« Cet appel provient de l’ARC, l’Agence du revenu du Canada. Je suis l’agent John Parker et ce message vous est adressé personnellement, il est urgent et vous devez agir dans les plus brefs délais…
… N’ignorez pas ce message et rappelez-nous. Si vous ne nous rappelez pas, la seule chose que je puisse faire est de vous souhaiter bonne chance. Merci et bonne journée. »
Ce message a toutes les apparences d’une arnaque : le fait qu’il prétend être fait au nom d’un organisme gouvernemental important; l’accent mis sur l’urgence de la situation; la menace évidente renforcée par une conclusion amicale. Un survol des commentaires affichés dans des forums de discussion ou des sites de nouvelles permet de conclure que bon nombre de Canadiens se sont méfiés à juste titre de cet énigmatique agent de l’ARC.
Il n’en reste pas moins que des milliers de Canadiens ont été victimes de ce type d’arnaque au cours des dernières années seulement.
Manifestement, l’agent John Parker fait de bonnes affaires.
Le problème
Cette fraude est particulièrement pernicieuse en raison du nombre croissant de « mystifications de l’identité de l’appelant », un procédé grâce auquel le fraudeur usurpe une identité, souvent en se faisant passer pour un représentant d’un organisme gouvernemental et en utilisant un numéro de téléphone réel de cette entité.
Les Canadiens peu méfiants et bien intentionnés sont beaucoup plus susceptibles de faire confiance à un interlocuteur et à fournir des renseignements personnels si l’identifiant qui apparaît sur leur téléphone est celui de Service Canada, d’un service de police important ou d’une cour provinciale, et que celui-ci est accompagné d’un numéro de téléphone qui correspond à celui de l’entité en question. Il n’est donc pas étonnant que dans les derniers mois, un nombre très important d’articles aient été publiés dans divers médias au sujet du nombre croissant de victimes d’arnaques par mystification.
Les scénarios utilisés par les fraudeurs sont parfois tellement tirés par les cheveux qu’ils en sont risibles, mais ces activités frauduleuses n’ont rien de drôle. Une étude révèle que ces appels illicites ont permis de soutirer presque 17 millions de dollars à près de 5 000 personnes depuis 2014 et ce n’est peut-être que la pointe de l’iceberg. Selon le Bureau de la concurrence et le Centre antifraude du Canada (CAFC), seulement 5 % des fraudes par marketing de masse sont rapportées aux autorités[1], ce qui signifie que le coût de ces arnaques pour la société pourrait être bien plus élevé qu’on ne le pense.
Mais ce qui est peut-être le plus désolant, c’est que les arnaqueurs ciblent délibérément des groupes vulnérables de la société, y compris les personnes âgées et les réfugiés.
La réponse
Au Canada, le CRTC réglemente les télécommunications non sollicitées par l’entremise des Règles sur les télécommunications non sollicitées (les « règles »), qu’il a établies en 2007 en vertu du paragraphe 41(1) de la Loi sur les télécommunications (la « Loi »)[2]. Si les règles permettent au CRTC de sanctionner le télémarketing importun, elles n’ont que peu d’effet sur les appels manifestement illicites faits par des fraudeurs.
En 2015, le CRTC a sollicité des commentaires sur la façon dont il pourrait aider les Canadiens à se défendre contre la mystification de l’identité de l’appelant, une pratique que l’organisme juge « de plus en plus complexe pour les organismes à l’échelle mondiale » et qui peut grandement « accentuer les préjudices causés par des appels non sollicités[3] ».
Par suite de la consultation publique, à la fin de l’année 2016, le CRTC a ordonné aux fournisseurs de services de télécommunication (les « fournisseurs ») qui offraient des services téléphoniques de détail de lui soumettre dans un délai de 180 jours un rapport sur la façon dont ils prévoyaient offrir à leurs clients un « niveau de protection de base » grâce à des services de filtrage facultatifs. Le CRTC a également chargé le Comité directeur du CRTC sur l’interconnexion (CDCI) de présenter un rapport sur la manière la plus efficace de « bloquer les appels manifestement illicites à l’échelle du réseau ». Les « appels manifestement illicites » incluaient ceux qui proviennent d’un numéro qui :
- correspond au numéro de téléphone de la personne à joindre;
- est mystifié à l’aide d’un numéro qui est local pour la personne à joindre, dans le cas d’un appel interurbain entrant; ou
- n’est pas conforme au Plan de numérotation nord-américain (PNNA) (c.-à-d. qui est un numéro de téléphone non composable, p. ex. 000 000-0000) »[4]
Le CDCI a ensuite produit un rapport de consensus, lequel proposait de mettre en place un système afin de bloquer à l’échelle du réseau et de façon universelle les appels manifestement illicites[5]. Le CRTC a approuvé les recommandations publiées dans le rapport et, dans une politique réglementaire publiée en décembre 2018, il a exigé la mise en œuvre à l’échelle du réseau d’un service de blocage universel d’appels comportant une mystification manifestement illicite de l’identité de l’appelant dans les douze mois (donc, avant le 19 décembre 2019)[6]. En vertu des articles 24 et 24.1 de la Loi, le CRTC n’autorise les fournisseurs à fournir des services de télécommunication vocale que si ces derniers offrent un service de blocage au niveau du réseau lorsque l’identification de l’appelant :
- contient plus de 15 chiffres, ou
- est altérée et n’est pas conforme à la règle des numéros qu’il est possible de composer en vertu du PNNA
Ces exigences donnaient aux fournisseurs l’option d’offrir à leurs clients des services de filtrage conformes aux meilleures pratiques de l’industrie comme solution de rechange pour satisfaire à cette condition du CRTC.[7]
Une solution partielle
Maintenant que la date limite d’entrée en vigueur du 19 décembre 2019 est passée, tous les fournisseurs offrent les services exigés par le CRTC pour bloquer les appels manifestement illicites. Parmi les trois plus grands fournisseurs canadiens, Rogers et Bell ont choisi de mettre en place un service de blocage universel d’appels au niveau du réseau, alors que Telus a opté pour le filtrage des appels.
Le CRTC maintient également un résumé des options que chaque fournisseur de services offre pour bloquer ou filtrer les appels non désirés.
Le repérage des mystifications – la prochaine protection pour les consommateurs
Malgré ces efforts, les derniers mois ont été marqués par une forte hausse des plaintes et des reportages au sujet d’appels de numéros falsifiés et de Canadiens floués par de tels appels. En réponse, Ajit Pai, le président de la FCC (Federal Communications Commission des États-Unis), et Ian Scott, le président du CRTC, ont publié au début du mois de décembre une déclaration conjointe[8] annonçant le premier appel transfrontalier au moyen des normes d’authentification mises au point par l’industrie, soit les normes STIR/SHAKEN.
Malgré le goût douteux de ces acronymes, STIR [Secure Telephony Identity Revisited (nouvelle approche relative à la sécurité de l’identité de l’appelant)] et SHAKEN [Signature-based Handling of Asserted information using toKENs (traitement de l’information fournie en fonction de la signature au moyen de jetons)], ces nouvelles normes offriront une solution efficace pour diminuer les appels automatisés malveillants et frauduleux grâce à un procédé d’authentification et de vérification mis en œuvre par les fournisseurs de services de télécommunication de la ligne entrante et ceux du point d’origine. Grâce aux normes STIR/SHAKEN, la personne qui reçoit l’appel est prévenue au moyen d’un signal lorsqu’il y a un risque que le numéro de téléphone ou l’identité de l’appelant ait été modifié dans un but de mystification. Un des atouts de ces nouvelles normes, c’est qu’elles ne bloquent pas les appels automatisés qui ne falsifient pas l’identité de l’appelant, notamment les appels d’organismes de bienfaisance ou d’entreprises commerciales légitimes.
Il y a une lumière au bout du tunnel. Le communiqué de presse du CRTC qui accompagnait la déclaration conjointe a fixé au 30 septembre 2020 la date limite à laquelle les fournisseurs de services de télécommunication devraient avoir mis en œuvre ces nouvelles normes.[9]
En attendant, il est consolant de voir que la GRC est aussi agacée que nous par ces faux agents de l’ARC.
[1]Rapport du Bureau de la concurrence. Faits sur la fraude – Détecter, contrer et signaler la fraude. 22 février 2018, en ligne : <https://www.bureaudelaconcurrence.gc.ca/eic/site/cb-bc.nsf/fra/04334.html>.
[2]Lesquelles ont été établies initialement dans la Décision de télécom CRTC 2007-48.
[3]Avis de consultation de Conformité et Enquêtes CRTC 2015-333, au paragraphe 8.
[4]Politique réglementaire de Conformité et Enquêtes et de Télécom CRTC 2016-442.
[5]Comité directeur du CRTC sur l’interconnexion, « Consensus Report : Universal Blocking at the Network Level of Blatantly Illegitimate Calls » 23 juin 2007 (en anglais seulement).
[6]Politique réglementaire de Conformité et Enquêtes et de Télécom CRTC 2018-484.
[7]Politique réglementaire de Conformité et Enquêtes et de Télécom CRTC 2018-484, paragraphe 44.
[8]Conseil de la radiodiffusion et des télécommunications canadiennes, « Déclaration conjointe d’Ian Scott, président et dirigeant principal, CRTC, et d’Ajit Pai, président, FCC, concernant le premier appel transfrontalier au moyen des normes d’authentification de l’identité de l’appelant STIR/SHAKEN ». 9 décembre 2019.
[9]Conseil de la radiodiffusion et des télécommunications canadiennes, Communiqué de presse, « Le CRTC redouble d’efforts pour combattre les appels mystifiés ». 9 décembre 2019.
