Un pomiculteur de Havelock, en Montérégie, s’est fait voler plus de 30 000 $ d’un coup, il y a quelques mois, par des pirates informatiques qui surveillaient les échanges de courriels qu’il entretenait avec son emballeur. Il souhaite témoigner de son histoire pour sensibiliser ses confrères à l’importance de redoubler de prudence.

« Ça serait plate que ça arrive à d’autres producteurs. Si on reste tous dans notre coin et qu’on ne parle pas, parce qu’on est gênés de ce qui nous est arrivé, ce n’est pas comme ça qu’on va se débarrasser du fléau des vols par Internet », confie Mario Bourdeau, copropriétaire des Vergers MJ Bourdeau et Fils.

L’agriculteur raconte qu’il avait des pommes à vendre au printemps, mais que son acheteur habituel ne pouvait pas les prendre. Il s’est donc tourné vers un autre emballeur – dont il préfère taire l’identité – qu’il connaissait depuis longtemps, mais avec qui il n’avait jamais fait affaire. Après lui avoir livré un premier camion de fruits en avril, puis avoir reçu une confirmation de sa part par courriel qu’ils avaient bel et bien été emballés, M. Bourdeau lui a envoyé un autre chargement en mai. 

Il s’attendait à ce que l’emballeur, qui lui devait plus de 30 000 $ de pommes, prenne contact avec son verger pour déterminer les modalités de paiement, mais il n’a eu aucune nouvelle pendant plusieurs semaines. « On ne s’en faisait pas trop avec ça. On le connaît et on lui fait confiance. On se disait que c’était les vacances et qu’on pouvait tolérer les retards. »

Paiement déjà fait

La conjointe de M. Bourdeau a finalement pris contact avec une personne de l’équipe de l’emballeur par téléphone, qui lui a répondu avec étonnement que le paiement avait déjà été fait. Ses dires étaient appuyés par un échange de courriels qu’elle croyait avoir eu avec quelqu’un de l’équipe de Mario Bourdeau. Elle avait en fait communiqué avec un pirate informatique qui avait pris le contrôle de la boîte courriel des Vergers MJ Bourdeau et Fils et qui répondait en son nom.

« L’emballeur nous avait envoyé un courriel pour nous demander un spécimen de chèque, mais ce courriel-là, on ne l’a jamais reçu », raconte Mario Bourdeau. 

C’est le fraudeur qui l’a intercepté, puis qui a répondu à l’emballeur en lui envoyant un faux spécimen de chèque à l’effigie des Vergers MJ Bourdeau et Fils. 

« Ça ne venait pas de nous autres. On fait affaire avec la Caisse Desjardins, et c’était écrit Banque Scotia », raconte Mario Bourdeau. 

Mais lorsqu’il a pris connaissance de la duperie, le mal était fait. L’emballeur avait déjà transféré l’argent au numéro de compte inscrit sur le faux spécimen de chèque. 

M. Bourdeau a porté plainte à la police et un rapport a été rédigé, mais il s’est fait dire qu’il y avait peu d’espoir qu’il récupère son argent. Il s’est aussi informé auprès de son assureur, mais n’était pas couvert pour ce genre d’événement. Depuis, le verger a changé d’adresse courriel et remplacé son ordinateur.

De plus en plus fréquent

Un expert en cybersécurité, Benoît Dupont, affirme que plusieurs autres cas identiques se sont produits au Québec, impliquant parfois la perte de millions de dollars, en un seul virement. « Ça arrive dans beaucoup de domaines, entre autres immobilier ou juridique, dans lesquels vous avez des fournisseurs qui entretiennent des relations d’affaires avec des clients. Les fraudeurs s’immiscent entre les deux et ils détournent de l’argent. Des fois, ils envoient des factures à payer en se basant sur des relations existantes », explique le professeur titulaire à l’École de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cyberrésilience.

Or, ce genre de stratagème sera de plus en plus fréquent, selon lui, dans des secteurs a priori moins ciblés, comme l’agriculture. « Étant donné qu’on utilise la technologie partout, maintenant, tout le monde est à risque. »

Il recommande aux agriculteurs et à leurs acheteurs d’intégrer à leurs procédures des vérifications par téléphone de l’identité des personnes avec lesquelles ils échangent des courriels avant tout virement bancaire.

« Il ne faut pas appeler au numéro de téléphone qui figure sur le courriel, mais à un numéro de téléphone qui a été vérifié au préalable auprès du fournisseur. Ce qu’on essaie d’éviter, c’est que tout dépende uniquement des échanges de courriels », spécifie-t-il.  Ces mesures de sécurité sont plus pertinentes que jamais en 2024, insiste l’expert, même si elles ralentissent les procédures.