusement à des comptes de contribuables. L’ARC a indiqué qu’elle a renforcé les processus entourant l’utilisation de ce portail par les individus pour donner suite aux recommandations formulées à l’ARC dans le rapport de 2024 du Commissariat. Le Commissariat était satisfait des mesures prises.

Approche des attaquants

57. Il est essentiel de comprendre la façon de procéder des acteurs malveillants. Cela permet aux institutions de prédire et d’anticiper leurs actions et de mettre en œuvre proactivement des mesures de défense adaptées.
58. L’ARC a signalé que des attaquants, souvent à l’aide de justificatifs d’identité volés ou divulgués, provenant de sources externes, ont réussi à accéder au compte de contribuables. Les acteurs malveillants utilisent également des renseignements légitimes pour modifier le compte d’individus, probablement dans le but de produire de fausses déclarations de revenus, de transférer les paiements de l’ARC à leur compte ou de demander des prestations. De plus, les attaquants peuvent apporter des changements à un compte de contribuable sans jamais y accéder directement, par exemple en produisant une fausse déclaration de revenus ou en mettant à jour les renseignements d’un compte en usurpant l’identité d’un contribuable et en répondant aux questions d’identification posées par les préposés d’un centre d’appels.
59. Notre analyse des rapports d’atteinte de l’ARC sur des cas complexes a permis de cerner certaines tactiques utilisées par les acteurs malveillants pour accéder aux comptes de contribuables. Compte tenu de la sensibilité des renseignements de ces cas sur le plan opérationnel, nous avons intentionnellement omis dans le présent rapport certaines précisions concernant ce qui s’est produit^{Note de bas de page 46}. Ces cas ont fourni des renseignements sur les tactiques utilisées par les acteurs malveillants et les vulnérabilités, ainsi que sur la question de savoir si l’ARC les a corrigées ou devrait mettre en œuvre d’autres améliorations.
60. L’enquête a révélé plusieurs facteurs qui augmentent le risque d’accès non autorisé aux systèmes de l’ARC, notamment comprendre les points d’entrée pouvant être exploités, la façon de contourner les mesures d’authentification et la façon d’accéder aux renseignements personnels des contribuables ou de les modifier. À partir de là, l’attaquant doit obtenir une combinaison de justificatifs d’identité de l’ARC, des justificatifs d’identité/détails concernant d’autres comptes (comme ceux pour les comptes bancaires, le service de TED ou Représenter un client) ou des renseignements suffisants concernant le compte d’un contribuable. Les systèmes et les services de l’ARC sont complexes et interreliés. Les attaquants peuvent combiner l’information de plusieurs façons. Dans l’ensemble, l’utilisation non autorisée de renseignements de contribuables peut comprendre, entre autres, les tactiques suivantes:
    • Établir un moyen de recevoir de l’argent : l’ARC verse des prestations et des remboursements par dépôt direct ou par chèque envoyé par la poste.
      1. Les renseignements sur les comptes bancaires pour les dépôts directs peuvent être modifiés seulement à partir d’un compte de l’ARC ou par l’intermédiaire d’une banque ou d’une coopérative de crédit canadienne. Les personnes qui ne peuvent pas utiliser une méthode en ligne doivent envoyer un formulaire d’inscription au dépôt direct par la poste^{Note de bas de page 47}. Pendant la période des atteintes visée par l’enquête, il y avait d’autres moyens de modifier les renseignements bancaires associés au compte d’un contribuable (par exemple, par téléphone et au moyen du service de TED).
      2. Les adresses postales peuvent être mises à jour en ligne (à partir d’un compte de l’ARC), par téléphone ou par la poste (à l’aide d’un formulaire de changement d’adresse). De plus, il est possible de mettre à jour une adresse postale en présentant une déclaration de revenus par la poste ou par TED (c’est-à-dire par l’entremise d’un fournisseur de services de déclaration d’impôts)^{Note de bas de page 48}. Au cours de la période des atteintes visée par l’enquête, il y avait d’autres moyens de changer l’adresse, par exemple en produisant une déclaration de revenus au moyen d’IMPÔTNET.
    • Établir un accès direct au compte avec les justificatifs d’identité : l’ARC encourage les personnes à protéger la confidentialité de leurs justificatifs d’identité, notamment en ne les réutilisant pas pour d’autres services. Cependant, par l’intermédiaire d’atteintes ciblant d’autres parties, de procédures d’hameçonnage ou d’autres moyens illicites, un attaquant peut obtenir des justificatifs d’identité pour les comptes de l’ARC (Mon dossier, Représenter un client, Compte d’entreprise, justificatifs d’identité pour accéder à un compte d’une institution financière).
    • Établir une façon de contourner l’authentification sans justificatifs d’identité : les mesures d’authentification de l’ARC varient selon le point d’entrée. Certaines d’entre elles exigent de répondre correctement à des questions d’identification en fournissant des renseignements sur le contribuable. Ces renseignements peuvent être obtenus au moyen de sources publiques ou d’atteintes visant des tiers, de stratagèmes d’hameçonnage ou d’autres moyens illicites, puis utilisés par des acteurs malveillants pour accéder à des renseignements inclus dans les comptes de l’ARC ou les modifier.
61. Compte tenu de ce qui précède, le Commissariat s’attend à ce que l’ARC soit au courant des menaces et qu’elle comprenne les risques ainsi que les tactiques, les techniques et les procédures employées par les acteurs malveillants^{Note de bas de page 49}. Il s’agit d’un élément clé pour se protéger contre la façon de procéder des acteurs malveillants. Puisque toutes les attaques ne peuvent pas être contrées, l’ARC doit avoir les outils et les processus nécessaires pour effectuer une surveillance et détecter et contenir rapidement les atteintes, atténuer les préjudices qu’elles causent aux personnes touchées et mettre en œuvre des mesures pour prévenir leur récurrence.

Prévention

62. La prévention est la première ligne de défense dans une position de sécurité globale. Elle appuie les organisations dans leur objectif de cerner les menaces visant leurs actifs et de mettre en œuvre des mesures de sécurité adéquates pour réduire au minimum les risques et prévenir les menaces qui pourraient mener à la compromission des actifs et à des préjudices. Les mesures de sécurité doivent comprendre des éléments physiques techniques et organisationnels, qui sont adaptés et proportionnels aux menaces et aux risques.
63. Dans ses observations, l’ARC a indiqué qu’elle avait mis en place plusieurs mesures préventives^{Note de bas de page 50}.
64. Dans la section ci-dessous, nous abordons certaines mesures qui auraient pu améliorer la capacité de l’ARC à lutter contre l’utilisation non autorisée de renseignements de contribuables pendant la période visée par l’enquête.

Mise en œuvre précoce de mesures d’AMF renforcées

65. L’AMF rend plus difficile l’accès à un compte pour les utilisateurs non autorisés, même si ceux-ci possèdent des justificatifs d’identité légitimes. Le processus consiste à exiger différents types de renseignements pour accéder à un compte, généralement une combinaison d’au moins deux facteurs : quelque chose que la personne titulaire du compte connaît (le facteur de connaissance, comme les bonnes réponses aux questions d’identification), quelque chose qu’elle possède (le facteur de possession, comme une adresse courriel, une application pour téléphone intelligent) ou quelque chose qu’elle est (le facteur corporel, comme les empreintes digitales ou autres données biométriques). La difficulté à obtenir différents facteurs diminue le taux de réussite d’un acteur malveillant.
66. L’ARC n’utilisait pas une solution d’AMF pendant toute la période visée par l’enquête. Elle l’a imposée à titre de mesure de sécurité obligatoire seulement en octobre 2021^{Note de bas de page 51}, et son absence pourrait avoir contribué aux cas d’utilisation non autorisée de renseignements de contribuables préalables à cette date. Le Commissariat a constaté lors d’une enquête antérieure qu’avant 2020, il était toujours pratique courante d’utiliser l’authentification à un facteur, mais que « la pratique courante ou la norme de l’industrie ne correspondent pas forcément à une pratique conforme à la Loi^{Note de bas de page 52} ».
67. En février 2023, l’ARC a amélioré son processus d’AMF. Depuis, les individus doivent utiliser l’une de trois options d’AMF pour accéder à Mon dossier^{Note de bas de page 53} :
    • Application d’authentification : une application mobile qui génère des codes d’accès uniques et temporaires.
    • Téléphone : l’ARC peut fournir des codes d’accès uniques par message texte (SMS) ou par message téléphonique automatisé.
    • Grille de codes d’accès : le système génère une grille de codes unique que le contribuable doit enregistrer ou imprimer. Cette grille est valide pendant 18 mois. Cette grille contient des lignes numérotées et des colonnes lettrées. L’ARC demande aux individus qui en détiennent une d’entrer trois combinaisons chaque fois qu’ils ouvrent une session.
68. Au moment de la rédaction, une seule option d’AMF était exigée pour ouvrir une session. Toutefois, l’ARC recommande que les individus s’inscrivent à plus d’une option car : «l’inscription à plusieurs options d’AMF vous permettra de vous assurer que vous pouvez toujours accéder à votre compte de l’ARC si vous changez votre numéro de téléphone, perdez votre grille de codes d’accès ou supprimez l’application d’authentification tierce^{Note de bas de page 54}. »
69. Comme il a été mentionné ci-dessus, l’ARC n’a pas fourni de renseignements au Commissariat sur le moment où les cas d’utilisation non autorisée de renseignements de contribuables se sont produits, et de ce fait, le Commissariat ne peut pas établir à quel point la mise en œuvre actuelle de l’AMF est efficace.
70. À la suite de l’examen des pratiques exemplaires internationales, nous notons que, dès 2022, la Cybersecurity and Infrastructure Security Agency (CISA) a déclaré^{Note de bas de page 55} que l’AMF basée sur les SMS est plus susceptible de faire l’objet d’attaques et a souligné l’importance d’utiliser des méthodes d’AMF sécurisées^{Note de bas de page 56}. Ces méthodes comprennent les solutions d’AMF résistantes à l’hameçonnage, comme l’authentification FIDO/WebAuthn^{Note de bas de page 57} et l’AMF basée sur l’ICP^{Note de bas de page 58} et les solutions d’authentification par application, comme le mot de passe unique (OTP) généré par un jeton^{Note de bas de page 59} et la notification poussée sur mobile avec correspondance du numéro^{Note de bas de page 60}.
71. De même, le National Institute of Standards and Technology (NIST) a publié une série de rapports sur le sujet de l’AMF, analysant différents éléments de la mise en œuvre. En 2025, le NIST a conclu que l’authentification et la vérification fondées sur les connaissances sont désuètes et ne devraient pas être utilisées pour la vérification de l’identité^{Note de bas de page 61}.
72. L’ARC a indiqué qu’elle a agi pour renforcer ses mesures de protection contre les atteintes utilisant l’authentification fondée sur les connaissances, ayant notamment réduit le nombre de tentatives accordées à un utilisateur pour répondre aux questions de sécurité avant le verrouillage du compte (en septembre 2020) et mis en place un outil de dénombrement des tentatives échouées d’inscription du numéro d’identification personnel (NIP) (en octobre 2020). L’ARC a également indiqué qu’elle devrait apporter d’autres améliorations à son processus d’AMF en février 2026^{Note de bas de page 62}. Ce sont des étapes positives.
73. À la lumière de ce qui précède, nous formulons les recommandations suivantes à l’intention de l’ARC :
    
    

    Recommandation 1 : Dans les 12 mois suivant la publication du rapport de conclusions, l’ARC devrait évaluer et ajuster sa mise en œuvre actuelle de l’AMF en tenant compte des normes internationales pour garantir qu’elle ne s’appuie que sur des méthodes robustes d’AMF;

    Recommandation 2 : Dans les 12 mois suivant la publication du rapport de conclusions, l’ARC devrait élaborer des indicateurs pour suivre l’efficacité de ses mesures de sécurité et de son programme de sécurité global, y compris l’AMF.

74. L’ARC a partiellement accepté la recommandation 1. En réponse à cette recommandation, elle a réaffirmé son engagement à ce que ses pratiques en matière d’authentification respectent les normes reconnues à l’échelle internationale pour l’AMF et elle a mentionné certaines mesures de protection de la vie privée qu’elle a déjà mises en œuvre, comme le fait d’offrir une application d’authentification en tant qu’option, la mise en place des méthodes d’AMF de sauvegarde en février 2026, et la planification d’améliorations de ces méthodes de sauvegarde plus tard en 2026. L’ARC a aussi indiqué qu’elle reconnaît l’importance de concilier la robustesse des contrôles de sécurité avec l’accessibilité pour les utilisateurs et la disponibilité opérationnelle. Elle a mentionné que, bien que l’AMF basée sur les SMS puisse être considérée comme un facteur d’authentification moins robuste selon les normes internationales en matière de cybersécurité, ces normes tiennent également compte du besoin de contrôles de sécurité proportionnels pour garantir un accès sécuritaire à tous les utilisateurs. L’ARC a aussi expliqué que le fait de conserver les SMS comme une option d’AMF vise précisément à soutenir les populations vulnérables, rurales ou mal desservies, ainsi que celles qui rencontrent des obstacles pour adopter la technologie. Selon l’ARC, l’authentification basée sur les SMS n’est pas considérée comme la méthode d’authentification privilégiée pour les utilisateurs qui peuvent raisonnablement accéder à des solutions plus fiables, et l’ARC ne la proposera pas comme méthode d’AMF de sauvegarde. En conclusion, l’ARC a confirmé qu’elle continuerait à évaluer et à améliorer son écosystème d’authentification afin d’assurer sa conformité avec les nouvelles normes internationales et de s’adapter à l’évolution des menaces, tout en continuant à sensibiliser le public aux avantages en matière de sécurité liés à des méthodes d’authentification plus fiables.
75. Le Commissariat reconnaît que l’ARC concilie la prestation de services avec la sécurité et qu’elle s’emploie à maintenir un niveau de sécurité élevé tout en garantissant à l’ensemble de la population canadienne un accès inclusif et équitable aux services en ligne. Le Commissariat prend également note de l’engagement de l’ARC à évaluer et à adapter continuellement son système actuel d’AMF ainsi que de sa déclaration selon laquelle l’authentification basée sur les SMS ne sera pas considérée comme la méthode d’authentification privilégiée pour les utilisateurs qui peuvent tirer parti de solutions plus fiables. Nous acceptons l’approche de l’ARC, mais nous nous attendons à ce qu’elle informe clairement les contribuables que l’AMF basée sur les SMS est moins sûre que d’autres solutions et qu’elle comporte davantage de risques, et nous l’encourageons à le faire. Le Commissariat a l’intention de suivre les efforts soutenus de l’ARC visant à renforcer continuellement l’AMF et à sensibiliser le public aux méthodes les plus sûres d’en tirer parti, afin de s’assurer que l’ARC met en œuvre les méthodes les plus robustes possibles. Compte tenu de ce qui précède, nous estimons que la recommandation 1 est conditionnellement résolue.
76. En ce qui concerne la recommandation 2, l’ARC a accepté la recommandation. Elle a accepté d’élaborer des indicateurs tel qu’ils ont été décrits et s’est aussi engagée à mettre en place les mécanismes appropriés pour évaluer si les contrôles et mesures de sécurité fonctionnent comme prévu pour réduire les risques et prévenir les atteintes potentielles. De plus, elle intégrera ces efforts à ses processus en cours visant la surveillance et les rapports.

Renforcement des processus d’authentification par téléphone

77. Comme il est mentionné plus haut, lorsque des individus communiquent avec l’ARC par téléphone, ils doivent répondre à certaines questions pour s’authentifier avant de pouvoir faire des démarches ou de recevoir des renseignements sur un compte.
78. L’ARC conseille aux individus d’avoir des renseignements précis à portée de la main lorsqu’ils communiquent avec elle : NAS, nom complet, date de naissance, adresse complète, déclaration de revenus, avis de cotisation ou de nouvelle cotisation ou autres documents fiscaux. Ces renseignements constituent la base de l’authentification par téléphone de l’ARC. Compte tenu de la prévalence des atteintes externes et des atteintes visant des tiers, qui rendent les renseignements personnels accessibles aux mauvais acteurs, il est essentiel pour l’ARC de veiller à ce que son processus d’authentification par téléphone soit solide.
79. Les individus dont les comptes sont potentiellement touchés par le vol d’identité doivent discuter avec le Service de protection de l’identité (SPI) de l’ARC, qui utilise des mesures de confidentialité renforcées pour valider l’identité du contribuable. Ces mesures comprennent différentes séries de questions servant à établir avec une certitude accrue qu’un individu est le véritable titulaire du compte. Si l’individu ne peut pas répondre aux questions ou si ses réponses soulèvent un doute sur son identité, le SPI met fin à l’appel^{Note de bas de page 63} et peut prendre des dispositions pour parler à l’individu à un autre moment (par exemple, si celui-ci n’a pas accès à certains documents pendant l’appel) ou lui demander de fournir certains documents afin de confirmer son identité.
80. Lorsqu’un contribuable réussit l’étape des mesures de confidentialité renforcées, il doit tout de même fournir des documents, et le SPI gardera le compte verrouillé en attendant la conclusion de l’analyse de la possible utilisation non autorisée de renseignements de contribuables par une tierce partie^{Note de bas de page 64}.
81. Nous prenons note de la version de 2025 des lignes directrices NIST SP 800-63(a), qui indiquent que les méthodes d’authentification et de vérification fondées sur les connaissances sont désuètes. Les questions de sécurité font partie de la catégorie de l’authentification fondée sur les connaissances, et il est souvent possible de les prévoir et de deviner les réponses ou de les obtenir de sources ouvertes^{Note de bas de page 65}.
82. Ainsi, nous formulons la recommandation suivante à l’intention de l’ARC :
    
    

    Recommandation 3 : Dans les 9 mois suivant la publication du rapport de conclusions, l’ARC devrait envisager des solutions de rechange ou des améliorations aux méthodes d’authentification fondées sur les connaissances qu’elle utilise pour authentifier les individus qui communiquent avec elle par téléphone et élaborer un plan de mise en œuvre efficace pour minimiser les risques.

83. L’ARC a accepté cette recommandation et a mentionné les efforts connexes déjà en place qui renforcent ses processus d’authentification par téléphone et réduisent les risques associés à l’authentification fondée sur les connaissances. Par exemple, en février 2025, l’ARC a adopté l’AMF utilisant un code d’accès à usage unique comme méthode supplémentaire pour permettre aux personnes de s’authentifier lorsqu’elles parlent à un agent au téléphone et, en février 2026, elle a aussi appliqué ce contrôle au système de réponse vocale interactive (RVI). Elle s’est engagée à explorer d’autres améliorations à long terme afin de renforcer davantage la sécurité et la fiabilité de ses services.

Examen de l’adoption d’une approche de vérification systématique

84. Les meilleures pratiques de l’industrie mettent l’accent sur les cadres de cybersécurité reconnus pour adopter et améliorer les capacités en matière de sécurité^{Note de bas de page 66}. Les approches architecturales telles que la vérification systématique peuvent améliorer considérablement la sécurité en limitant la confiance implicite et en réduisant l’incidence des atteintes potentielles.
85. La vérification systématique signifie qu’il ne faut jamais faire confiance et toujours vérifier^{Note de bas de page 67}. La philosophie du modèle à vérification systématique comprend un certain nombre de principes, tels que l’accès par session exigeant une réauthentification quand les sessions expirent; l’accès dynamique déterminé par des facteurs comme le profil de l’individu qui demande l’accès, l’appareil utilisé, le moment de la demande et la mesure dans laquelle le comportement de l’individu correspond à son comportement habituel; et l’authentification et l’autorisation, qui sont aussi dynamiques et rigoureusement appliquées. Le modèle à vérification systématique, ou MVS, exige également la collecte de renseignements pour améliorer la sécurité, y compris des renseignements sur les utilisateurs, les appareils, le trafic réseau et le comportement du système.
86. Le Centre canadien pour la cybersécurité (CCC) a observé^{Note de bas de page 68} que les mesures de défense traditionnelles axées sur le périmètre (qui permettent aux personnes d’accéder librement à un système après la validation et l’authentification) ne suffisent plus à protéger les réseaux et les données internes. Comme le CCC l’explique, « [s]elon le principe central du MVS, aucun élément (application, utilisateur ou appareil) d’un système d’information n’est digne de confiance par défaut. Il faut réévaluer et vérifier la confiance chaque fois qu’un élément demande l’accès à une nouvelle ressource. »
87. Lorsque les mesures de contrôle sont principalement axées sur le périmètre, les acteurs malveillants peuvent se déplacer librement dans les systèmes une fois qu’ils ont déjoué les mesures de sécurité au moyen de renseignements obtenus illicitement. Par comparaison, l’utilisation de petites zones de confiance ou l’imposition d’étapes d’authentification supplémentaires pour effectuer des changements importants aux comptes peut faire échouer les efforts déployés par des acteurs malveillants pour contourner le système.
88. Le Commissariat reconnaît qu’il est très difficile et exigeant en ressources d’appliquer un modèle à vérification systématique à un système existant, car cela nécessite une révision et une restructuration importantes des fondements de la configuration du système. L’intégration de certains éléments de la vérification systématique peut également mener à d’importants travaux techniques et administratifs dans l’ensemble de l’organisation, ainsi qu’à une augmentation du temps et des efforts consacrés à l’authentification rigoureuse de chaque utilisateur et de chaque appareil. Cependant, nous sommes d’avis qu’il s’agit d’un bon exemple d’un cadre et d’une approche de prévention efficaces.
89. À titre d’exemple, l’ARC a établi que la compromission de justificatifs détenus par des parties externes représentent une source importante de cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie. Selon le Open Worldwide Application Security Project (OWASP), la mesure de sécurité traditionnelle prise en réponse aux attaques faites au moyen de justificatifs volés serait la réinitialisation des mots de passe et l’ajout de l’AMF. Toutefois, une réponse fondée sur la vérification systématique comprendrait une évaluation continue des risques, une vérification des appareils et une analyse du comportement et pourrait déboucher sur un refus d’accès lorsque le risque est jugé élevé, et ce, même si les justificatifs utilisés sont valides^{Note de bas de page 69}.
90. Un autre exemple est que l’ARC a indiqué que les cas individuels d’utilisation non autorisée de renseignements de contribuables sont généralement signalés par les individus dont le compte a été modifié sans autorisation^{Note de bas de page 70}. Nous sommes d’avis que, pour limiter les agissements d’un acteur malveillant dans le système, il faudrait communiquer avec les titulaires de compte individuels pour confirmer la légitimité des changements apportés à leur compte. Nous notons que l’ARC a pris des mesures positives à ce chapitre. Par exemple, en février 2023, l’ARC a amélioré les types de notification électroniques et leur contenu afin d’informer les contribuables lorsqu’un utilisateur autre qu’eux-mêmes s’est vu refuser l’accès à leur compte^{Note de bas de page 71}.
91. En informant rapidement les individus^{Note de bas de page 72} des changements apportés aux renseignements dans leur compte ou en signalant de nouvelles activités, comme la production d’une déclaration de revenus ou d’une deuxième version d’une déclaration, l’Agence peut aussi limiter les efforts d’un acteur malveillant qui souhaite prendre le contrôle des renseignements. Cette approche pourrait également informer rapidement les individus que leurs renseignements personnels ont possiblement été compromis et leur permettre de mettre en œuvre des mesures d’atténuation ou de correction. Ainsi, nous formulons la recommandation suivante à l’intention de l’ARC :
    
    

    Recommandation 4 : Dans les 9 mois suivant la publication du rapport de conclusions, l’ARC devrait chercher à établir si une approche de vérification systématique et ses principes clés sont suffisamment intégrés dans ses mesures de sécurité et présenter un plan d’ajustement pour respecter les principes de cette approche.

92. L’ARC a accepté cette recommandation, mais a demandé plus de temps pour la mettre en œuvre. Elle s’est engagée à effectuer un examen exhaustif pour évaluer comment les principes de la vérification systématique sont actuellement intégrés et pour déterminer toute autre modification nécessaire pour renforcer davantage ses mesures de sécurité. L’ARC souhaite également que les efforts requis pour la mise en œuvre de cette recommandation cadrent avec les initiatives stratégiques en cours. Le Commissariat accepte la demande de l’ARC de terminer le travail associé à cette recommandation dans les 12 mois suivant la publication du présent rapport.

Amélioration de la visibilité sur la surface d’attaque et de sa gestion

93. L’ARC offre aux contribuables diverses méthodes d’accès aux renseignements figurant dans leurs comptes et de les modifier. Plusieurs de ces méthodes font intervenir des parties sur lesquelles l’ARC n’a aucun contrôle direct (institutions financières, déclarants par TED, représentants autorisés utilisant Représenter un client, etc.).
94. Nous avons demandé à l’ARC de quelle façon elle confirme l’identité des tiers et leur accorde l’accès à ses systèmes et comment elle surveille ou vérifie cet accès. En ce qui concerne les institutions financières, l’ARC a expliqué qu’elle recourt à un contrat du gouvernement du Canada qui permet aux utilisateurs d’utiliser le service d’ouverture de session Interac pour accéder à leur compte de l’ARC^{Note de bas de page 73}. Ce service élimine la nécessité pour les utilisateurs de créer et de gérer des justificatifs d’identité distincts pour accéder à leur compte de l’ARC. L’ARC a indiqué qu’elle n’intervient pas dans l’ajout ou le retrait d’institutions financières de la liste des participants d’Interac et que c’est Services partagés Canada (SPC) qui est partie au contrat avec Interac^{Note de bas de page 74}. SPC gère la relation pour assurer la conformité et agit à titre d’autorité contractuelle et technique^{Note de bas de page 75}. Le contrat peut être utilisé par tous les ministères et organismes gouvernementaux, et les renseignements sur les changements ou les mises à jour du service sont communiqués par l’intermédiaire d’un groupe de travail présidé par SPC.
95. Nous nous attendrions à ce que l’ARC soit au courant et satisfaite de la robustesse des processus d’authentification de tous les tiers qui permettent l’accès aux renseignements de contribuables. Lorsque l’ARC autorise l’accès à Mon dossier, tous les risques liés aux processus des tiers font partie de l’exposition globale au risque de l’ARC.
96. L’ARC n’a pas été en mesure d’expliquer pourquoi elle s’appuie sur les processus d’authentification de tiers dans un contexte où les institutions financières représentent le point d’entrée le plus fréquemment compromis dans l’échantillon de données sur les cas individuels d’utilisation non autorisée de renseignements de contribuables. Cette absence d’explication est préoccupante, étant donné que l’ARC a indiqué qu’elle ne dispose pas de renseignements sur les façons dont les tiers peuvent repérer une utilisation non autorisée ou des activités suspectes ni sur les façons dont leurs processus d’authentification peuvent être ou ont été contournés par des acteurs malveillants. L’Agence a déclaré qu’elle compte uniquement sur le fait que des parties externes peuvent signaler des activités suspectes.
97. L’enquête a révélé que l’ARC n’avait pas suffisamment d’information sur les nombreux points d’entrée de son système, ce qui pourrait expliquer qu’un certain nombre de cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie aient pu se produire et le fait que l’Agence ne pouvait pas expliquer ce qui s’est passé dans chaque cas. Une gestion adéquate de la surface d’attaque est essentielle à la cybersécurité, car elle permet aux organisations de cerner et de corriger les vulnérabilités de tous les points d’entrée.
98. À la lumière de ce qui précède, nous formulons la recommandation suivante à l’intention de l’ARC :
    
    

    Recommandation 5 : Dans les 6 mois suivant la publication du rapport de conclusions, l’ARC devrait 1) compiler un répertoire de tous les points d’entrée et des vecteurs d’attaque correspondants et 2) préparer et mettre en œuvre un plan pour garantir que ce répertoire demeure à jour et accessible à toutes les équipes ayant un besoin de savoir.

99. L’ARC a accepté cette recommandation, mais a demandé que le délai accordé soit modifié de sorte qu’il cadre avec le travail en cours qu’elle effectue. Plus précisément, parce que 2026-2027 est le troisième et dernier exercice d’une initiative spéciale en cours qui donne lieu à une évaluation des risques des principaux points d’entrée et à la prise de mesures correctives connexes, en vue de renforcer la position de l’ARC et de prioriser les points d’entrées présentant un risque élevé.
100. Par conséquent, l’ARC a proposé de mettre à jour l’inventaire de tous les points d’accès dans les 3 mois suivant la publication de notre rapport, de mettre à jour l’inventaire des points d’accès auxquels des vecteurs d’attaque sont associés dans les 6 mois suivant la publication de notre rapport, et de créer et mettre en œuvre un plan pour la tenue à jour de l’inventaire en tant que ressource évolutive dans les 12 mois suivant la publication de notre rapport. Le Commissariat a accepté cette approche progressive pour la mise en œuvre de la recommandation.

Amélioration de l’efficacité de la formation et de la sensibilisation

101. Nous nous attendons à ce qu’en plus d’utiliser des méthodes de prévention axées sur la technologie, les organisations tiennent compte du facteur humain, notamment en veillant à ce que les utilisateurs, les employés et les tiers autorisés soient conscients de leur rôle dans la protection contre l’accès non autorisé aux comptes des utilisateurs ou leur modification non autorisée.
102. L’ARC explique sur son site Web que, pour informer le public du risque de fraude, elle utilise différents moyens (site Canada.ca, bulletins d’information, médias sociaux, courrier par la poste) et diverses initiatives. Parmi les initiatives citées, on compte la campagne Évitez les arnaques^{Note de bas de page 76}, la page Web Alertes à l’arnaque^{Note de bas de page 77}, les médias sociaux^{Note de bas de page 78} et la Salle d’évasion^{Note de bas de page 79}. Ces initiatives démontrent que l’ARC est consciente de l’importance de faire participer les contribuables à la protection de leurs comptes.
103. Compte tenu du fait que la plupart des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie sont facilités par des justificatifs et des renseignements qui pourraient avoir été obtenus au moyen de l’ingénierie sociale ou de stratagèmes d’hameçonnage ciblant des individus, nous nous demandons s’il est possible d’en faire davantage pour sensibiliser la population. Sans élément précis montrant l’efficacité des initiatives susmentionnées, nous ne pouvons pas établir si l’ARC devrait envisager d’autres moyens de communication.
104. De même, nous nous attendrions à ce que les employés du centre d’appels de l’ARC reçoivent une formation propre aux menaces auxquelles l’Agence est exposée.
105. Parallèlement, les exigences relatives aux déclarants par TED doivent être précises et ciblées^{Note de bas de page 80}. Les employés des entreprises qui produisent des déclarations par TED manipulent également les renseignements des contribuables. L’ARC devrait donc contrôler, dans le cadre de son programme de vérification, que les déclarants par TED fournissent à leurs employés une formation sur la protection des renseignements personnels et la sécurité semblable à celle que reçoivent les employés de l’ARC.
106. À la lumière de ce qui précède, nous formulons la recommandation suivante à l’intention de l’ARC :
     
     

     Recommandation 6 : Dans les 12 mois suivant la publication du rapport de conclusions, l’ARC devrait évaluer ses outils de vérification, de formation et de sensibilisation pour s’assurer qu’ils sont efficaces et opérationnels et fournir au Commissariat un résumé de cette évaluation.

107. L’ARC a accepté cette recommandation. Dans ses engagements, l’ARC a indiqué qu’elle prévoyait de mettre à jour ses processus de vérification à l’automne 2026 pour renforcer la responsabilisation des déclarants par TED. Dans le cadre de cette mise à jour, les déclarants par TED devront attester qu’ils connaissent et respectent leurs obligations de protéger les renseignements du contribuable prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Surveillance et détection

108. La surveillance et la détection représentent tous deux des éléments importants dans une position de sécurité globale. Le but de ces activités est de cerner les menaces pour une organisation le plus tôt possible afin de prendre des mesures immédiates pour les contenir et empêcher la compromission des actifs et les préjudices. Les mesures de surveillance et de détection doivent comprendre des outils techniques et des processus organisationnels et être adaptées aux menaces et aux risques.
109. L’ARC a indiqué qu’elle avait mis en place des mesures de surveillance pour détecter les activités suspectes à des points d’entrée précis et qu’elle continue d’adopter des méthodes avancées à cet égard.
110. L’ARC a décrit au Commissariat un certain nombre d’outils qu’elle utilise en matière de cybersécurité. Le Commissariat estime que les outils en place sont ceux qu’il s’attend à voir comme faisant partie du cadre global de cybersécurité de l’ARC.
111. En ce qui a trait à la surveillance et à la détection de l’utilisation non autorisée de renseignements de contribuables par une tierce partie, l’ARC a fourni des exemples de ses approches de surveillance et de détection :
     • Signalements internes : diverses équipes internes aident les secteurs de programme de l’ARC à repérer les possibles cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie, y compris les équipes de la Direction générale de la sécurité, qui jouent un rôle complémentaire en utilisant des outils conçus pour repérer les anomalies et les indicateurs de fraude et en faisant des signalements aux secteurs de programme pour des enquêtes plus poussées.
     • Signalements externes : l’ARC a expliqué que tous les partenaires externes ne sont pas tenus de signaler les atteintes touchant l’information qui est en leur possession. Ceux-ci signalent les activités suspectes à l’ARC en se fondant sur leurs propres systèmes de surveillance internes, leurs enquêtes sur les atteintes ou leurs obligations au titre d’ententes contractuelles^{Note de bas de page 81}. L’ARC examine ensuite ces signalements, les évalue et y répond.
     • Examen fiscal de routine : les examens ponctuels de la conformité et les vérifications aléatoires peuvent être une approche utile qui s’ajoute à d’autres activités officielles de surveillance et aide à cerner les problèmes potentiels qui n’ont pas été détectés autrement. L’ARC a adopté cette approche dans plusieurs des exemples fournis au Commissariat^{Note de bas de page 82}.
     • Analyse et surveillance du comportement : l’ARC analyse le comportement des utilisateurs au sein de ses portails. Des équipes spécialisées utilisent des outils et des techniques d’analyse de données pour déceler des signes de fraude liés aux stratagèmes et aux cas actifs.
     • Déclencheurs fondés sur des règles pour l’examen par certains secteurs de programme : l’ARC a noté que certains secteurs de programme ont des règles automatisées pour détecter les erreurs ou les irrégularités dans les déclarations de revenus ou les activités dans les comptes.
112. Malgré tous les outils ci-dessus, en ce qui concerne la période visée par l’enquête, l’ARC a indiqué que ce sont principalement les individus touchés qui signalent la majorité des cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie. Cependant, elle n’a pas été en mesure de fournir une répartition des cas par source et a expliqué qu’elle avait peu de données de suivi sur la provenance des cas en raison de la nature dynamique du vol d’identité.
113. En conclusion, notre enquête a permis d’établir que l’ARC utilise divers outils de surveillance et de détection. Cependant, le fait que ce sont principalement les individus touchés qui signalent la majorité des cas d’utilisation non autorisée de renseignements de contribuables et que l’ARC n’est pas en mesure d’établir quand et comment chaque cas d’utilisation non autorisée s’est produit soulève des questions sur l’efficacité de l’approche de l’ARC. Ainsi, nous formulons la recommandation suivante à l’intention de l’ARC :
     
     

     Recommandation 7 : Dans les 9 mois suivant la publication du rapport de conclusions, l’ARC devrait élaborer un plan pour garantir que son approche de surveillance et de détection soit adaptée aux menaces et aux risques qui mènent à l’utilisation non autorisée de renseignements de contribuables par une tierce partie.

114. L’ARC a accepté cette recommandation et a transmis au Commissariat des précisions sur la façon dont elle allait tirer parti des efforts existants pour mettre en œuvre la recommandation du Commissariat. Elle a mentionné l’éventail d’outils et de technologies qu’elle utilise pour surveiller et détecter les activités suspectes dans ses systèmes. L’ARC a expliqué que ces outils sont régulièrement mis à jour et recalibrés en fonction des nouvelles menaces, des cas confirmés de fraude et des nouveaux risques pour aider ses équipes à repérer les cas possibles d’accès non autorisé aux comptes des contribuables.

Confinement

115. Une fois une institution a repéré une atteinte potentielle, elle doit définir et mettre en œuvre des mesures de confinement^{Note de bas de page 83} pour limiter l’incidence et la portée de l’atteinte. Le confinement doit commencer immédiatement après la détection de l’atteinte et être achevé de la manière la plus rapide et exhaustive possible. L’ARC a indiqué que ses stratégies et ses actions dépendent du type d’atteinte et de sa portée.
116. L’ARC a indiqué que le Service de protection de l’identité (SPI) est la principale équipe responsable du confinement lors des cas d’utilisation non autorisée de renseignements de contribuables liés à des comptes individuels. Le mandat du SPI est de vérifier l’identité des contribuables lorsqu’on soupçonne que leurs renseignements sont utilisés par un tiers non autorisé et de prendre des mesures correctives à l’égard des comptes des victimes de vol d’identité. L’ARC a expliqué dans ses observations que les comptes suspects sont immédiatement examinés, et que diverses mesures sont prises pour les signaler à l’interne et les désactiver afin de stopper ou d’éviter toute exploitation.
117. L’ARC a expliqué que le SPI est le point de contact pour les contribuables individuels dont le compte pourrait être compromis à la suite d’un vol d’identité^{Note de bas de page 84}. Le SPI examine tous les cas de vol d’identité potentiel, communique directement avec les victimes présumées pour rétablir ou protéger leur compte, le cas échéant, et traite les préoccupations en matière de vol d’identité au niveau individuel^{Note de bas de page 85}.
118. Dans ses observations, l’ARC a indiqué que le SPI communique avec les victimes présumées dès que possible par téléphone et par la poste, et qu’une lettre de contact initiale est envoyée, indépendamment du fait que le contact téléphonique a réussi ou non. Toutefois, l’ARC a également indiqué que les délais d’examen varient selon les contraintes de capacité, l’ordre de priorité des dossiers et les priorités organisationnelles, et a noté que le processus peut être retardé s’il y a un échec de communication téléphonique ou si les documents demandés aux individus ne sont pas reçus. L’ARC a également noté qu’il s’écoule généralement entre 24 heures et 20 semaines avant qu’un dossier soit traité.
119. Nous sommes satisfaits de l’approche de l’ARC en matière de confinement. Nous reconnaissons que plusieurs facteurs pourraient avoir une incidence sur la rapidité avec laquelle certaines mesures de confinement sont prises et qu’il est difficile d’enquêter sur les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie.

Mesures d’atténuation

120. Les mesures d’atténuation sont les moyens pris par une institution pour réduire les risques associés à une atteinte. Elles doivent être prises en temps opportun et comprendre des étapes comme le contrôle de l’accès à un compte pour prévenir la communication ou l’utilisation abusive. Le but ultime de l’atténuation est de restaurer autant que possible la situation de l’individu touché telle qu’elle était avant l’atteinte. Cela comprend la correction des renseignements liés à ses comptes, l’annulation de toute erreur ou répercussion financière, la vérification de son accès aux services et aux prestations de l’ARC et la prise de mesures visant à le protéger des risques ultérieurs.
121. Le guide de l’Agence sur l’utilisation non autorisée de renseignements de contribuables par une tierce partie décrit plusieurs étapes liées à l’atténuation et à la communication, ainsi que les rôles et responsabilités de toutes les équipes concernées. Les mesures d’atténuation comprennent habituellement l’application de mesures de protection du compte aux comptes touchés. De plus, dans les cas où un acteur malveillant aurait pu consulter les renseignements complets d’un compte, les individus reçoivent des services de protection du crédit pour les protéger contre les préjudices qui pourraient découler de cette atteinte.
122. L’ARC indique sur son site Web que les personnes touchées par la fraude ou le vol d’identité ne sont pas tenues responsables des demandes non autorisées, des impôts dus liés aux activités non autorisées dans leurs comptes ou des sommes versées aux fraudeurs qui utilisent leur identité^{Note de bas de page 86}.
123. Ces mesures s’ajoutent aux activités menées par le SPI et comprennent la communication avec les individus touchés pour expliquer l’intervention de l’ARC et répondre à leurs préoccupations, comme il est décrit ci-dessus. Nous encourageons l’ARC à accélérer ses enquêtes sur les utilisations suspectes non autorisées de renseignements de contribuables par une tierce partie et à rétablir rapidement l’accès des contribuables légitimes, étant donné que le blocage des comptes peut causer un préjudice aux individus touchés^{Note de bas de page 87}.
124. Nous reconnaissons que ces mesures sont positives et qu’elles réduisent l’incidence des atteintes sur les individus.

Mesures correctives

125. Une fois qu’une atteinte a été confirmée, il incombe à une organisation de réfléchir aux mesures à prendre pour corriger les vulnérabilités exploitées par l’acteur malveillant et réduire la probabilité qu’une atteinte semblable se reproduise. Pour ce faire, il est crucial de comprendre les causes profondes de l’atteinte, les détails liés à l’atteinte et les stratégies employées par l’acteur malveillant qui a obtenu l’accès aux renseignements personnels.
126. Depuis 2020, l’ARC a apporté plusieurs changements à ses systèmes et processus. Par exemple :
     • Limiter les possibilités de modifications non autorisées des comptes :
       1. Depuis le 24 mars 2025, les individus ne peuvent plus mettre à jour leurs renseignements sur le dépôt direct par téléphone. Ils peuvent le faire uniquement au moyen d’un compte de l’ARC ou par l’intermédiaire d’une institution financière^{Note de bas de page 88}.
       2. L’ARC a imposé certaines limites en ce qui concerne les diverses coordonnées qui peuvent être mises à jour au moyen d’une déclaration de revenus (des options en ligne, par téléphone et sur papier demeurent pour certaines d’entre elles). En effet, les numéros de téléphone et les adresses courriel peuvent être mis à jour au moyen de déclarations de revenus, mais l’adresse postale ne peut pas être mise à jour au moyen d’une déclaration de revenus produite par IMPÔTNET^{Note de bas de page 89} (par un individu). Une adresse postale peut être mise à jour au moyen d’une déclaration de revenus produite sur papier ou par l’intermédiaire du service de TED (c’est-à-dire par l’entremise d’un fournisseur de services de déclarations).
     • Renforcement de l’AMF obligatoire :
       1. L’ARC a mis en œuvre l’AMF comme mesure de sécurité obligatoire en octobre 2021. En février 2023, elle a amélioré le courriel d’AMF en précisant la méthode utilisée lors de l’inscription (téléphone, grille de codes, application d’authentification). En février 2024, l’ARC a mis en œuvre des codes ponctuels comme option supplémentaire pour l’AMF. L’ARC a également indiqué qu’elle a mis en œuvre d’autres améliorations à ses systèmes d’AMF en février 2026, et qu’elle prévoit de rendre l’AMF de rechange obligatoire plus tard en 2026, en fonction des renseignements opérationnels, des habitudes d’adoption et des commentaires des utilisateurs. Selon l’ARC, ces améliorations additionnelles devraient compliquer la tâche des auteurs de menace qui cherchent à contourner d’autres mesures de contrôle.
     • Ajout d’une confirmation d’autorisation pour Représenter un client :
       1. En octobre 2021, l’ARC a mis en œuvre un processus de confirmation du représentant pour les autorisations présentées à l’aide de Représenter un client. Ce processus exige que les clients individuels confirment ou refusent une demande d’un représentant potentiel, soit par l’intermédiaire de Mon dossier, soit en fournissant à leur représentant des renseignements tirés d’une déclaration de revenus traitée.
127. L’ARC a également mis sur pied une équipe de résolution des problèmes de sécurité complexes visant des comptes au niveau organisationnel. Le rôle de l’équipe est de diriger la réponse de l’ARC aux menaces complexes liées aux comptes qui concernent de multiples programmes et qui nécessitent une approche et une intervention uniformes et coordonnées. Les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie ne relèvent pas de la compétence de l’équipe, à moins qu’ils ne fassent partie d’un stratagème complexe.
128. L’équipe évalue les signalements qu’elle reçoit des intervenants internes et externes, coordonne les mesures de contrôle des comptes et les stratégies d’atténuation et produit un rapport sur l’incident. La portée du travail de l’équipe comprend les menaces ciblant directement l’ARC, qui mettent à risque la sécurité et l’intégrité des comptes de contribuable (les menaces de l’ARC), et les incidents à l’extérieur de l’ARC ou non liés à l’ARC, qui peuvent avoir des répercussions sur la sécurité et l’intégrité des comptes de contribuable (les atteintes externes).
129. Les mesures correctives doivent être adaptées aux menaces, et l’ARC indique qu’elle utilise des mesures correctives efficaces après des cas complexes. Toutefois, nous notons que les mesures prises par l’ARC pour traiter les cas individuels d’utilisation non autorisée de renseignements de contribuables sont de nature plus générale. Dans ses rapports trimestriels sur les atteintes présentés au Commissariat concernant les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie, l’ARC indique que, depuis 2020, elle a mis en place des mesures de contrôle et des processus précis pour réduire le risque que des atteintes semblables se reproduisent.
130. Nous reconnaissons que les mesures correctives de l’ARC améliorent la capacité de l’organisation à prévenir les incidents futurs. Cependant, comme les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie ne relèvent pas de l’équipe de résolution des problèmes de sécurité complexes visant des comptes au niveau organisationnel (à moins qu’ils ne fassent partie d’un stratagème complexe) et que l’ARC n’étend pas l’analyse de ces cas à l’extérieur de ses murs, les causes profondes des atteintes liées à l’utilisation de renseignements de contribuables par une tierce partie découlant d’une atteinte ciblant une partie externe ne sont jamais établies. Ultimement, le Commissariat n’a pas été en mesure d’évaluer l’efficacité des mesures correctives de l’ARC contre toutes les tactiques utilisées par des acteurs malveillants pour obtenir un accès non autorisé aux comptes des contribuables.
131. Même lorsque les mesures correctives améliorent la position de sécurité globale, leur efficacité est difficile à évaluer si elles ne correspondent pas à des leçons retenues.

Lacunes dans les principaux renseignements pertinents

132. Au cours de l’enquête, le Commissariat a rencontré des difficultés pour évaluer l’efficacité du travail réalisé par l’ARC afin de protéger ses systèmes et les renseignements personnels dont elle est responsable. Malgré des efforts considérables, l’ARC n’a pas été en mesure de fournir au Commissariat des renseignements détaillés sur les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie faisant l’objet de l’enquête et sur la façon dont l’ARC a répondu à ces cas.
133. Ainsi, nous formulons la recommandation suivante à l’intention de l’ARC :
     
     

     Recommandation 8 : Dans les 6 mois suivant la publication du rapport de conclusions, l’ARC devrait élaborer un plan d’action qui décrit la façon dont elle prendra les (4) mesures suivantes dans les 18 mois suivant la publication du rapport :

     1. Veiller à ce qu’elle effectue le suivi des dates clés de toutes les atteintes et soit en mesure d’en rendre compte : la date de l’atteinte, la date à laquelle on a soupçonné qu’il y avait eu atteinte, la date de la première tentative de communication avec l’individu touché et la date de la première communication réussie.
     2. Veiller à ce qu’elle ait la capacité, pour chaque atteinte, d’établir un lien entre les mesures de protection en place et le type d’atteinte.
     3. Veiller à ce qu’elle ait en place un processus pour évaluer l’efficacité des mesures de protection et établir si elles ont une incidence sur les atteintes.
     4. Veiller à ce qu’elle dispose de systèmes qui permettent de faire un suivi exhaustif des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie et de sa réponse à ces situations et d’en rendre compte.
134. L’ARC a accepté cette recommandation et a précisé qu’elle effectue déjà un examen complet des stratagèmes complexes qui concernent plus d’un NAS pour bien comprendre le risque et apporter les changements nécessaires aux systèmes ou aux procédures. Elle s’est engagée à mettre en œuvre un plan pour les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie qui ne sont pas liés à des stratagèmes complexes. Enfin, l’ARC a demandé qu’on lui accorde 24 mois après la publication de notre rapport pour terminer la mise en œuvre des mesures nécessaires.
135. Le Commissariat accepte la réponse de l’ARC et la demande de prolongement du délai.

Gouvernance

136. La gouvernance en matière de protection des renseignements personnels englobe les politiques, les pratiques et les procédures mises en place par une organisation pour assurer la protection des renseignements personnels en sa possession. Elle peut comprendre une gamme d’outils et de structures.
137. Elle englobe également les équipes et les unités qui veillent à ce que les politiques et les procédures appropriées soient élaborées et mises en œuvre. Parmi les exemples positifs que nous avons observés à l’ARC, il y a la création du SPI et de l’équipe de résolution des problèmes de sécurité complexes visant des comptes au niveau organisationnel. Les deux jouent un rôle essentiel dans la réponse organisationnelle de l’ARC aux cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie, et ils jouent un rôle clé dans les mesures que prend l’Agence en cas d’atteinte.
138. Cela dit, nous avons constaté des lacunes en ce qui concerne la gouvernance de l’ARC dans ce domaine.
     • Il n’existe pas de répertoire centralisé unique de renseignements personnels des contribuables, ni pour le suivi et la déclaration des renseignements liés aux cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie. Nous notons que le SPI utilise six systèmes différents dotés de fonctions et de caractéristiques distinctes, dont certains reposent sur des entrées manuelles dans des formats non structurés (par exemple, entrées dans un bloc-notes sur plusieurs plateformes). Dans le même ordre d’idées, l’un des facteurs clés pris en compte par l’ARC lorsqu’elle a suggéré de fournir au Commissariat un échantillon de données, en réponse à la demande du Commissariat à l’ARC de fournir des informations sur les atteintes, était le niveau d’effort requis pour recueillir manuellement les renseignements pour chaque échantillon. Comme l’ARC l’a expliqué, le suivi des atteintes liées aux cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie est un processus manuel qui n’est pas régi par un système d’entreprise.
     • Il n’y a pas d’équipe unique, globale et centralisée chargée de coordonner la détection des événements de sécurité découlant de toutes les sources de menaces et l’intervention à l’égard de ceux-ci. Les différents types de menaces passent plutôt par diverses équipes, divers processus ou diverses technologies.
       1. Au cours de l’enquête, nous avons demandé à l’ARC s’il y avait une seule équipe responsable d’une fonction de sécurité centralisée, comme un centre des opérations de sécurité. Elle a désigné les deux équipes suivantes : le Centre des opérations de l’Agence et la Division des opérations de cybersécurité. La première est le point central pour le signalement des incidents de sécurité aux employés de l’ARC et a pour mandat d’aider l’ARC à gérer efficacement les incidents de sécurité, les menaces et les urgences, à s’y adapter et à s’en rétablir. Elle ne s’occupe pas des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie. La deuxième est responsable de la surveillance, de la détection et du traitement des cyberincidents et des cybermenaces qui peuvent avoir une incidence sur la confidentialité, l’intégrité et la disponibilité de l’information et des ressources informatiques de l’ARC, et elle soutient également la gestion de l’information (GI) et la gestion des risques en matière de TI en examinant l’environnement de la menace, en repérant les événements d’intérêt et en collaborant avec les intervenants pour contenir les incidents et y réagir.
       2. L’ARC a également signalé qu’à la suite de notre rapport d’enquête de 2024, elle a créé une Direction générale de la sécurité pour réunir toutes les fonctions internes de sécurité (cybersécurité, sécurité de l’information, continuité des activités) dans une structure de gouvernance unique au sein de laquelle la responsabilisation et la prise de décisions sont centralisées.
       3. Bien que la création de ces unités dédiées soit une étape positive, celles-ci ne forment pas l’équipe entièrement centralisée décrite ci-dessus, dont la mission opérationnelle consisterait à effectuer une surveillance technique en temps réel et sans interruption et à intervenir en cas de menace.
     • Pour soutenir les divers programmes et services qu’elle offre aux Canadiennes et aux Canadiens, l’ARC dispose de plusieurs systèmes et points d’entrée grâce auxquels les personnes peuvent accéder à leurs renseignements personnels et les modifier. Comme il est mentionné plus haut, l’ARC a éprouvé des difficultés à fournir au Commissariat des renseignements sur les points d’entrée au cours de l’enquête.
     • Bien que l’ARC gère séparément la prévention de la fraude et la cybersécurité, il y a de plus en plus de signes d’une collaboration entre les équipes qui en sont responsables. Nous nous attendrions à ce que, dans la mesure où les outils et les capacités dans les deux domaines peuvent être complémentaires, l’ARC crée une plus grande convergence entre ceux-ci. Par exemple, les mesures de cybersécurité pourraient permettre la prévention de la fraude en tirant parti de l’analyse des comportements et des tendances.
139. Ainsi, nous formulons la recommandation suivante à l’intention de l’ARC :
     
     

     Recommandation 9 : Dans les 12 mois suivant la publication du rapport de conclusions, l’ARC devrait examiner ses processus de gouvernance et mettre en œuvre des changements qui permettront à l’Agence de traiter les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie de manière coordonnée, exhaustive et efficace, quel que soit le point d’entrée compromis.

140. L’ARC a accepté cette recommandation et a exprimé son engagement à renforcer son processus de gouvernance afin que les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie soient traités de manière coordonnée, exhaustive et efficace. Elle a indiqué qu’elle a actuellement plusieurs structures de gouvernance en place pour appuyer le tout, notamment des comités composés de membres du conseil de direction, de sous-commissaires et de directeurs généraux. De plus, le guide sur les menaces et le guide sur les atteintes externes de l’ARC décrivent les efforts qu’elle déploie pour protéger globalement l’intégrité des comptes de l’ARC contre les menaces de fraude et les incidents externes. L’ARC a indiqué que ces guides démontrent comment les interventions à l’échelle de l’ARC sont actuellement coordonnées et gérées au moyen de diverses stratégies dans l’ensemble des secteurs de service, et expliquent comment les décisions sont prises et les problèmes sont transmis aux échelons supérieurs.

Conclusion

141. Depuis 2020, l’ARC a connu un grand nombre d’atteintes qui ont donné lieu à des cas où les renseignements de contribuables ont été visés par des accès et des modifications non autorisés, ce qui constitue des infractions aux paragraphes 6(2) et 8(2) de la Loi. L’ARC a entièrement accepté huit des neuf recommandations du Commissariat, et a partiellement accepté une des recommandations. Nous concluons donc que la plainte est fondée et conditionnellement résolue.
142. Dans l’ensemble, nous reconnaissons les efforts déployés par l’ARC au cours des cinq dernières années pour améliorer sa position de sécurité à la suite de l’enquête du Commissariat qui portait sur une question connexe. Néanmoins, nous sommes d’avis que l’ARC devrait prendre davantage de mesures pour veiller à ce qu’elle dispose d’une approche coordonnée et proactive pour protéger les comptes des contribuables contre l’utilisation non autorisée de renseignements de contribuables par une tierce partie.
143. L’enquête a permis de mettre au jour un certain nombre de facteurs qui ont eu une incidence sur la capacité de l’ARC à prévenir l’utilisation non autorisée de renseignements de contribuables par une tierce partie et à intervenir en cas de telle utilisation, notamment :
     • L’absence d’analyse des causes fondamentales pour les cas individuels d’utilisation non autorisée de renseignements de contribuables par une tierce partie qui ne font pas partie de stratagèmes complexes, qui a entraîné une absence de renseignements sur les tactiques des acteurs malveillants et les vulnérabilités des points d’entrée compromis.
     • Des lacunes dans le suivi des détails des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie, y compris le moment et la façon dont ils se produisent.
     • La complexité et l’ampleur de la surface d’attaque : les contribuables peuvent accéder à leurs comptes au moyen de plusieurs points d’entrée et de divers processus d’authentification, dont certains font appel à des intervenants externes. Cette facilité d’accès accrue pour les contribuables légitimes offre également davantage de possibilités pour les acteurs malveillants.
     • La capacité limitée de surveiller et de contrôler les points d’entrée mettant en jeu des intervenants externes : c’est le maillon le plus faible de son propre système ou de ceux des intervenants externes utilisés pour accéder à ses comptes qui définit le degré de solidité de la position de sécurité de l’ARC.
     • L’approche fragmentée et réactive pour traiter l’utilisation non autorisée de renseignements de contribuables par une tierce partie : la stratégie globale de l’ARC était axée sur des solutions isolées plutôt que sur une intervention systémique, coordonnée et proactive.
144. Nous encourageons l’ARC à intensifier ses efforts de collaboration à l’échelle de l’organisation pour améliorer sa capacité à protéger les renseignements personnels sensibles et précieux de l’ensemble des Canadiennes et Canadiens qu’elle détient et pour préserver leur confiance.
145. Malgré nos recommandations, nous voulons souligner le professionnalisme, le dévouement et la coopération des employés de l’ARC que nous avons interrogés et avec lesquels nous avons interagi. Ils œuvrent à la protection de la population canadienne contre le vol d’identité, un préjudice extrêmement complexe et causé par les tactiques d’acteurs malveillants peu courantes.

Annexe : Résumé des recommandations du Commissariat et des réponses de l’ARC