La décision rendue le 29 septembre par la Cour supérieure du Québec dans Future Electronics Inc. (Distribution) Pte Ltd. v. Chubb Insurance Company of Canada, 2020 QCCS 3042, est la première décision canadienne, et seulement la deuxième nord-américaine, sur l’interaction entre les clauses de fraude par ingénierie sociale, de fraude informatique et de fraude par virement interbancaire que l’on retrouve dans les polices d’assurance contre les vols et les détournements [1].

Dans cette affaire, une escroquerie par usurpation d’identité de l’auteur d’un courriel, un cas classique de fraude par « ingénierie sociale », avait causé une perte de plusieurs millions. Chez certaines Cours d’appel aux États-Unis, on note un manque de cohérence quant à savoir si ces fraudes par ingénierie sociale font l’objet des couvertures pour la fraude informatique ou la fraude par virement interbancaire que l’on retrouve dans les polices d’assurance contre les vols et les détournements. Aucune Cour d’appel et une seule cour de première instance des États-Unis n’a interprété une police qui contenait une clause sur la fraude par ingénierie sociale.

La Cour supérieure du Québec [Cour] a fait droit aux arguments de Chubb Insurance Company of Canada [Chubb], selon lesquels la perte tombait sous le coup d’un avenant sur la fraude par ingénierie sociale de la police contre les vols et détournements, lequel comportait une couverture limitée à 50 000 $. Elle a ainsi rejeté la position de Future Electronics inc. [FEI], qui invoquait les clauses de fraude informatique ou de fraude par virement interbancaire, lesquelles comportaient plutôt une limite de 25 millions.

La Cour a en outre statué que, si on analyse dans son ensemble la police contre les vols et détournements, tenant compte particulièrement de la couverture visant la fraude par ingénierie sociale, ni la clause sur la fraude informatique, ni celle sur la fraude par virement interbancaire ne pouvait viser la perte causée directement par les déclarations trompeuses contenues dans les courriels envoyés par l’imposteur aux employés du service des comptes payables de l’assurée.

Enfin, la Cour a statué que l’exclusion pour disposition volontaire se serait appliquée dans l’éventualité où la clause sur l’assurance relative à la fraude informatique ou celle relative à la fraude par virement interbancaire aurait été déclenchée.

Il s’agit d’une cause importante pour les assureurs qui souscrivent une assurance contre les vols et les détournements. Contrairement aux attaques de piratage, qui peuvent être contrées au moyen de dispositifs technologiques robustes, les fraudes par ingénierie sociale constituent un risque difficile à contrôler en raison de la tendance naturelle des gens à faire confiance à autrui et à tenir pour véridiques les représentations qu’on peut leur faire. Cette affaire confirme que la couverture contre ce risque est limitée aux avenants sur la fraude par ingénierie sociale, qui comportent généralement d’importantes restrictions et sont assujettis à des limites de couverture bien moins élevées que celles que comportent les clauses de fraude informatique ou de fraude par virement interbancaire, risques plus aisés à gérer.

La fraude

Une filiale singapourienne [FESG] de Future Electronics Inc. [FEI] avait été victime d’une escroquerie par usurpation d’identité de l’auteur d’un courriel, ayant causé une perte de plusieurs millions de dollars : un imposteur [Imposteur] s’étant fait passer pour le directeur financier d’un fournisseur californien, Exar, a convaincu les employés de FESG de modifier les directives pour les virements interbancaires visant à payer les factures émises par Exar. FESG a avisé sa banque de ces nouvelles mesures de façon que les sommes soient versées dans des comptes bancaires contrôlés par l’Imposteur. Celui-ci, qui communiquait avec l’employé de FESG par courriel  et, en de rares occasions, par téléphone, n’était jamais entré en contact avec la banque.

La nature problématique des risques de fraude par ingénierie sociale

Les escroqueries par usurpation d’identité d’un vendeur sont un exemple typique de « fraude par ingénierie sociale ». Cette forme de criminalité, la version du 21^e siècle des arnaques classiques, est en popularité croissante, puisqu’elle évite à son auteur de devoir attaquer directement les solides cyberdéfenses technologiques mises en  place par de nombreuses entreprises. Les autorités policières ont décrit ces cyber-criminels comme des « pirates qui se spécialisent dans l’exploitation des connexions personnelles sur les réseaux sociaux. Ces pirates sociaux, parfois appelés “ingénieurs sociaux”, manipulent les gens au moyen d’interactions sociales (en personne, par téléphone ou par écrit) ».[2] [Notre traduction]

Les humains étant vulnérables face aux duperies d’un fraudeur sophistiqué, celui-ci peut donc s’infiltrer même dans les entreprises les mieux gérées et les plus sûres en se faisant passer pour un vendeur, un client ou un employé de confiance et inciter un assuré ou un de ses employés à détourner des actifs.

Contrairement aux cyber risques se présentant sous la forme d’une attaque informatique directe contre les systèmes technologiques d’un assuré, la fraude par ingénierie sociale est un risque particulièrement difficile à contrôler en raison de la tendance naturelle des gens à la confiance, et à tenir pour véridiques les représentations dont ils ont connaissance. En conséquence, la garantie que les assureurs prêts à offrir fait habituellement l’objet d’importantes restrictions et de limites moins élevées.

La demande de couverture

FEI bénéficiait d’une police d’assurance responsabilité des cadres [Police] émise par Chubb. La Police comportait un avenant visant la fraude par ingénierie sociale assujetti à une limite de 50 000 $. Elle offrait aussi une couverture de 25 M$ visant la fraude informatique et la fraude par virement interbancaire.

Chubb a admis qu’il existait une garantie en vertu de l’avenant relatif à la fraude par ingénierie sociale, mais elle a conclu que la perte ne déclenchait aucune garantie pour fraude informatique ou pour fraude par virement interbancaire.

FEI ne partageait pas cette conclusion. Elle a donc refusé le chèque de 50 000 $ émis par Chubb et a intenté une poursuite devant la Cour supérieure du Québec.

La décision

La clause d’assurance relative à la fraude par ingénierie sociale couvrait toute perte découlant directement d’une « fraude par ingénierie sociale commise par une personne qui prétend être un vendeur, un client ou un employé autorisé par l’assurée à demander à d’autres employés de transférer de l’argent ou des titres » [par 102; nos traductions]. La « fraude par ingénierie sociale » est définie comme « la tromperie intentionnelle d’un employé, par fausse déclaration d’un fait important sur lequel se fie un employé, qui le croit authentique » [par 100].

L’avenant visant la fraude par ingénierie sociale ne s’appliquait pas aux pertes couvertes, entre autres, par les clauses visant la fraude informatique et la fraude par virement interbancaire.

La Cour a donné raison à Chubb, qui soutenait que la perte, qui découlait d’un scénario classique de fraude par ingénierie sociale, tombait clairement et exclusivement sous le coup de l’avenant visant la fraude par ingénierie sociale.

La Cour a rejeté la tentative de FEI d’obtenir une garantie en vertu des clauses relatives à la fraude informatique et à la fraude par virement interbancaire. La Cour a statué que ces clauses devaient être interprétées dans le contexte de la Police dans son ensemble, y compris, en particulier, l’avenant sur la fraude par ingénierie sociale.

La Cour a conclu que la clause d’assurance relative à la fraude informatique, qui offrait une couverture pour « perte directe » découlant de « l’appropriation illégale […] au moyen de l’utilisation d’un ordinateur », protégeait l’assuré contre les pertes subies lorsqu’un tiers utilisait un ordinateur pour s’emparer directement et illégalement des biens de l’assuré.

La Cour a statué que cette protection n’était pas déclenchée lorsqu’un ordinateur n’était qu’un véhicule passif ayant servi à l’envoi de communications électroniques « d’ingénierie sociale » afin d’amener un employé à transférer volontairement des biens de l’assuré au fraudeur. Selon la Cour, la cause directe de la perte subie par FEI se trouvait dans les déclarations trompeuses faites par l’Imposteur, et ne constituait pas une « perte directe » découlant d’une « appropriation illégale […] au moyen de l’utilisation d’un ordinateur. »

La Cour a distingué le cas sous étude de ceux qui ont fait l’objet de la jurisprudence récente des tribunaux d’appel des États-Unis — y compris Medidata Sols. Inc. v. Fed. Ins. Co.,729 Fed. Appx. 117,2018 U.S. App LEXIS 18376 (2nd Cir.) [Medidata] et Am. Tooling Ctr., Inc. v. Travelers Cas. & Sur. Co. of Am. , 895 F.3d 455; 2018 U.S. App. LEXIS 19208 (6th Cir.), permission de réentendre en banc refusée [ATC] — au motif que les polices en cause dans ces affaires ne limitaient pas la couverture à la « perte directe » découlant de « l’appropriation illégale […] au moyen de l’utilisation d’un ordinateur ».

Par exemple, dans Medidata, on visait « l’appropriation illégale ou le transfert frauduleusement incité d’argent, de valeurs ou de biens découlant d’une infiltration informatique », tandis que dans ATC, la « fraude informatique » fut définie comme « l’utilisation de tout ordinateur pour provoquer frauduleusement un transfert d’argent, de valeurs ou d’autres biens de l’intérieur de locaux ou de locaux d’une institution financière ».

Puisque le courriel est le mode de correspondance d’affaires par défaut du 21^e siècle, la Cour, citant la jurisprudence des tribunaux d’appel des États-Unis[3], a en outre statué que la couverture de la fraude informatique serait transformée en couverture générale de fraude si, comme FEI l’a fait valoir à tort, elle englobait tous les stratagèmes frauduleux dans lesquels les communications électroniques ont joué un rôle.

La Cour a donc conclu que la perte subie par FEI lorsque ses employés ont été dupés par l’Imposteur était clairement et exclusivement couverte en vertu de l’avenant relatif à la fraude par ingénierie sociale et ne déclenchait pas la couverture pour fraude informatique. La Cour a de plus conclu que l’argument de FEI, qui soutenait que sa réclamation tombait tant sous le coup de la couverture pour fraude par ingénierie sociale que celle pour fraude informatique, était contraire au texte clair de la police. Les deux couvertures étaient mutuellement exclusives.

La clause d’assurance relative à la fraude par virement interbancaire offrait une couverture pour la « perte directe » découlant des « instructions frauduleuses écrites ou électroniques, ou transmises par télégraphie, par câble, par téléimprimeur ou par téléphone, ordonnant à une institution financière de transférer, de payer ou de livrer de l’argent ou des titres à partir de tout compte tenu par un assuré de cette institution, à l’insu d’un assuré ou sans son consentement ». [par. 88]

La banque de FEI avait émis des paiements conformément aux instructions qu’elle avait reçues directement des employés dupés de FEI. La Cour a rejeté l’argument de FEI selon lequel la couverture aurait été déclenchée parce que les employés dupés n’avaient pas sciemment émis des directives frauduleuses à la banque de l’assurée. Citant la tendance majoritaire de la jurisprudence américaine, qui a été suivie dans la seule décision de common law canadienne pertinente[4], la Cour a statué que la perte ne déclenchait pas la garantie en vertu du libellé, très clair, de la clause relative à la fraude par virement interbancaire, puisque les seules instructions de paiement reçues par la banque avaient été approuvées et transmises par l’assurée, qui en était forcément au courant.

La Cour a réitéré que ces réclamations étaient exclusivement couvertes par l’avenant visant la fraude par ingénierie sociale.

Les avenants visant la fraude informatique et la fraude par virement interbancaire faisaient également l’objet d’une exclusion pour disposition volontaire, qui exclut la couverture pour la « perte découlant du fait qu’un employé a, sciemment, donné ou s’est dépossédé d’argent, de valeurs ou de biens à un tiers, à l’occasion d’un achat ou d’un échange, lorsqu’il n’y a pas de collusion entre le tiers et l’employé. Cette exclusion est sans effet en ce qui a trait à la fraude relative aux mandats bancaires et à la contrefaçon. » [par 97]

Cette exclusion a été expressément supprimée de l’avenant relatif à la fraude par ingénierie sociale.

La Cour a statué que l’exclusion relative à la disposition volontaire aurait pu s’appliquer si l’une ou l’autre des clauses d’assurance relatives à la fraude informatique ou au virement interbancaire avait été déclenchée. La Cour a rejeté l’affirmation de FEI selon laquelle la clause était ambiguë et devrait se limiter aux transactions dans lesquelles il y avait des échanges simultanés de fonds contre des biens ou des services. La Cour a conclu que, suivant une interprétation textuelle, l’exclusion s’applique à toute opération d’échange ou d’achat, simultanée ou non, dans laquelle l’assurée se départ volontairement d’argent, de titres ou de biens, sans égard au fait que les sommes soient versées à un tiers légitime ou à un fraudeur.

Conclusion

La fraude par ingénierie sociale, dont le succès dépend à la fois de la nature intrinsèque des gens et de la tendance naturelle à faire confiance à autrui, est un risque particulièrement difficile à contrôler. La décision sous étude confirme que la couverture pour ce risque est limitée par les clauses sur la fraude par ingénierie sociale, qui comportent, entre autres, des restrictions relatives à certains scénarios de fraude et sont généralement assujetties à des limites de couverture moindres que celles qu’offrent les clauses de fraude informatique et de fraude par virement interbancaire, qui font l’objet de risques beaucoup plus faciles à gérer.

[1] Nick Krnjevic et Élisabeth Laroche, du cabinet RSS, ont représenté Chubb avec succès.

[2] U.S.Department of Justice, Federal Bureau of Investigation: « Internet Social Networking Risks », <https://www.dni.gov/files/NCSC/documents/campaign/internet-social-networking-risks.pdf>.

[3] Apache Corp. c. Great American Ins. Co. 662 Fed. Appx. 252 (5e Cir. 2016), et PestmasterServs., Inc. c. Travelers Cas. et Sur. Co. of Am. 656 F. App’x 332 (9e Cir. 2016) [Pestmaster].

[4] Voir, notamment, Taylor & Lieberman v. Federal Ins. Co., 681 Fed. Appx. 627, 628 (9th Cir. 2017); Pestmaster, The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413.