La CVMO — en collaboration avec la Police provinciale de l’Ontario (PPO), le Secret Service des États-Unis et la National Crime Agency du Royaume-Uni — coorganise une opération destinée à lutter contre des stratagèmes qui visent à inciter les investisseurs à accorder l’accès à leurs portefeuilles de cryptomonnaies au moyen de fausses alertes semblant provenir d’une application ou d’un service de confiance.

Une fois cet accès obtenu, les fraudeurs transfèrent les actifs des investisseurs hors de leurs comptes — des transactions qui sont difficiles à annuler, ont souligné les autorités.

Désormais, une initiative multiterritoriale, baptisée Opération Atlantic, vise à perturber ces stratagèmes, souvent associés aux fraudes en cryptomonnaies de type « pig butchering » (arnaques à l’investissement de longue haleine). Des organismes de réglementation et des forces de l’ordre, dont la Gendarmerie royale du Canada (GRC), la City of London Police, le bureau du procureur des États-Unis pour le District de Columbia et la Financial Conduct Authority (FCA) du Royaume-Uni, collaborent afin de récupérer les actifs volés et d’aider les victimes à sécuriser leurs comptes pour prévenir de nouvelles pertes.

« L’Opération Atlantic est un exemple concret de l’engagement de la CVMO à collaborer au-delà des frontières pour contrer les risques croissants liés aux fraudes. Grâce à nos partenariats avec la PPO, la National Crime Agency du Royaume-Uni et le Secret Service des États-Unis, nous utilisons des techniques novatrices, des outils avancés et une expertise approfondie pour perturber les acteurs malveillants et protéger les investisseurs contre les préjudices qu’ils cherchent à causer », explique Bonnie Lysyk, vice-présidente exécutive de l’application de la loi à la CVMO, dans un communiqué.

« Les fraudes par hameçonnage d’approbation deviennent de plus en plus sophistiquées. L’Opération Atlantic vise à protéger le public en alertant rapidement les gens et en les aidant à sécuriser leurs actifs », renchérit Phil Macey, responsable des cryptomonnaies à la National Crime Agency du Royaume-Uni, dans un communiqué.

« Cette opération internationale conjointe témoigne de la solidité des relations entre les organismes. Les criminels opèrent au-delà des frontières, notre réponse doit donc faire de même », ajoute-t-il.

Cette nouvelle initiative fait suite à une opération précédente, menée par la Police provinciale de l’Ontario, visant les fraudes internationales liées aux cryptomonnaies.

Dans un courriel reçu par Finance et Investissement, l’OCRI affirme : « Rien n’indique que des données ont été utilisées à mauvais escient. » Harold Geller, défenseur des droits des investisseurs chez Geller Law, en doute, mais il ne peut démontrer le contraire. Il fait simplement le constat que deux recours judiciaires ont émergé très rapidement, sans être encore officialisés, un au Québec et un autre en Colombie-Britannique, après que l’OCRI a eu reconnu, dans un communiqué du 14 janvier 2026, que le cyberincident « a touché environ 750 000 investisseurs canadiens ».

Me Geller fait l’hypothèse que des poursuites ne se seraient pas matérialisées aussi rapidement après le communiqué du 14 janvier (survenu cinq mois après la première annonce du cyberincident), « si des dommages impliquant des investisseurs n’avaient pas surgi un certain temps avant le communiqué ».

Rappelons que le Mouvement Desjardins a accepté un règlement à l’amiable d’environ 200 millions de dollars (M$) pour clore les poursuites liées à une fuite de données survenue en juin 2019. Il n’est pas dit que l’OCRI s’en sortira indemne ; cependant il vaut la peine de se remémorer le cas Lamoureux c. OCRCVM, où un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (maintenant l’OCRI) avait oublié un ordinateur non crypté dans un train. L’action collective a été rejetée par la Cour supérieure du Québec, jugeant les dommages non prouvés et la réaction de l’organisme appropriée.

Relativiser la perte de données

Me Geller juge que les investisseurs souffrent déjà des dommages puisqu’ils ont raison de s’inquiéter pour leurs actifs « Leur susceptibilité à des fraudes de toutes sortes a considérablement augmenté. » En revanche, aucun cas de vol d’identité ou de fraude financière lié au cyberincident à l’OCRI n’est encore documenté. « Je n’ai eu vent de rien, » affirme Maxime Gauthier, président de Mérici Services financiers, qui siège au conseil régional de l’OCRI.

Ce dernier tient à mettre les choses en perspective. « Si quelqu’un pense qu’aucune de ses informations personnelles ne se retrouve sur le Dark Web, il se raconte des histoires. » Alexandre Cormier, président de la société de sécurité informatique CyberShell, en dit autant. « À peu près tout le monde s’est fait voler ses données, dit-il. Qui irait chercher cette info pour l’utiliser contre moi ? Je crois que c’est de moins en moins important. Le numéro d’assurance sociale et la date de naissance ne sont plus des moyens suffisants de s’identifier. » De plus, les informations sur le

Dark Web « sont mal formatées et peu fiables », ajoutant que les informations subtilisées à l’OCRI sont « assez bénignes ».

Rappelons que, dans son communiqué, l’OCRI rapporte que les renseignements suivants pourraient avoir été compromis : date de naissance, numéros de téléphone, salaire annuel, numéro d’assurance sociale, numéros de pièces d’identité gouvernementales, numéros de compte de placement et relevés de comptes.

À quel type de cyberpirate a-t-on affaire ?

Ce n’est pas pour dire que le fait que des informations personnelles circulent dans le Dark Web est sans danger. « En soi, il est assez bénin de se faire voler son information personnelle, poursuit Alexandre Cormier, cependant le contexte dans lequel s’insère cette information peut faire la différence. Si elles s’inscrivent dans un contexte où on vise des gens fortunés, alors ce n’est pas anodin. »

La nature de l’attaque contre l’OCRI peut fournir des indices sur l’utilisation éventuelle des données : s’agit-il d’une attaque de circonstance effectuée par des pirates qui ont pénétré dans les systèmes de l’OCRI comme ils seraient entrés dans l’ordinateur du dépanneur du coin ? Ou s’agit-il d’une attaque systématique et concertée menée par des experts visant à obtenir des informations pour lesquelles ils envisagent déjà une utilisation lucrative ?

« Un expert en cybersécurité pourrait déterminer si l’attaquant est opportuniste ou déterminé », affirme Alexandre Cormier. Mais nous n’en savons rien pour l’instant. Dans le courriel qui répond aux questions de Finance et Investissement, l’OCRI se contente de dire que « cet incident a été le résultat d’un hameçonnage sophistiqué ».

Le proverbial maillon faible

Chose à peu près certaine, le cyberincident a joué sur une faiblesse humaine. Il ne s’agit pas d’une simple pénétration informatique. Un humain a été hameçonné : par exemple, un courriel l’a invité à cliquer sur un lien — et il est tombé dans le panneau, ouvrant tout grand son ordinateur aux pirates. Cela indiquerait que l’OCRI a peut-être failli dans la formation de son personnel contre les cybermenaces.

À la suite, on peut se demander si le système d’exploitation de l’ordinateur qui a servi de point d’entrée aux pirates était à jour. « L’ordinateur était-il passé de Windows 10 à Windows 11, questionne Alexandre Cormier ? Si ce n’est pas le cas, on se retrouve avec une grande porte béante. Les choses ont débuté avec un hameçonnage, mais toute une chaîne d’événements s’ensuit à partir de là. L’employé avait peut-être toute cette information sur son poste de travail, ce qui n’est certainement pas une bonne pratique. Sinon, d’autres barrières ont été pénétrées et, là encore, peut-être que des contrôles nécessaires n’étaient pas en place. »

Pour l’instant, on peut se perdre en conjectures, conjectures qui trouveront peut-être réponse si les recours collectifs au Québec et en Colombie-Britannique vont de l’avant.

Une controverse

Avant même que toute poursuite se matérialise, une question a suscité une controverse. Dans une chronique d’opinion parue le 24 février dans Investment Executive, Barbara Amsden, défenseur des droits des consommateurs, évaluait à 100 M$ les coûts découlant du cyberincident, qu’il s’agisse de dépenses de mise à jour des systèmes informatiques ou de pénalités légales. Elle proposait que, pour couvrir une partie de ces frais, l’OCRI recoure à son fonds de réserve de 25 M$. « Utiliser ce fonds pour couvrir les frais est la seule façon d’atteindre à une justice systémique », a-t-elle écrit.

« Ne touchez pas à ce fonds ! » a répliqué Ken Kivenko, défenseur des investisseurs, dans une réponse parue le 2 mars également dans Investment Executive, écrivant : « Un organisme d’autoréglementation qui ne peut protéger les fonds destinés à des initiatives dans l’intérêt des investisseurs et du public contre les intérêts manifestes de l’industrie doit rendre les clés aux ACVM, car à ce stade, il a cessé de fonctionner dans l’intérêt public. »

Maxime Gauthier est du même avis. « Ce fonds est pour la protection des investisseurs dans un cadre d’éducation. Je ne pense pas qu’il peut être détourné. C’est un fonds dédié ! » En même temps, il réclame une certaine indulgence à l’endroit de l’OCRI. « Je suis très réticent à leur lancer la pierre, dit-il. Ils sont à fusionner deux organismes et doivent gérer un calendrier très ambitieux. Je peux être très empathique. »

C’était la saison des REER et tout le monde était occupé, raconte Noah Billick, qui a été responsable de la conformité pour plusieurs institutions financières et qui est maintenant associé et directeur de la réglementation, des fonds et de la conformité pour le cabinet d’avocats Renno & Co., à Montréal.

Le criminel a piraté le courriel de la fille d’un client et a demandé un transfert d’argent en se faisant passer pour celle-ci. La fille du client vivait à l’étranger et ce dernier lui avait déjà transféré des fonds, de sorte que le conseiller a accédé à la demande du criminel. Ils se sont rendu compte de l’erreur lorsque le conseiller a essayé d’effectuer un deuxième transfert et qu’un membre du personnel l’a signalé.

Le conseiller a reçu une amende de la part d’un régulateur et de la société. Le client a été dédommagé, mais l’expérience a été négative pour le conseiller et l’entreprise.

Les sociétés de gestion de patrimoine mettent souvent en œuvre des politiques de sécurité strictes qui peuvent réduire la marge de manœuvre des conseillers. Mais il est « beaucoup moins gênant » d’avoir des mesures de cybersécurité que de subir une violation, tempère Noah Billick.

Et les atteintes à la cybersécurité peuvent causer des dommages durables à la réputation, prévient Maria Flores, présidente de Carte Wealth Management, à Mississauga, en Ontario. Par exemple, les gens parlent encore d’une faille de sécurité survenue en 2023 dans le service de partage de fichiers GoAnywhere, qui a affecté plusieurs entreprises canadiennes de services financiers.

Pour s’acquitter de leur obligation légale de protéger les données de leurs clients, les entreprises ont besoin de politiques adéquates, d’une formation de suivi et d’une installation technique sécurisée. Si les politiques telles que l’authentification multifactorielle sont courantes, certaines entreprises vont plus loin.

L’authentification à deux facteurs et l’obligation d’ouvrir une nouvelle session après un changement de lieu sont des pratiques courantes en matière de cybersécurité, rapporte Maria Flores. Chez Carte Wealth, le partage de fichiers entre les conseillers et les clients se fait à l’aide de Docusign et de SideDrawer, un service de partage de fichiers cryptés.

Les conseillers disent : « Vous savez quoi ? Je suis un peu fatigué de cette authentification à deux facteurs ». Et je leur réponds : « Vous savez quoi ? Désolé, mais c’est la politique. Je ne peux pas la supprimer », affirme Maria Flores.

L’authentification multifactorielle peut être mise en place pour minimiser les perturbations pour les conseillers, explique Larry Keating, PDG de NPC DataGuard, une société d’intervention en cybersécurité située à Markham, en Ontario. L’une des options consiste à demander moins de reconnexions entre les sessions si l’utilisateur reste actif. Carte Wealth est un client de NPC et utilise cette méthode pour ses courriels et ses appareils gérés par NPC.

Carte Wealth a également mis en place une méthode simplifiée pour signaler les courriels d’hameçonnage. Lorsque quelqu’un repère un courriel suspect, il peut en informer les autres via la plateforme de messagerie interne de l’entreprise, Microsoft Teams, et le transférer à une adresse électronique « phishing 911 », ce qui entraîne le blocage de l’expéditeur par le système de l’entreprise pour tout le monde.

Carte Wealth encourage également les conseillers à souscrire une assurance cybersécurité, et invite des tiers à fournir des formations aux conseillers. Maria Flores assure que son personnel avait trouvé les séances de formation utiles.

La société Sterling Mutuals, basée à Windsor (Ontario), impose également une authentification à deux facteurs et verrouille les comptes après un trop grand nombre de tentatives infructueuses, informe Nelson Cheng, fondateur et PDG de la société. Chaque fichier téléchargé dans la base de données de l’entreprise est analysé par un logiciel antivirus, et les utilisateurs ne peuvent télécharger que certains types de fichiers.

Cependant, Nelson Cheng souligne que les attaques par ingénierie sociale sont devenues plus fréquentes. Il exprime une plus grande préoccupation quant au risque que des conseillers cliquent sur un lien malveillant plutôt qu’un pirate informatique ne parvienne à contourner un pare-feu.

« Si je voulais m’introduire dans notre système, je vous enverrais un document avec un lien, et vous cliqueriez dessus au moment d’ouvrir un document, explique-t-il. C’est à peu près la seule façon de s’introduire dans le système. »

Pour réduire la vulnérabilité de Sterling Mutuals à de telles attaques, le personnel est tenu de participer à une formation en ligne sur différents types de cyberattaques, notamment l’ingénierie sociale et l’identification des courriels suspects.

Le personnel reçoit périodiquement des courriels simulant des hameçonnages, indique Nelson Cheng. Ces courriels sont plus ou moins difficiles à repérer et plus ou moins sophistiqués. Si un employé clique sur un lien, il est averti qu’il doit suivre une nouvelle formation.

De même, le personnel de Carte Wealth visionne chaque mois une courte vidéo sur un sujet différent relatif à la cybersécurité, suivie d’un quiz, explique Maria Flores. Le système envoie également des courriels simulant des tentatives d’hameçonnage. Les personnes qui cliquent sur le lien reçoivent une formation supplémentaire.

La simulation d’hameçonnage fait partie d’un bon programme de formation à la cybersécurité, dit Larry Keating. Il est important d’enseigner aux employés les erreurs qu’ils ont commises, mais cela ne doit pas être fait de manière punitive.

« Je ne pense pas qu’il soit nécessaire de donner à l’employé l’impression que vous essayez de l’attraper », souligne-t-il. Les responsables peuvent expliquer à leur personnel qu’« il vaut mieux découvrir que nous ne faisons pas ce qu’il faut lorsque nous le faisons, plutôt que lorsque les méchants le font », précise-t-il.

Si les sociétés de gestion de patrimoine sont victimes d’une infraction, elles font appel à des avocats comme Noah Billick, dont le travail consiste notamment à communiquer avec les régulateurs pour « faire baisser la température », déclare-t-il. Les régulateurs s’intéressent à la formation à la cybersécurité de l’entreprise, aux incidents antérieurs et à la manière dont elle gère les comportements problématiques.

Un examen aidera également l’entreprise à définir des politiques pour éviter qu’un tel incident ne se reproduise, rapporte Noah Billick. Par exemple, le conseiller qui avait envoyé 120 000 $ sur le compte d’un criminel à l’étranger avait enfreint plusieurs règles, mais l’entreprise n’avait pas interdit aux conseillers de recevoir des instructions de leurs clients par courrier électronique. (L’incident était antérieur aux exigences de l’Organisme canadien de réglementation des investissements en matière de cybersécurité).

La société exige désormais que les conseillers confirment verbalement les transactions avec les clients.

Mesures de prévention de l’ingénierie sociale

• Formation périodique à la cybersécurité
• Simulation de tentatives d’hameçonnage afin d’identifier les membres du personnel devant bénéficier d’une formation supplémentaire
• Rationalisation des rapports sur l’hameçonnage
• Politiques interdisant d’accepter les instructions des clients par courrier électronique
• Phrases de passe et questions de vérification
• Filtres anti-spam équilibrés pour réduire les faux positifs
• Authentification basée sur la localisation afin que les courriels ne puissent être lus qu’à partir des lieux où le conseiller exerce normalement ses activités.