Écrit par Martin P.J. Kratz QC

À mesure que le nombre et la sophistication des attaques d’ingénierie sociale augmentent, les victimes examinent leurs polices d’assurance pour voir si elles sont couvertes.  Dans The Brick Warehouse LP v. Chubb Insurance Company of Canada, 2017 ABQB 413, et dans Taylor & Lieberman v. Federal Insurance Company, 2017 WL 929211 (9 mars 2017 9th Cir.), des courriels frauduleux, dans le cadre d’une attaque d’ingénierie sociale, ont été envoyés à des employés de l’entreprise qui ont agi sur eux en transférant de l’argent du compte de l’assuré. Dans les deux cas, les tribunaux ont statué que la couverture en vertu de la police sur la fraude par transfert de fonds avait été refusée parce que la victime connaissait ou consentait aux instructions données à sa banque plutôt que par le biais d’instructions de tiers se faisant passer pour l’assuré, ce qui aurait été couvert par la police. Il convient de noter que la Cour de l’Alberta s’est fondée sur l’évolution de la situation juridique aux États-Unis dans sa décision.

Le 6ème circuit a maintenant pris un aspect différent dans une affaire d’attaque d’ingénierie sociale dans American Tooling Center, Inc. v. Travelers Casualty & Surety Co., n ° 17-2014 (6th Cir. 2018).

L’American Tooling Center (ATC), un fabricant d’outils et de matrices dans l’industrie automobile, utilise un sous-traitant en Chine, Shanghai YiFeng Automotive Die Manufacture Co. Ltd. (YiFeng), pour externaliser certaines commandes. L’ATC dispose d’un système de paiement élaboré où quatre paiements sont effectués en fonction de l’avancement des travaux. YiFeng envoie par courriel des factures ATC qui passent par un processus d’examen à l’ATC. L’ATC vérifie les progrès qui ont été réalisés, après quoi un vice-président de l’ATC examine une feuille de calcul des paiements dus. L’ATC paie YiFeng par virement bancaire. Pour ce faire, le vice-président de l’ATC utilise un portail logiciel sur son ordinateur pour saisir manuellement les informations bancaires que le contrôleur doit approuver.

Un employé de l’ATC a envoyé un e-mail à un employé de YiFeng pour demander une liste de tous les comptes en suspens. Il semble qu’une personne inconnue ait intercepté ce message. Le tiers qui se faisait passer pour l’employé de YiFeng a alors entamé une discussion sur les comptes avec le vice-président de l’ATC. Ils ont affirmé, en raison d’une vérification, que l’ATC devrait virer les paiements à un nouveau compte que d’habitude. L’ATC l’a fait. L’imposteur a exécuté l’escroquerie deux fois de plus jusqu’à ce que YiFeng se renseigne sur les paiements et ATC se rende compte qu’il avait viré les paiements à un imposteur. 

ATC a demandé un recouvrement pour sa perte en vertu de sa police d’assurance contre la fraude informatique. L’assureur a refusé la réclamation et l’ATC a intenté une poursuite. Dans une demande de jugement sommaire, le tribunal de district a conclu en faveur de l’assureur que la perte n’était pas couverte.

La cour^d’appel du 6 e circuit a examiné le jugement sommaire sur une base de novo. Dans le cadre d’un tel contrôle, la cour d’appel examine tous les faits de la façon la plus favorable pour la partie qui n’est pas la partie requérante.

L’assureur a fait valoir que la perte n’était pas une « perte directe », qu’il ne s’agissait pas d’un cas de fraude informatique et que la perte n’était pas causée par une fraude informatique.

Le tribunal a conclu que l’ATC avait perdu les 864 000 $ directement lorsqu’elle avait payé l’imposteur; il n’y a pas eu d’événement intermédiaire.

La 6^{e cour de} circuit a distingué une affaire antérieure du 9^e circuit, Pestmasters v. Travelers, 656 F. App’x 332,333 (9^e Cir. 2016), qui avait conclu que l’expression « provoquer frauduleusement un transfert » nécessitait une autorisation frauduleuse du transfert, concluant dans ce cas que l’imposteur avait utilisé un pour envoyer les courriels frauduleux à l’ATC et ces courriels frauduleux ont causé le transfert. Le tribunal a conclu que ces faits constituaient une fraude informatique.

Le tribunal a conclu que l’ATC avait prouvé que sa perte directe avait été directement causée par la fraude informatique, notant que l’assureur aurait pu, mais n’a pas limité, le terme aux cas de piratage où le criminel amène l’ordinateur à faire quelque chose. Le tribunal a déterminé que la première étape était la réception du courriel frauduleux. Les actions internes de l’ATC en s’appuyant sur le courriel frauduleux étaient l’étape directement suivante et la fraude informatique a donc directement causé la perte.

A conclu en faveur de l’ATC et qu’aucune des exclusions de la police n’était applicable, le tribunal a infirmé le jugement sommaire de l’assureur, a accordé un jugement sommaire à l’ATC et a renvoyé pour d’autres procédures.

Ceci est similaire au résultat dans l’affaire Medidata Solutions, Inc. c. Federal Insurance Co., 15-CV-907 (ALC), (21 juillet 2017, U.S.C. S.D. New York) où un autre tribunal a conclu que l’implication et la manipulation plus directes d’un ordinateur dans le stratagème frauduleux ont donné lieu à une couverture d’assurance.

Voici nous avons un autre point de données sur la façon dont un tribunal interprétera le langage changeant de la couverture d’assurance dans les polices de cyber-couverture en examinant de différentes manières comment un ordinateur peut être impliqué. Nous pouvons nous attendre à ce que les assureurs examinent attentivement et révisent le libellé de leurs polices pour tenir compte de la limite identifiée dans ce cas. Les assurés, par contre, ont une façon différente d’examiner ce qu’est une « fraude informatique » dans les faits de l’espèce. Il demeure toujours important d’examiner de près le libellé de la police afin qu’un assuré comprenne et obtienne la couverture qu’il cherche à acheter.

Avec le temps, nous verrons si d’autres tribunaux canadiens peuvent se tourner vers la jurisprudence américaine en expansion sur les directives lorsqu’ils traitent de situations de fait similaires.