Démystifier les fraudes à la RBC : comprendre le stratagème et se protéger

Publié le 9 juin 2025

 

La vague de fraudes touchant les clients de la Banque Royale du Canada (RBC) a fait couler beaucoup d’encre et suscité de vives réactions dans les médias. Pour démystifier ces incidents, Chloé-Anne Touma, rédactrice en chef du magazine multimédia LES CONNECTEURS, a invité Benoît Dupont, professeur titulaire à l’école de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité, à apporter son éclairage d’expert.

Le modus operandi des fraudeurs

Ce qui a rendu les fraudes à la RBC particulièrement troublantes, c’est la sophistication du stratagème. Les victimes, dont l’humoriste Peter MacLeod, recevaient des appels de numéros de téléphone qui avaient été falsifiés, affichant « RBC » ou « Banque Royale » sur leur afficheur. Bien que le « spoofing » (usurpation) de numéros soit courant, l’élément alarmant était la capacité des fraudeurs, se faisant passer pour de faux représentants de la banque, à nommer les types de comptes détenus par les victimes, ainsi que leurs soldes précis. Cette possession d’informations confidentielles a rendu les appels très persuasifs et difficiles à distinguer d’une communication légitime de la banque, contrairement à l’hameçonnage traditionnel qui manque souvent de pertinence personnalisée.

Comment les fraudeurs ont-ils obtenu ces informations ?

Benoît Dupont souligne qu’il existe deux hypothèses principales pour expliquer comment les fraudeurs ont eu accès à ces données sensibles, bien que ni la police ni la banque n’aient encore fourni de détails définitifs :

1. Logiciel malveillant sur l’appareil de la victime : une première possibilité est que les victimes aient été infectées par un logiciel malveillant (comme un logiciel d’accès à distance ou « RAT ») installé sur l’appareil qu’elles utilisent pour se connecter à leurs comptes bancaires. Ce logiciel aurait permis aux fraudeurs de voir en temps réel tout ce que la victime faisait sur son compte, d’observer les soldes lors de transactions en ligne, ou même de prendre le contrôle de l’appareil pour initier des transactions.

2. Compromission des systèmes bancaires ou fuite interne : la deuxième explication est que les systèmes de la banque aient été compromis, ou que des employés de la banque aient communiqué ou vendu ces informations de manière indélicate, ou encore qu’ils aient fait l’objet de chantage pour obtenir ces données.

Le piège du rappel téléphonique

Un point crucial soulevé est le piège dans lequel sont tombées certaines victimes qui, pour vérifier la légitimité de l’appel, ont rappelé le numéro qui venait de les contacter. Benoît Dupont explique que ce numéro, ayant été falsifié par les fraudeurs, les remettait en contact avec le même réseau de fraudeurs, qui pouvaient même utiliser des voix différentes pour simuler un autre service.

Conseils essentiels de sécurité : ce qu’il faut faire

Pour éviter de tomber dans de tels pièges, l’expert recommande vivement :

1) de ne jamais rappeler un numéro affiché suite à un appel suspect ;

2) d’initier l’appel soi-même en se rendant sur le site Web officiel de l’institution financière (en le tapant manuellement dans le navigateur ou en y accédant via une recherche Google sécurisée, sans utiliser un lien envoyé par le fraudeur) pour trouver les numéros légitimes du service à la clientèle ou de sécurité ;

3) d’utiliser les applications bancaires officielles : Dans certains pays comme l’Australie, les banques ne contactent leurs clients que via leur application, validée par un mot de passe ou un mécanisme similaire, considérant cela comme le seul canal fiable à 100%.

L’imputabilité et les solutions d’avenir

La question de la responsabilité des institutions financières face à l’usurpation d’identité est complexe. Alors que les entreprises non financières dont l’image est exploitée ne sont généralement pas tenues de rembourser les victimes, les institutions financières se trouvent dans une situation différente du fait de leur nature et de la détention des comptes des clients.

Questionné par Chloé-Anne Touma quant à l’idée d’utiliser l’intelligence artificielle pour détecter les anomalies et les fraudes, Benoît Dupont répond que « c’est une excellente piste de solution qui est déjà en place pour les transactions par carte de crédit ». Cependant, son déploiement pour les transferts autorisés par les victimes elles-mêmes rencontre des défis : il est difficile de convaincre les victimes, souvent persuadées de la légitimité de leurs actions (par exemple, dans les fraudes sentimentales ou d’investissement), que leurs transactions sont frauduleuses. Au Canada, les banques ne peuvent pas geler unilatéralement les comptes même face à des transactions très suspectes ; les solutions de biométrie numérique, très puissantes pour croiser les propriétés de chaque session client, se heurtent aux législations actuelles sur la protection des renseignements personnels et de la vie privée, jugées parfois trop restrictives. Ce dilemme entre vie privée et sécurité est un débat majeur et non résolu.

Enfin, Benoit Dupont insiste sur l’importance de la prévention et de la sensibilisation du public. Il propose des campagnes grand public sollicitant l’humour pour sensibiliser aux dangers inhérents à l’univers numérique, ainsi que des stratégies ciblées avec des messages concrets et pratiques adaptés aux besoins des différentes catégories de la population, y compris les jeunes, qui sont de plus en plus vulnérables.

Il est crucial de fournir des conseils spécifiques pour chaque canal de fraude (téléphone, SMS, médias sociaux), car les réflexes à adopter varient.

Les cas de fraude à la RBC mettent ainsi en lumière la complexité croissante des stratagèmes auxquels les criminels ont recours, et la nécessité d’une approche multifacette impliquant la technologie, l’éducation du public et l’adaptation des cadres législatifs pour mieux protéger les citoyens dans un monde numérique en constante évolution.

Ressources utiles :

  • Fraude-alerte : https://www.fraude-alerte.ca/
    Cette plateforme de signalement en ligne des fraudes ou tentatives de fraude facilite le partage de profils et numéros frauduleux, et l’entraide mutuelle entre victimes.
  • Clinique de cyber-criminologie : https://www.clinique-cybercriminologie.ca/
    Pour un accompagnement personnalisé par téléphone ou en ligne des victimes de fraude en ligne.

 

Tags :
Magazine électronique

Nos derniers numéros

Magazine électronique