Joyeuses fraudes!

Le temps des Fêtes met l’accent sur la joie de donner, mais les fraudeurs y trouvent le plaisir de prendre....

Ce fut le plus important acte de cyberpiratage jamais perpétré contre le secteur du commerce de détail aux États-Unis, selon Bloomberg Businessweek. Commis au moment des Fêtes 2013 auprès de Target, le vol des données confidentielles de clients a obligé le géant du commerce de détail à un règlement de 10 M$ ordonné par la cour du district du Minnesota.

À l’époque de cette cyberattaque, « Target avait admis que des pirates informatiques s’étaient emparés des données des cartes de crédit et de débit de 40 millions de ses clients, rapporte The New York Times. Puis, au début de l’an dernier, le détaillant a révélé que d’autres renseignements personnels concernant de 70 millions à 110 millions de personnes avaient été volés et qu’il pouvait y avoir chevauchement entre les deux groupes de clients. »

Le règlement accorde à chacun des clients touchés des dommages-intérêts pouvant atteindre 10 000 $ US et  les invite à remplir un formulaire en ligne pour prouver leur admissibilité. Les victimes doivent faire la démonstration d’achats non autorisés portés à leur carte de crédit et, ajoute le quotidien, « de temps consacré à faire annuler les achats frauduleux et de l’engagement de coûts pour faire corriger leur rapport de solvabilité, pour remplacer leur permis de conduire ou d’autres pièces d’identité, ou pour retenir les services d’un avocat ou d’une entreprise spécialisée en matière de protection de l’identité ».

PREUVE DIFFICILE

Target soutient que peu de cas de fraude sont liés à cette cyberattaque. Par ailleurs, les clients auront du mal à faire valoir leurs droits, estiment des experts en contentieux. « Il est difficile de déterminer par quel moyen votre carte a été compromise et de prouver l’existence d’un lien direct entre ce moyen et le vol de données », explique Matthew Esworthy, associé du cabinet Shapiro Sher Guinot & Sandler, de Baltimore. « Les gens achètent de plus en plus en ligne et utilisent si souvent leurs cartes de crédit que les opérations frauduleuses sont devenues monnaie courante. »

Sans compter les demandes d’indemnisation qu’elle doit honorer, Target a déjà subi de graves conséquences : vaste publicité négative; recul immédiat du cours de l’action (qui a fléchi de 1,7 % à l’annonce de la nouvelle); baisse des profits (selon Businessweek, le bénéfice net de l’entreprise pour la période des Fêtes a chuté de 46 % par rapport à celui de l’année précédente et le nombre de transactions a accusé sa plus forte baisse depuis 2008); coût de l’enquête sur l’attaque (61 M$ US jusqu’en février 2014); ressources déployées pour en arriver à un règlement. C’est cher payé pour avoir été l’objet d’une cyberattaque pendant la période la plus occupée de l’année.

Le moment choisi par les pirates n’était pas le fruit du hasard. Selon Businessweek, ils avaient installé un logiciel malveillant dans le système de sécurité et de paiements de Target, juste avant le jour de l’Action de grâces en 2013. Ce logiciel était programmé pour voler les numéros des cartes de crédit utilisées dans les 1 797 magasins américains du détaillant. « Au moment de l’achat, lorsque le client glissait sa carte de crédit dans le lecteur, le logiciel saisissait le numéro de carte et le stockait dans un serveur de Target dont les pirates s’étaient emparés », rapporte le magazine.

L’Association of Certified Fraud Examiners (ACFE) a publié en 2012 une étude selon laquelle « aux États-Unis, la fraude augmente d’environ 20 % pendant le temps des Fêtes ».

LARCINS DES EMPLOYÉS

L’attaque contre Target n’appartient pas au type de fraude le plus répandu à l’approche des Fêtes. Selon 56 % des membres de l’ACFE sondés, les détournements de fonds par des employés sont les actes frauduleux les plus susceptibles d’augmenter pendant cette période. D’après la moitié des répondants, la fraude par des tiers n’ayant aucun lien avec les victimes (vol d’identité, escroqueries) augmente également. La fraude par des vendeurs, la corruption et la falsification des états financiers ont aussi tendance à se multiplier selon ce qu’ont respectivement indiqué 24 %, 11 % et 9 % des répondants (qui pouvaient donner plus d’une réponse à la question).

Fait intéressant, moins de 7 % des répondants ont dit que leur organisation (ou celles de leurs clients) augmentait ses ressources en matière de prévention ou de détection de la fraude à l’approche des Fêtes. La plupart, soit 56,7 %, ont répondu que le niveau de ces ressources restait le même, et plus de 9 % ont dit qu’il diminuait.

Les détaillants augmentent leur personnel pendant cette période pour répondre au surcroît de travail. Toutefois, de nombreux employeurs, pour des raisons pécuniaires ou par manque de temps, embauchent de nouveaux employés en négligeant de prendre les précautions normales au moment de recruter.

Ces nouveaux employés devraient au moins faire l’objet de vérifications selon les critères de sélection courants, notamment les antécédents judiciaires. Ils devraient aussi recevoir une formation en prévention ou détection de la fraude, vu l’affluence accrue dans les magasins. Enfin, il importe de les informer du code d’éthique de l’entreprise, et du fait que tout contrevenant à la loi sera poursuivi.

Eric Feldman, premier vice-président et directeur général des programmes d’éthique et de conformité chez Affiliated Monitors Inc., de Boston, rappelle que le temps des Fêtes « n’est pas le moment d’alléger les contrôles internes ». M. Feldman, qui a travaillé 32 ans au bureau de l’inspecteur général de la CIA, avertit que même des employés honnêtes peuvent être tentés de déroger à l’éthique en cette période où les occasions de frauder se présentent plus fréquemment.

ŒUVRE DU CRIME ORGANISÉ

Mais la fraude du temps des Fêtes n’est pas uniquement le fait d’employés. Claudiu Popa, expert en sécurité Internet, en risque à la vie privée, et chef de la direction d’Informatica, société de conception de logiciels torontoise, a déclaré à l’antenne de CBC-TV que « l’ampleur de la machination porte à croire que les cybercriminels étaient inventifs, qu’ils appartenaient au crime organisé et qu’ils sévissaient à l’échelle mondiale ».

De nombreux criminels se livrent aussi à l’une des escroqueries les plus coûteuses pour les détaillants pendant les Fêtes : la fraude de remboursement, qui consiste à retourner un article volé pour obtenir un remboursement ou un crédit. Certains escrocs endommagent délibérément un article et le retournent comme défectueux.

En 2014, la National Retail Federation (NRF), établie à Washington D.C., a publié les conclusions d’une étude selon laquelle ce type de fraude allait faire perdre au commerce de détail quelque 3,6 G$ US pendant le temps des Fêtes 2014. Dans un article paru en janvier, le magazine Canadian Security souligne que les membres des gangs criminels cherchent à frauder les détaillants en se faisant passer pour des clients de bonne foi qui veulent retourner un article.

Selon ce magazine, les détaillants peuvent réduire ce type de fraude par divers moyens, par exemple en examinant attentivement les reçus, en vérifiant que les codes de produit correspondent bien aux reçus, et même en inscrivant sur les produits de valeur un code qui ne pourrait être lu que sous une lumière ultraviolette.

Les consommateurs ne sont pas, eux non plus, à l’abri de la fraude. Une arnaque courante est celle des cartes-cadeaux. En 2014, ces cartes étaient « le présent du temps des Fêtes le plus demandé pour la huitième année d’affilée », selon la NRF. Le marché des cartes-cadeaux est évalué à « des centaines de milliards de dollars par année », signale le site dailyfinance.com.

Pete Kledaras, directeur de la gestion des risques chez CashStar, un émetteur de cartes-cadeaux pour de grandes marques de détail, explique que les escrocs volent souvent le numéro de la carte-cadeau et le NIP, mais non la carte, et peuvent ainsi utiliser le solde en ligne. S’ils volent la carte elle-même, les malfaiteurs peuvent la monnayer de diverses façons, par exemple en la revendant ou en l’utilisant pour acheter des marchandises qu’ils revendent.

Les acheteurs de cartes-cadeaux doivent s’assurer qu’elles n’ont pas été trafiquées. Il convient aussi de traiter uniquement avec des détaillants crédibles. Certains détaillants permettent à leurs clients d’enregistrer leurs cartes-cadeaux et d’en protéger ainsi le solde en cas de perte ou de vol.

Le temps des Fêtes met l’accent sur le plaisir de donner. Les fraudeurs y trouvent le plaisir de prendre…

À propos de l’auteur

David Malamed


David Malamed, CPA, CA•EJC, CPA (Ill.), CFF, CFE, CFI, est associé en juricomptabilité au cabinet Grant Thornton LLP à Toronto.

comments powered by Disqus

Faits saillants

Participez à ce rendez-vous annuel (en anglais) des dirigeants financiers d’OSBL pour obtenir des conseils sur la gestion de votre organisation et tirer parti des connaissances d’experts.

Notre Répertoire des cabinets de CPA vous permet de trouver des cabinets de CPA au Canada grâce à une carte interactive et à différents critères de recherche.