Animation du TAPE

PARE Animation

Démonstration du TAPE

PARE Demonstration

Curriculum vitæ structuré et expérience policière

Décrivez l'ensemble de vos qualifications et de votre expérience pertinentes afin qu'une évaluation complète de vos compétences et aptitudes puisse être effectuée.

Curriculum vitæ structuré

• Assurez-vous que votre curriculum vitæ structuré répond à tous les critères ci-dessous.
• Utilisez le modèle suivant pour rédiger votre document qui doit compter deux pages tout au plus.

Expérience policière

• Demandez une copie des définitions des compétences policières de la GRC et du formulaire connexe auprès du bureau de recrutement de votre province. Il faut utiliser ces définitions pour fournir des exemples.
• À l'aide des définitions de compétences et du formulaire reçus du bureau de recrutement, fournissez deux exemples différents pour chacune des compétences policières évaluées suivantes. Vos exemples doivent être présentés selon le modèle S.T.A.R., dans un document comportant neuf pages tout au plus.

Compétences :

Décrivez votre :

• aptitude à préparer et à présenter des témoignages en cour et votre expérience dans le domaine.
• aptitude à obtenir des autorisations judiciaires (mandats, promesses de comparaître, assignations, etc.).
• expérience et vos connaissances relatives aux techniques d'entrevue aux fins d'enquête.
• aptitude à mener des enquêtes et votre expérience dans le domaine;
• expérience en matière de souci de la sécurité.
• expérience et vos connaissances des lois ainsi que des politiques, des procédures et des priorités stratégiques applicables.
• souplesse
• communication
• travail d'équipe

Structured Resume and Police Experience

Please list all of the relevant qualifications and experience to ensure that a complete assessment of your skills and abilities can be conducted.

Structured Resume

• Ensure that your Structured Resume includes all criteria in the following example.
• Please use the following format and keep your text to a total of two (2) pages or less.

Police Experience

• Request a copy of the RCMP Police Competency definitions and form from your provincial recruiting office. You are required to use these definitions to provide your examples.
• Using the competency definitions received from your local recruiting office; provide two (2) different examples for each of the following police competencies being assessed using the S.T.A.R. format and keep your text to a total of nine (9) pages or less.

Competencies:

Describe your:

• ability and experience to prepare and present testimony in court;
• abilities and experience in obtaining judicial authorizations (e.g., warrants, Promise to Appear, Summons etc.);
• experience and knowledge of investigative interviewing techniques;
• experience and ability to conduct investigations;
• experience in concern for safety; and
• experience and knowledge of applicable legislation and policies, procedures and strategic priorities.
• flexibility
• communication
• teamwork

Cybercrime: an overview of incidents and issues in Canada

PDF Version (1.96 MB)

PDF Version

Inside the report

• Executive summary
• Defining cybercrime from a law enforcement perspective
  • Technology-as-target
  • Technology-as-instrument
  • Cybercrime is on the rise
• Cybercrime threats and case studies
• Technology-as-target cybercrimes
  • Distributed Denial of Service (DDoS)
  • Criminal botnet operations
• Technology-as-instrument cybercrimes
  • Carding crimes
  • Online mass-marketing fraud and ransomware
  • Organized crime and the Internet
  • Online child sexual exploitation
• Evolving cybercrime threats
  • Darknets
  • Cybercrime-as-a-service
  • Malware targeting mobile platforms
  • Virtual currency schemes
  • Cyber-facilitated stock market manipulation
  • Cybercrime threats to industrial control systems
• Conclusion: key observations

Executive summary

Cybercrime: an overview of incidents and issues in Canada is the RCMP's first report on cybercrime, and focuses on aspects of the cybercrime environment that affect Canada's public organizations, businesses and citizens in real and harmful ways.

This report covers a broad range of criminal offences where the Internet and information technologies are used to carry out illegal activities. It describes select crimes in Canada's digital landscape to show the rising technical complexity, sophistication and expansion of cybercrime. While difficult to measure, these crimes show no sign of slowing in Canada.

The RCMP breaks cybercrime into two categories:

• technology-as-target – criminal offences targeting computers and other information technologies, such as those involving the unauthorized use of computers or mischief in relation to data, and;
• technology-as-instrument – criminal offences where the Internet and information technologies are instrumental in the commission of a crime, such as those involving fraud, identity theft, intellectual property infringements, money laundering, drug trafficking, human trafficking, organized crime activities, child sexual exploitation or cyber bullying.

These categories are examined in this report through examples and law enforcement case studies involving recent cybercrime threats. The report concludes with three key observations:

• Technology creates new opportunities for criminals. Online markets and Internet-facing devices provide the same opportunities and benefits for serious and organized criminal networks as they do for legitimate businesses.
• Cybercrime is expanding. Once considered the domain of criminals with specialized skills, cybercrime activities have expanded to other offenders as the requisite know-how becomes more accessible.
• Cybercrime requires new ways of policing. The criminal exploitation of new and emerging technologies – such as cloud computing and social media platforms, anonymous online networks and virtual currency schemes – requires new policing measures to keep pace in a digital era.

This report and future versions will inform Canadians of criminal threats and trends in cyberspace, and law enforcement efforts to combat them.

Defining cybercrime from a law enforcement perspective

The RCMP generally interprets cybercrime to be any crime where cyber – the Internet and information technologies, such as computers, tablets, personal digital assistants or mobile devices – has a substantial role in the commission of a criminal offence. It includes technically advanced crimes that exploit vulnerabilities found in digital technologies. It also includes more traditional crimes that take on new shapes in cyberspace. Viewing cybercrime through this broad lens is vital in determining the best response, whether involving law enforcement or other cyber security measures.

Cybercrime may be broken into two categories:

• technology-as-target – criminal offences targeting computers and other information technologies, such as those involving the unauthorized use of computers or mischief in relation to data, and;
• technology-as-instrument – criminal offences where the Internet and information technologies are instrumental in the commission of a crime, such as those involving fraud, identity theft, intellectual property infringements, money laundering, drug trafficking, human trafficking, organized crime activities, child sexual exploitation or cyber bullying.

Figure 1: cybercrime categories
Description of image in tabular format follows.

These categories account for the widespread criminal exploitation of new and emerging technologies. They enable the RCMP to address serious and organized crimes where offenders use technology to extend the reach of their traditional activities, and to identify new criminal activities that unfold in tandem with technological advancements. These categories also separate cybercrime from 'incidental' uses of technology in crime, where the Internet and related technologies play an ancillary role and do not materially alter the respective criminal activity (e.g. use of text messaging to sell drugs, or conducting open source research on the Internet to plan a robbery).

Technology-as-target and technology-as-instrument cybercrimes should not be interpreted as mutually exclusive. In many cases, the more technically advanced forms of cybercrime (hacking into a computer to steal personal data or remotely using keystroke loggers to capture financial credentials) may be instrumental in furthering the reach of more traditional criminal offences (using the same personal or financial data to facilitate mass-marketing fraud or extortion). These definitions will be elaborated below through recent examples of investigations and enforcement actions.

Cybercrime is on the rise

Cybercrime is difficult to measure and often goes unreported to law enforcement agencies. However, RCMP statistics suggest that cybercrime continues to grow in Canada. In 2012, the RCMP received nearly 4,000 reported incidents of cybercrime: an increase of over 800 reported incidents from 2011. In both years, technology-as-instrument cybercrimes accounted for the majority of reported incidents.

Table 1: number of RCMP reported cybercrime incidents in 2011 and 2012
Description of graph in tabular format follows.

These figures only tell part of the story. Other studies and reports show increases in select aspects of Canada's cybercrime environment. For example, in 2013 the Canadian Anti-Fraud Centre (CAFC) received over 16,000 complaints of cyber-related fraud (email and website scams), accounting for more than $29 million in reported losses.

However, cybercrime does not have to be financially motivated to have a devastating impact on victims. Online child sexual exploitation is a prime example. In 2013 alone, the RCMP National Child Exploitation Coordination Centre (NCECC) received over 9,000 reported incidents and requests for assistance from law enforcement and other partners concerning online child sexual exploitation.

Cybercrime threats and case studies

The following examples and case studies show the range of offences that fall under the RCMP's definition of cybercrime, and how governments, businesses and citizens can be victimized by cybercrime in different ways.

Technology-as-target cybercrimes

Technology-as-target cybercrimes are considered to be 'pure' forms of cybercrime as they did not exist prior to the advent of the Internet and related technologies. These crimes apply to Canada's Criminal Code offences involving the unauthorized use of computers and mischief in relation to data. They center on exploiting software or other information technology vulnerabilities for criminal purposes. Criminals find ways to compromise these technologies and obtain, alter or outright destroy personal or sensitive information, or remotely access and infiltrate computers, system networks or mobile devices for a variety of illegal activities.

Distributed Denial of Service (DDoS)

Distributed Denial of Service (DDoS) attacks inundate targeted computer servers or websites with false requests until an online service is disrupted and rendered inoperable, which may in turn prevent legitimate consumers from using the targeted service.

The impact of a DDoS attack can range from temporary inconveniences to more noticeable effects, including lost business opportunities and reputational damages from service disruption. These attacks can be politically, ideologically or financially motivated, or simply used to challenge and disrupt a public or private organization. These criminal activities may also link to 'insider' threats.

The case below represents both a DDoS attack and an insider threat to government computer networks and related information technology systems.

Criminal botnet operations

A 'botnet' involves a network of computers that are remotely controlled by a command-and-control server. Botnets may be used to deploy malware and infect thousands or potentially millions of computers for various criminal purposes, such as distributing a malware program for data access, screen and password captures, or keystroke loggers to obtain personal and financial credentials.

In many cases, victims are unaware that their business or personal computers may be part of a botnet operation and that their data may be siphoned for criminal purposes. Without knowing, an individual could activate malware on a computer by clicking on a seemingly benign email or website link, in turn giving some code-scripted form of control to a botnet operation (such as access to online bank account passwords through keystroke monitoring and recording). These threats not only involve 'pure' cybercrime offences, but may also be used to facilitate more traditional crimes, such as fraud and identity theft. Operation Clean Slate (below) is an example of a recent law enforcement initiative against an international criminal botnet operation.

Technology-as-instrument cybercrimes

Pure cybercrimes often involve the theft and exchange of personal or financial information, which extends to technology-as-instrument cybercrimes. Other crimes involve the use of the Internet and information technologies in different ways, and take on a new magnitude in cyberspace. The examples and case studies below illustrate the range of technology-as-instrument cybercrime activities.

Carding crimes

Carding crimes are offences in which the Internet is used to traffic and exploit personal and financial data and share cybercrime techniques, such as the online buying and selling of stolen identity and counterfeit documents, credit card and bank account information, or criminal hacking tools. Carding crimes and others like it show how pure cybercrimes can be instrumental in facilitating and altering the scope of more traditional criminal offences. For example, a criminal may gain unauthorized access to a computer database to steal personally identifiable information and credit card numbers. In turn, the criminal may use anonymous online forums, many of which are not detectable through online search engines, to exchange this information for illegitimate purposes.

Operation Card Shop (below) provides a glimpse at an international law enforcement operation against carding crimes.

Online mass-marketing fraud and ransomware

Links between pure and instrumental cybercrimes are arguably most common in fraud. The Internet has transformed this long standing criminal offence to the extent where 'mass marketing' is now linked to many types of fraud. Internet-based mass marketing frauds such as phishing emails, lottery scams, '419' scams and romance scams are used to deceive victims and steal personal identifiers for a variety of financially motivated criminal purposes. These scams easily target large populations across multiple jurisdictions in a far more ubiquitous, anonymous and efficient manner when compared to similar offline crimes. One of these fraud-based cybercrimes is exemplified through 'ransomware.'

Ransomware scams involve a type of malware that locks a computer and its data content and uses social engineering tactics, such as threats, to coerce victims into paying fees for regained computer access. Recent threats involving ransomware scams are described below.

Organized crime and the Internet

The Internet and related technologies have created new opportunities, new markets and new delivery methods for criminal transactions that are not possible in the 'real' world. For drugs, contrabands and other types of criminal trafficking, these technologies have created a virtual storefront presence where criminal networks can efficiently and anonymously buy, sell and exchange criminal products and services on an unprecedented scale.

In some cases, these cybercrime threats are also associated with money laundering and organized criminal activity. Through the Internet and online currency schemes, criminal money transfers originating from Canada can be electronically routed through foreign jurisdictions with weaker safeguards to more effectively conceal illicit proceeds and simplify offshore banking. Money launderers can also collude and exploit legitimate online services, such as auctions or online gambling, to hide criminal proceeds by buying and selling fictitious items or by masking such proceeds as legitimate gambling profits. The following case illustrates the rising threat of online money laundering and its links to organized crime.

Online child sexual exploitation

The Internet has transformed and exacerbated criminal activity involving the sexual exploitation of children. In cyberspace, criminals hide their true identities through pseudonyms and share child sexual exploitation material through private websites and online bulletin boards. Operation Snapshot (below) illustrates the harmful and ubiquitous nature of online child sexual exploitation and the role of law enforcement.

Evolving cybercrime threats

Cybercrime threats are becoming more sophisticated as criminals continue to exploit information technologies, which present significant challenges for law enforcement to detect and attribute. These are some of the evolving cybercrimes that may form the basis of future RCMP reports.

Darknets

Darknets are online file sharing networks that provide users with anonymity through encryption and other cyber security technologies. They enable criminals to broker their illegal goods and services on the Internet and avoid detection through anonymous online networks. These networks attract criminal activity by concealing online transactions, such as the online buying and selling of illegal drugs, pirated media, counterfeit goods and other illicit products.

Cybercrime-as-a-service

Through darknets and other online forums, criminals can purchase or rent cybercrime tools, services and supporting infrastructure with relative ease. This service-based online market enables more criminals to take part in technically advanced cybercrimes, such as criminal operations involving DDoS attacks or malware distribution via botnets. The online availability of such tools and services means that more criminals can outsource their cybercrime operations in part or in whole.

Malware targeting mobile platforms

The popularity and interconnectedness of mobile devices, such as smartphones and tablets, have made them an attractive target for criminal exploitation. Malware variants are increasingly being developed to target vulnerabilities found in mobile operating systems. Mobile device features, such as text messaging and downloadable applications, are used to deploy malware and gain remote and unauthorized access to mobile platforms for various illicit purposes, such as stealing personal data and obtaining GPS coordinates.

Virtual currency schemes

Virtual currency schemes, such as Bitcoins, are used by criminals to launder their proceeds online (money laundering). These schemes provide organized crime networks with new means to hide their earnings from law enforcement. The criminal use of virtual currencies is often associated with darknets, in which virtual currencies and anonymous online networks are used to obtain payments for illegal goods and services and launder revenue associated with criminal transactions.

Cyber-facilitated stock market manipulation

Cybercrime extends to online stock market manipulation schemes. Criminals use social engineering techniques to obtain personal credentials, or deploy malware programs such as keystroke loggers, to 'hijack' live-trading user accounts and manipulate the share price of targeted securities. Other cybercrime threats, such as DDoS attacks, also impact capital markets by undermining investor confidence in online services and affecting targeted stock market valuations.

Cybercrime threats to industrial control systems

Industrial control systems, such as Supervisory Control and Data Acquisition (SCADA) systems, are used to monitor and control industrial processes, such as those involved in power plants or electrical grids. These systems may include Internet-facing components, potentially leaving them vulnerable to DDoS attacks or other cybercrime threats involving malware programs. The impact of these threats to critical infrastructure may vary, ranging from industrial espionage, to data extraction and theft of intellectual property or trade secrets, to more disruptive tactics involving system compromises.

Conclusion: key observations

This report provides a primer on cybercrime threats and trends that harm Canada's public organizations, business interests and citizens in real and tangible ways. While far from exhaustive, it highlights a number of issues in the cybercrime environment to demonstrate the range of offences in Canada's Criminal Code that fall under cybercrime. It concludes with three general observations.

Technology creates new opportunities for criminals

The Internet and related technologies have reshaped Canada's society and economy; they have also changed Canada's criminal landscape. Online markets and Internet-facing devices provide the same opportunities and benefits for serious and organized criminal networks as they do for legitimate businesses. Through information technologies, criminals are expanding their reach to commit entirely new crimes, and old crimes in new ways.

Cybercrime is expanding

Once considered the domain of criminals with specialized skills, cybercrime activities have expanded to other offenders as the requisite know-how becomes more accessible. Widely available and ready-made malware tools – which can be bought, sold or exchanged online – provide criminals with new and simplified ways to steal personal information and cause monetary losses to Canadian businesses and citizens. Cyber technologies are also used for other harmful purposes, such as online child sexual exploitation and the rising prevalence of cyber bullying.

Cybercrime requires new ways of policing

The criminal exploitation of new and emerging technologies – such as cloud computing and social media platforms, anonymous online networks and virtual currency schemes – requires new policing measures to keep pace in a digital era. Criminal activities in cyberspace are complex and often transnational in character, where potential evidence is transient and spread across multiple jurisdictions. Addressing these challenges requires broad-based domestic and international law enforcement cooperation, engagement with public and private sector organizations, and integrating new technical skills and tools with traditional policing measures.

The RCMP has a broad mandate when it comes to investigating and apprehending criminals in the online world, or otherwise disrupting cybercrime activity. To improve its capabilities in the cyber realm, the RCMP is developing a strategy to better combat cybercrime in concert with its domestic and international partners. The strategy is scheduled for completion in 2014 and will complement Canada's Cyber Security Strategy to help keep Canadians secure online.

Cybercriminalité : survol des incidents et des enjeux au Canada

Version PDF (1,98 Mo)

Version PDF

Dans le rapport

• Résumé
• Définition de la cybercriminalité du point de vue de l'application de la loi
  • Infractions où la technologie est la cible
  • Infractions où la technologie est l'instrument
  • Intensification de la cybercriminalité
• Menaces posées par la cybercriminalité et études de cas
• Infractions où la technologie est la cible
  • Refus de service distribué (DDoS)
  • Réseaux de zombies
• Infractions où la technologie est l'instrument
  • Fraude aux cartes bancaires
  • Fraude en ligne par marketing de masse et rançongiciel
  • Crime organisé et Internet
  • Cyberexploitation sexuelle d'enfants
• Évolution des menaces liées à la cybercriminalité
  • Darknets
  • Modèle CaaS (cybercrime-as-a-service)
  • Ciblage des plates-formes mobiles par des maliciels
  • Fraudes liées à une devise virtuelle
  • Manipulation du marché boursier facilitée par Internet
  • Menaces cybercriminelles contre les systèmes de contrôle industriels
• Conclusion : principales observations

Résumé

Le présent rapport, Cybercriminalité : survol des incidents et des enjeux au Canada, est le premier de la GRC à traiter de la cybercriminalité. Il est axé sur les aspects de la cybercriminalité qui ont une incidence réelle et préjudiciable sur les organismes du secteur public, les entreprises et les citoyens du Canada.

Le rapport porte sur une vaste gamme d'infractions criminelles lors desquelles on a recours à Internet et à des technologies de l'information pour s'adonner à des activités illégales. On y fait la description d'actes criminels triés sur le volet qui sont commis dans le paysage numérique du Canada, et ce, afin de donner une idée de la complexité technique croissante, de la sophistication et de l'expansion de la criminalité. Biens qu'ils soient difficiles à évaluer, ces crimes ne montrent aucun signe de ralentissement au Canada.

La GRC divise les actes de cybercriminalité en deux catégories :

• infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d'autres technologies de l'information, comme ceux qui concernent l'utilisation non autorisée d'ordinateurs ou les méfaits concernant des données;
• infractions où la technologie est l'instrument – actes criminels commis à l'aide d'Internet ou de technologies de l'information, comme la fraude, le vol d'identité, la violation de propriété intellectuelle, le blanchiment d'argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l'exploitation sexuelle des enfants ou la cyberintimidation.

Le rapport traite de ces catégories et il présente des exemples et des études de cas de l'application de la loi associés à des menaces récentes en matière de cybercriminalité. Le rapport se termine par trois principales observations :

• La technologie crée de nouvelles possibilités pour les criminels. Les marchés électroniques et les dispositifs reliés à Internet offrent les mêmes possibilités aux réseaux criminels organisés qu'aux entreprises légitimes.
• La cybercriminalité prend de l'ampleur. Autrefois considérée comme le domaine des criminels possédant des compétences spécialisées, la cybercriminalité est maintenant à la portée d'autres délinquants puisque le savoir requis est maintenant plus accessible.
• La cybercriminalité oblige la police à adopter de nouvelles méthodes. L'exploitation criminelle des nouvelles technologies – comme l'informatique en nuage, les médias sociaux, les réseaux anonymes en ligne et les fraudes liées à une devise virtuelle – exige de nouvelles mesures policières pour ne pas se laisser distancer à l'ère numérique.

Le présent rapport et les versions ultérieures informeront les Canadiens des menaces criminelles et des tendances dans le cyberespace, de même que des efforts faits par les organismes d'application de la loi pour les combattre.

Définition de la cybercriminalité du point de vue de l'application de la loi

Selon la GRC, un cybercrime peut être n'importe quel type de crime commis en grande partie à l'aide d'Internet et des technologies de l'information, comme des ordinateurs, des assistants numériques personnels ou des appareils mobiles. On entend aussi par cybercrime les crimes sophistiqués sur le plan technique qui exploitent les failles des technologies numériques, tout comme les crimes plus traditionnels qui prennent de nouvelles formes dans le cyberespace. Le fait de considérer la cybercriminalité dans une perspective plus vaste est essentiel pour déterminer l'intervention qui convient le mieux, qu'il s'agisse de mettre en cause des organismes d'application de la loi ou d'autres mesures de cybersécurité.

La cybercriminalité peut être divisée en deux catégories :

• infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d'autres technologies de l'information, comme ceux qui concernent l'utilisation non autorisée d'ordinateurs ou les méfaits concernant des données;
• infractions où la technologie est l'instrument – actes criminels commis à l'aide d'Internet ou de technologies de l'information, comme la fraude, le vol d'identité, la violation de propriété intellectuelle, le blanchiment d'argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l'exploitation sexuelle des enfants ou la cyberintimidation.

Figure 1 : catégories de cybercrimes
Le texte qui accompagne l'image se trouve après l'image.

Ces catégories tiennent compte de l'exploitation répandue des nouvelles technologies à des fins criminelles. Elles permettent à la GRC de réprimer la criminalité organisée et les crimes graves commis par des délinquants qui se servent de la technologie pour élargir la portée de leurs activités traditionnelles et de repérer de nouvelles activités criminelles qui voient le jour en même temps que les progrès technologiques. Ces catégories sont distinctes des utilisations « accessoires » de la technologie pour commettre des crimes, c'est-à-dire les cas où Internet et les technologies connexes jouent un rôle secondaire et ne modifient pas l'activité criminelle de façon appréciable (p. ex. l'utilisation de la messagerie texte pour vendre de la drogue ou des recherches effectuées dans des sources ouvertes sur Internet pour planifier un vol).

Les infractions où la technologie est la cible et les infractions où la technologie est l'instrument ne sont pas mutuellement exclusives. Dans de nombreux cas, les formes de cybercriminalité les plus avancées sur le plan technique (le piratage d'un ordinateur pour voler des données personnelles ou l'utilisation à distance d'un enregistreur de touches pour obtenir de l'information financière) peuvent servir à élargir la portée d'infractions criminelles plus traditionnelles (l'utilisation des mêmes renseignements personnels ou financiers pour faciliter la fraude par marketing de masse ou l'extorsion). Ces définitions sont élaborées plus bas au moyen d'exemples récents de mesures d'enquête et de répression.

Intensification de la cybercriminalité

Les incidents de cybercriminalité sont difficiles à évaluer et ils ne sont pas souvent signalés aux organismes d'application de la loi. Cependant, selon les statistiques de la GRC, la cybercriminalité continue de croître au Canada. En 2012, près de 4000 incidents de cybercriminalité ont été signalés à la GRC, une augmentation de plus de 800 cas par rapport à 2011. Au cours de ces deux années, ce sont les infractions où la technologie est l'instrument qui ont constitué la majorité des incidents signalés.

Tableau 1 : nombre d'incidents liés à la cybercriminalité signalés à la GRC en 2011 et en 2012
Le texte qui accompagne le graphique se trouve après l'image.

Ces statistiques ne donnent qu'une partie de l'information. D'autres études et rapports révèlent des augmentations dans certains aspects de la cybercriminalité au Canada. Par exemple, en 2013, le Centre antifraude du Canada (CAFC) a reçu plus de 16 000 plaintes de fraude informatique (escroqueries par courriel ou sur des sites Web), ce qui représente des pertes de plus de 29 millions de dollars.

La cybercriminalité n'a cependant pas à être motivée par l'appât du gain pour avoir des conséquences dévastatrices sur les victimes. La cyberexploitation sexuelle d'enfants en est un parfait exemple. Pour la seule année 2013, le Centre national de coordination contre l'exploitation des enfants (CNCEE) de la GRC a reçu plus de 9000 signalements d'incidents et des demandes d'aide de la part d'organismes d'application de la loi et d'autres partenaires concernant la cyberexploitation sexuelle d'enfants.

Menaces posées par la cybercriminalité et études de cas

Les exemples et les études de cas qui suivent montrent les diverses infractions visées par la définition de cybercriminalité de la GRC et de quelles façons les gouvernements, les entreprises et les citoyens peuvent être victimes de cybercriminalité.

Infractions où la technologie est la cible

Les infractions où la technologie est la cible sont considérées comme des formes pures de cybercriminalité étant donné qu'elles n'existaient pas avant l'avènement d'Internet et des technologies connexes. Il s'agit d'infractions prévues dans le Code criminel et qui concernent l'utilisation non autorisée d'ordinateurs ainsi que les méfaits concernant des données. Ceux qui commettent ce type d'infractions cherchent à exploiter les vulnérabilités des logiciels ou d'autres technologies de l'information à des fins criminelles. Les criminels trouvent des moyens de compromettre ces technologies et d'obtenir, de modifier ou de détruire des renseignements personnels ou de nature délicate ou encore d'infiltrer des ordinateurs, des réseaux ou des appareils mobiles pour s'adonner à diverses activités illégales.

Refus de service distribué (DDoS)

Les attaques de refus de service distribué (DDoS) inondent les serveurs ou les sites Web ciblés de fausses demandes jusqu'à ce qu'un service en ligne soit perturbé et rendu inutilisable, privant ainsi des usagers d'utiliser le service ciblé.

Les répercussions d'une attaque DDoS vont des désagréments temporaires à des effets plus perceptibles, notamment des occasions d'affaires manquées et des atteintes à la réputation découlant de l'interruption de service. Ces attaques peuvent être motivées par la politique, l'idéologie ou l'appât du gain ou être simplement utilisées pour faire obstacle à un organisme public ou privé ou perturber ses activités. Ces activités criminelles peuvent aussi être liées à des menaces internes.

La situation suivante constitue une attaque DDoS et une menace interne contre les réseaux informatiques du gouvernement et les systèmes de technologie de l'information connexes.

Réseaux de zombies

Un « réseau de zombies » est un réseau d'ordinateurs contrôlé à distance par un serveur de commande. Les réseaux de zombies peuvent servir à lancer des maliciels et à infecter des milliers voire des millions d'ordinateurs à diverses fins criminelles, comme la distribution d'un programme malveillant pour accéder à des données, à des saisies d'écran ou de mot de passe, ou encore à un enregistreur de touches pour obtenir de l'information personnelle ou financière.

Dans de nombreux cas, les victimes ne savent pas que les ordinateurs de leur entreprise ou leurs ordinateurs personnels font partie d'un réseau de zombie et que leurs données peuvent être subtilisées à des fins criminelles. Sans le savoir, une personne peut activer un maliciel sur un ordinateur en cliquant sur un courriel ou un lien qui semble inoffensif, donnant ainsi une forme de contrôle codé à un réseau de zombies (le maliciel peut enregistrer les frappes et ainsi donner accès aux mots de passe d'un compte bancaire en ligne). Ces menaces ne mettent pas seulement en jeu des infractions « pures » relatives à la cybercriminalité, mais elles servent aussi à faciliter des crimes plus traditionnels, comme la fraude et le vol d'identité. L'Opération Clean Slate (ci-dessous) est un exemple d'une initiative récente d'application de la loi contre un réseau criminel international de zombies.

Infractions où la technologie est l'instrument

La cybercriminalité pure met souvent en jeu le vol et l'échange de renseignements personnels ou financiers, ce qui s'applique aux infractions où la technologie est l'instrument. D'autres crimes impliquent l'utilisation d'Internet et des technologies de l'information de différentes façons et ils prennent une nouvelle dimension dans le cyberespace. Les exemples et les études de cas ci-dessous illustrent l'éventail des infractions où la technologie est l'instrument.

Fraude aux cartes bancaires

La fraude aux cartes bancaires est une infraction où on se sert d'Internet pour trafiquer et exploiter des données personnelles et financières et pour échanger des techniques liées à la cybercriminalité, comme l'achat et la vente en ligne de documents d'identité volés, de documents contrefaits, de renseignements sur des cartes de crédit et des comptes bancaires et d'outils de piratage. La fraude aux cartes bancaires et d'autres types de crimes semblables montrent à quel point la cybercriminalité pure peut jouer un rôle clé dans la facilitation de crimes plus traditionnels et dans la modification de leur portée. Par exemple, un criminel peut obtenir un accès non autorisé à une base de données informatique pour voler des renseignements permettant d'identifier une personne et des numéros de carte de crédit. Après coup, le criminel peut se rendre sur des forums anonymes en ligne, dont un grand nombre ne sont pas détectés par les moteurs de recherche, pour échanger cette information à des fins criminelles.

L'Opération Card Shop (ci-dessous) donne un aperçu d'une opération policière internationale contre la fraude aux cartes bancaires.

Fraude en ligne par marketing de masse et rançongiciel

Les liens entre la cybercriminalité pure et accessoire sont probablement les plus courants dans les cas de fraude. Internet a transformé cette infraction criminelle bien établie au point où le marketing de masse est maintenant lié à de nombreux types de fraude. La fraude par marketing de masse exploitant Internet, comme les courriels d'hameçonnage, les loteries frauduleuses, les fraudes 419 et les stratagèmes de rencontre, servent à tromper les victimes et à voler des identificateurs personnels à diverses fins criminelles motivées par l'appât du gain. Ces arnaques ciblent facilement de grandes populations dans divers pays, et ce, d'une manière beaucoup plus généralisée, anonyme et efficace que des crimes similaires commis hors ligne. Un de ces cybercrimes axé sur la fraude est illustré par les « rançongiciels ».

Les fraudes par rançongiciel impliquent un type de maliciel qui verrouille un ordinateur et les données qu'il contient et qui utilise des méthodes d'ingénierie sociale, comme des menaces, pour contraindre les victimes à débourser de l'argent pour recouvrer l'accès à leur ordinateur. Vous trouverez ci-dessous la description de récentes menaces impliquant des fraudes par rançongiciel.

Crime organisé et Internet

Internet et les technologies connexes ont créé de nouvelles possibilités, de nouveaux marchés et de nouvelles méthodes de livraison pour les transactions criminelles qui ne sont pas disponibles dans le monde « réel ». En ce qui concerne les drogues, les produits de contrebande et d'autres types de trafic criminel, ces technologies ont créé une vitrine virtuelle où des groupes criminels peuvent efficacement, et dans l'anonymat acheter, vendre et échanger des produits et des services criminels à un niveau sans précédent.

Dans certains cas, ces types de cybercrimes sont aussi associés au blanchiment d'argent et aux activités du crime organisé. Grâce à des stratagèmes en ligne, les transferts criminels d'argent en provenance du Canada peuvent être acheminés électroniquement par l'intermédiaire de pays étrangers où les mesures de sécurité sont plus faibles afin de dissimuler plus efficacement les produits de la criminalité et de simplifier les opérations bancaires extraterritoriales. Les blanchisseurs d'argent peuvent aussi être de connivence et exploiter des services en ligne légitimes, comme des sites d'enchères ou de jeux en ligne, pour cacher les produits de la criminalité en achetant et en vendant des articles fictifs ou en faisant passer ces produits pour des profits générés par le jeu. Le cas suivant illustre la menace croissante du blanchiment d'argent en ligne et ses liens avec le crime organisé.

Cyberexploitation sexuelle d'enfants

Internet a transformé et exacerbé les activités criminelles impliquant la cyberexploitation sexuelle d'enfants. Dans le cyberespace, les criminels cachent leur véritable identité au moyen de pseudonymes et ils échangent du matériel de pornographie juvénile par l'intermédiaire de sites Web privés et de babillards électroniques. L'Opération Snapshot (ci-dessous) donne une idée de la nature préjudiciable et omniprésente de la cyberexploitation sexuelle d'enfants et du rôle des organismes d'application de la loi.

Évolution des menaces liées à la cybercriminalité

Les menaces liées à la cybercriminalité deviennent de plus en plus sophistiquées étant donné que les criminels continuent d'exploiter les technologies de l'information, ce qui nuit passablement aux services de police pour détecter ces menaces et établir des liens. Voici quelques-uns des cybercrimes en évolution qui pourraient servir de fondement aux prochains rapports de la GRC.

Darknets

Les darknets sont des réseaux d'échange de fichiers en ligne qui assurent l'anonymat aux utilisateurs au moyen de technologies de chiffrement et de cybersécurité. Ils permettent aux criminels de négocier leurs produits et leurs services illégaux sur Internet et d'éviter d'être repérés sur des réseaux anonymes. Ces réseaux sont attrayants pour ceux qui se livrent à des activités criminelles parce qu'ils dissimulent les transactions en ligne, comme l'achat et la vente en ligne de drogues illégales, de fichiers piratés, de biens contrefaits et d'autres produits illicites.

Modèle CaaS (cybercrime-as-a-service)

Par l'intermédiaire de darknets et d'autres forums en ligne, les criminels peuvent acheter ou louer des outils et des services de cybercriminalité ou une infrastructure connexe avec assez de facilité. Ce marché en ligne axé sur les services permet à un plus grand nombre de criminels de prendre part à des cybercrimes sophistiqués sur le plan technique, comme des opérations criminelles impliquant des attaques DDoS ou la distribution de maliciels au moyen de réseaux de zombies. La disponibilité en ligne de ces outils et services fait en sorte qu'un plus grand nombre de criminels peuvent sous-traiter leurs opérations de cybercriminalité, en tout ou en partie.

Ciblage des plates-formes mobiles par des maliciels

La popularité et l'interconnectivité des appareils mobiles, comme les téléphones intelligents et les tablettes, en font des cibles attrayantes pour les criminels. Des variantes de maliciels sont de plus en plus développées pour cibler les vulnérabilités des systèmes d'exploitation d'appareils mobiles. Les caractéristiques des appareils mobiles, comme la messagerie texte et les applications téléchargeables, sont utilisées pour déployer des maliciels et obtenir un accès à distance non autorisé aux plates-formes mobiles, et ce, à des fins illicites, p. ex. pour voler des données personnelles et obtenir des coordonnées GPS.

Fraudes liées à une devise virtuelle

Les fraudes liées à une devise virtuelle comme le Bitcoin sont commises par des criminels pour blanchir leurs profits en ligne (blanchiment d'argent). Ces stratagèmes fournissent à des réseaux criminels organisés de nouveaux moyens de dérober leurs gains aux regards des organismes d'application de la loi. L'utilisation de devises virtuelles à des fins criminelles est souvent associée aux darknets, ces endroits où des devises virtuelles et des réseaux anonymes en ligne sont utilisés pour obtenir des paiements en échange de biens et de services illégaux et pour blanchir les revenus associés à des transactions criminelles.

Manipulation du marché boursier facilitée par Internet

La cybercriminalité s'applique aux manipulations frauduleuses du marché boursier en ligne. Les criminels utilisent des techniques d'ingénierie sociale pour obtenir des justificatifs d'identité personnelle ou pour déployer des programmes malveillants comme des enregistreurs de touches, et ce, afin de pirater des comptes d'utilisateurs qui effectuent des transactions et de manipuler le cours du titre des valeurs ciblées. D'autres types de cybercrimes, comme les attaques DDoS, ont également des répercussions sur les marchés financiers parce qu'elles ébranlent la confiance envers les services en ligne et qu'elles modifient l'estimation des valeurs mobilières.

Menaces cybercriminelles contre les systèmes de contrôle industriels

Les systèmes de contrôle industriels, comme les systèmes d'acquisition et de contrôle des données (SCADA) sont utilisés pour la surveillance et les processus de contrôle industriels, comme ceux qu'on trouve dans les centrales ou les réseaux électriques. Ces systèmes peuvent comprendre des composants reliés à Internet, les rendant ainsi vulnérables à des attaques DDoS ou à d'autres types de cybercrimes impliquant des programmes malveillants. L'incidence de ces menaces aux infrastructures essentielles peut être variée : espionnage industriel; extraction de données; vol de propriété intellectuelle ou de secrets industriels, ou tactiques plus perturbatrices impliquant la compromission de systèmes.

Conclusion : principales observations

Le présent rapport donne un aperçu des menaces et des tendances en matière de cybercriminalité qui portent préjudice aux organismes publics, aux intérêts commerciaux et aux citoyens du Canada de façon réelle et concrète. Bien qu'incomplet, il met en lumière des enjeux liés à la cybercriminalité pour démontrer la gamme des infractions au Code criminel qui constituent des cas de cybercriminalité. Il se conclut par trois observations générales.

La technologie crée de nouvelles possibilités pour les criminels

Internet et les technologies connexes n'ont pas seulement transformé la société et l'économie canadiennes; ils ont aussi modifié le monde criminel du Canada. Les marchés électroniques et les dispositifs reliés à Internet offrent les mêmes possibilités aux réseaux criminels organisés qu'aux entreprises légitimes. Grâce aux technologies de l'information, les criminels étendent leurs activités pour commettre des crimes tout à fait nouveaux et commettre sous une nouvelle forme des crimes qui existaient déjà.

La cybercriminalité prend de l'ampleur

Autrefois considérée comme le domaine des criminels possédant des compétences spécialisées, la cybercriminalité est maintenant à la portée d'autres délinquants puisque le savoir requis est maintenant plus accessible. Des programmes malveillants facilement accessibles et prêts à utiliser – on peut les acheter, les vendre ou les échanger en ligne – offrent aux criminels de nouveaux moyens simplifiés de voler des renseignements personnels et de faire perdre de l'argent à des entreprises et à des citoyens du Canada. Certains individus ont aussi recours à la cybertechnologie pour se livrer à d'autres activités qui causent des préjudices, comme la cyberexploitation sexuelle des enfants et la cyberintimidation (en croissance constante).

La cybercriminalité oblige la police à adopter de nouvelles méthodes

L'exploitation criminelle des nouvelles technologies – comme l'informatique en nuage, les médias sociaux, les réseaux anonymes en ligne et les fraudes liées à une devise virtuelle – exige de nouvelles mesures policières pour ne pas se laisser distancer à l'ère numérique. Les activités criminelles qui se déroulent dans le cyberespace sont complexes et souvent internationales de nature – les éléments de preuve potentiels sont éphémères et ils se trouvent dans de nombreux pays. Afin de surmonter ces difficultés, il est nécessaire de pouvoir compter sur la collaboration des organismes d'application de la loi nationaux et internationaux, la mobilisation des organismes des secteurs public et privé et l'intégration de nouvelles compétences et de nouveaux outils techniques aux services de police traditionnels.

La GRC a un mandat étendu en ce qui a trait aux enquêtes et à l'arrestation de criminels dans le cyberespace; elle peut faire tout en son pouvoir pour contrer la cybercriminalité. Dans le but d'améliorer ses capacités dans le cyberespace, la GRC élabore une stratégie pour lutter contre la cybercriminalité en collaboration avec ses partenaires nationaux et internationaux. La stratégie devrait être prête en 2014 et elle complétera la Stratégie nationale de cybersécurité afin de contribuer à la sécurité des Canadiens en ligne.

Real Time IDentification (RTID)

The RTID system is the Royal Canadian Mounted Police's (RCMP) solution to address challenges in the legacy fingerprint identification and criminal record system by re-engineering and automating legacy processes. Transforming the remaining paper-based infrastructure into a seamless paperless electronic system will allow the RCMP's Canadian Criminal Real Time Identification Services (CCRTIS) to complete work in only hours and days that previously took weeks and months. Service delivery targets for RTID are:

• Two hours for all criminal ten-print searches: Ten-print identifications are usually required when police undertake a criminal booking. This identification used to take as long as ten weeks.

• 24 hours for all latent searches: Latent fingerprints are fingerprints found at crime scenes. A routine latent search used to take up to six weeks.

• 3 business days for all civil services: Fingerprint and criminal record checks are required for security clearances by members of the public applying for jobs, requesting permission to travel, and for immigration purposes. Civil clearances used to take several months to complete.

The RTID system is now largely automated and service delivery targets for criminal ten-print searches, latent searches and civil clearances are being met for almost all requests. Work continues to achieve the service delivery targets for all criminal identity searches and criminal record updates. This includes work on the Criminal Justice Information Modernization (CJIM) project to implement the first phase of electronic disposition updates for criminal records.

The first phase of the CJIM project will see a pilot distribution of the CJIM Rich Web Client to select law enforcement agencies in early 2015. The web client will enable rapid, accurate and timely electronic updates of the court disposition (e.g., guilty, acquitted, etc.) to criminal charges previously filed against an individual. The initial phase will only apply to charges submitted electronically, with a service delivery target:

• Two minutes for publishing criminal record updates: Once automation is turned on, the criminal record update for electronically submitted dispositions will be published to the Canadian Police Information Centre (CPIC) system within two minutes of reception. The CPIC system contains summary and detailed criminal records and is queried tens to hundreds of thousands of times daily by Canadian law enforcement agencies. Paper based disposition updates currently take weeks or months to complete.

The RCMP has long supported the accurate and timely identification of individuals claiming Asylum status on behalf of Citizenship and Immigration Canada (CIC) and the Canada Border Services Agency (CBSA). With the introduction of the Temporary Resident Biometrics (TRB) and Immigration Information Sharing (IIS), joint initiatives between the RCMP, CIC and the CBSA, this support will expand to manage the identity of foreign nationals from select Visa required countries.

The TRB project introduced searching and storing of Temporary Resident fingerprints from select countries. The IIS project will consolidate the processing of all immigration related fingerprints and introduce two new functions to support information sharing with the United States (US). The RCMP will create an ability for CIC to search Canadian Immigration fingerprints to respond to a query from the US immigration as to whether an individual in the US immigration process has had contact with Canadian immigration. Additionally, CIC will be able to extract fingerprints of immigration clients already enrolled in RTID and share them with the US for investigative purposes. Service delivery targets for RTID/TRB/IIS are:

• Three business days for Immigration enrolments: Immigration enrolments search fingerprints collected during the immigration application process against the immigration and criminal fingerprint databanks, and save the fingerprints in the Immigration databank.

• Three business days for searches from the US: Immigration fingerprints originating from the US will be searched and the response returned to CIC. If there is a positive match, CIC determines what information to share with the US, based on Canadian law and international treaties. Unlike Canadian immigration enrollments, US fingerprints will not be saved.

• 24 hours for Immigration amendments and purges: Amendments record biographic changes to an immigration enrolment and purges remove a specific enrolment or entire file, as requested by CIC.

• 24 hours for extracting Immigration fingerprints: CIC will make ad-hoc requests for copies of specific Immigration fingerprints held in an RTID databank to share with US immigration in support of immigration information sharing.

• 30 seconds for Immigration identity verifications: For foreign nationals from visa-required countries, CBSA may perform a verification confirming the identity of the individual entering Canada.

Utilizing the RTID system, the RCMP maintains the national repositories for criminal, immigration and RCMP employee fingerprints. RTID includes an Automated Fingerprint Identification System (AFIS), a Verification Subsystem, a National Police Services National Institute of Standards and Technology (NPS-NIST) Server (NNS) and works in tandem with the Criminal Justice Information Management server. The NNS manages RTID submissions and responses, the CJIM server manages criminal record updates, and the Verification Subsystem verifies a set of fingerprints collected at a Canadian border against the set obtained during the application process to confirm the individual's identity upon arrival in Canada.

The RTID system will continue to enhance the ability of Canadian law enforcement, government departments and international law enforcement agencies to meet their mandates for public safety, national security and economic prosperity. RTID is a significant contributor to providing Safe Homes and Safe Communities. RTID will also benefit Canadian citizens requiring a Criminal Record check to support their application for a security clearance in order to obtain employment or travel internationally.

RTID is a Protected "B" system that uses the Government of Canada approved Public Key Infrastructure (PKI) implementation. The RCMP manages its own PKI infrastructure and Certificate Authority; and employs a stringent internal Role Based Access Control (RBAC) mechanism where users are only permitted to view data relevant to their role. Communications with external agencies employ the appropriate level of protection, through message encryption and other techniques. Personal information stored in RTID is only accessible by authorized individuals or systems as governed by employee agreements in the RCMP Act. Only RCMP certified devices can be used to interface with RTID; and the specific installation and configuration of these certified devices at an agency site must be approved by the RCMP. Additionally, each agency interfacing with RTID must sign a Memorandum of Understanding (MOU), agreeing to follow all applicable Federal, Provincial and Municipal privacy laws and policies with respect to maintaining the privacy of an individual's information. Additionally, the MOU provides the RCMP the option to audit agencies to ensure all the terms and conditions of the MOU are being followed.

Sections 10 and 11 of the Privacy Act require a government institution to include in Personal Information Banks (PIB) all information under the control of the government institution and to publish an index of all PIBs within the institution. This information is collected by virtue of PIB RCMP PPU 030, PPU 065, PPE 810 and PPE 811. The provisions of the Privacy Act pertaining to access, collection, accuracy, completeness, and amending incorrect data apply. Any interfaces with external clients will be subject to an MOU to ensure that any exchange of criminal or immigration information is in accordance with the Privacy Act.

Consent of the individual for the collection of fingerprint images is required on civil transactions only. The individual's consent is provided with a separate consent form. It is the responsibility of the agency collecting the fingerprints to do so in accordance with the MOU governing the submission of fingerprint transactions and applicable statutes. Fingerprint images for civil transactions are not retained on RTID. The result of the civil fingerprint and criminal record check is only provided to whomever the individual consents. Typically the result is returned to the individual or the organization with which the individual is seeking employment. The civil contributing agency does not receive the result unless the individual has provided consent. Vulnerable Sector screening results are returned to the originating police service and Privacy Act requests are returned directly to the applicant.

Fingerprints for criminal and immigration purposes are collected under the authority of Canadian legislation. Individuals seeking employment with the RCMP are required to sign a consent form indicating that their prints will be searched and retained. Fingerprints are received, retained, used and destroyed from RTID based on the provisions in the applicable government legislation and policies documents such as:

• Canadian Charter of Rights and Freedoms;

• Privacy Act / Privacy Regulations;

• Personal Information Protection and Electronic Documents Act (Part II);

• Access to Information Act / Regulations;

• Library and Archives of Canada Act;

• Immigration and Refugee Protection Act / Regulations;

• Identification of Criminals Act;

• Criminal Code of Canada;

• Criminal Records Act;

• RCMP Act / Regulations;

• Canada Evidence Act;

• Youth Criminal Justice Act;

• DNA Identification Act;

• Treasury Board of Canada Secretariat Directive on Privacy Impact Assessments;

• Treasury Board of Canada Secretariat Policy on Privacy Protection;

• Treasury Board of Canada Secretariat Access to Information Policy / Guidelines;

• Treasury Board of Canada Secretariat Government Security Policy / Guidelines;

• Treasury Board of Canada Secretariat Policy on Information Management;

• RCMP Administration Manual;

• Ministerial Directive, Minister of Public Safety – Release of Criminal Record Information by the Royal Canadian Mounted Police;

• RCMP Operational Manual; or

• CPIC Policy Manual.

RTID is a highly secure system with extensive security features and procedures. Any functionality released to production undergoes extensive testing to ensure that any result generated by RTID adheres to the legislation and policies concerning fingerprint, biographic, immigration and criminal record data. There are also manual procedures and regular audits that ensure the information released for an individual is accurate and sent to only those recipients authorized to receive the information.

Although unlikely, it is possible that the hard copy result or one of its pages could be mailed to the wrong individual. This risk is being mitigated by using windowed envelopes to the greatest extent possible. As well, the civil response will have the address printed directly on the first page of the hard copy for insertion into the windowed envelope and the RCMP uses procedures to ensure that the correct information is placed in the envelope with the civil response.

Although unlikely, it is possible that when requesting fingerprints of an immigration file, CIC erroneously requests the fingerprints of an individual whose identity it is not authorized to share with the US. Biographic and file information is provided in response to CIC's request to mitigate this risk. CIC validates this to assure that the fingerprints requested are those of the correct individual before sharing them with the US.

CIC's policy for individuals awarded Canadian Citizenship is to request a purge of their identity information held on CIC's behalf by the RCMP. There is an extremely low possibility that the individual's identity could be released to a law enforcement agency in the period between the RCMP receiving CIC's purge request and executing the removal of the individual's identity from the databank. This risk is mitigated by purging the prints promptly.

The retention period of immigration identity information is determined by CIC policy. The risk of the RCMP retaining information beyond the required period is very low but possible. Although the RCMP takes all precautions to ensure that Immigration information is kept in the RTID databanks as per CIC's instructions, it is possible that enrolment, amendment or purge instructions are not executed properly due to system outages, defects or invalid submissions. The risk is mitigated through consistent RTID system monitoring to ensure that failures are detected and manually corrected, if possible. CIC is electronically notified of the outcome of their submissions or, in the rare case of processing issues, by RCMP staff, if required.

It is also unlikely, but possible, that a breach of privacy can occur through internal RTID users and internal Information Technology staff. This risk is mitigated through several technical and procedural processes and training. All RTID activity is monitored through audit logs and other security mechanisms. RCMP's Access to Information and Privacy (ATIP) provides lectures to inform all employees of their obligations and responsibilities regarding both the Privacy Act and the Access to Information Act.

All employees of the RCMP sign an Oath of Office and Oath of Secrecy that speaks specifically to disclosure issues. Employees are reminded of their responsibilities regarding security and safeguarding information as part of their annual performance evaluation and acknowledge these responsibilities with their supervisors. RCMP's Departmental Security Branch (DSB) investigates any possible breaches of security, assesses the injury, takes appropriate action and, if necessary, defines additional processes or procedures to mitigate the risk of the breach occurring.

In submitting criminal record updates, it is possible, but not likely, that the external contributor may input incorrect information that does pass validation and business rule verification, but is nonetheless incorrect and results in a Criminal Record with erroneous information. Note that this is not a new risk; it exists with the current paper process. To minimize this, charge disposition data is entered in a highly structured manner. The disposition reporting service contains predefined standard charge and disposition descriptions, and all dispositions submitted must pass a very extensive and thorough set of validation and business rules before updating a criminal record. Any exceptions to the standard workflow are reviewed by experienced RCMP criminal record experts before being allowed to update the criminal record. Additionally, the final step of the process presents the updated Criminal Record text to the contributor and they must approve it before it can be published to CPIC.

It is also extremely unlikely but possible that an individual could be erroneously identified to subjects on file (false match). This risk is being mitigated by configuring the AFIS, which provides automated fingerprint matching, with very conservative match thresholds to ensure that the system renders accurate responses. When the system cannot automatically confirm a positive or negative match, a fingerprint expert will manually confirm the match.

Fingerprints are received, retained, used and destroyed from RTID based on the provisions in the applicable government legislation and policy documents set forth in this document.

In conclusion, the privacy issues identified in this Summary Privacy Impact Assessment can be resolved through the development and documentation of appropriate procedures and processes that ensure compliance with the Access to Information and the Privacy Acts.

Système d'identification en temps réel (SITR)

Le système d'ITR est la solution de la Gendarmerie royale du Canada (GRC) visant à aplanir les difficultés attribuables à l'ancien système d'identification dactyloscopique et de casiers judiciaires, en procédant à la refonte et à l'automatisation des anciens processus. En transformant l'infrastructure restante sur papier en un système électronique intégré, les services canadiens d'identification criminelle en temps réel (SCICTR) de la GRC seront en mesure d'accomplir en quelques heures ou en quelques jours les tâches qui prenaient auparavant des semaines et des mois. Les objectifs de prestation de services sont les suivants :

• deux heures pour les recherches décadactylaires à des fins criminelles : Il faut généralement procéder à l'identification dactyloscopique lorsque la police effectue la mise en détention d'une personne. Auparavant, cette opération pouvait prendre jusqu'à dix semaines;

• vingt-quatre heures pour toutes les recherches d'empreintes latentes : Les empreintes latentes sont celles qui ont été prélevées sur les lieux d'un crime, dont la recherche pouvait autrefois prendre jusqu'à six semaines;

• trois jours ouvrables pour les services civils : Lorsque des membres du grand public postulent pour un emploi, demandent l'autorisation de voyager ou visent l'immigration, il faut effectuer des vérifications de dactylogrammes et de casiers judiciaires, aux fins d'autorisation de sécurité. Auparavant, ce type d'opération pouvait prendre plusieurs mois.

Le système d'ITR est désormais en grande partie automatisé et on atteint, pour presque toutes les demandes, les cibles de prestation de services relatives aux recherches décadactylaires, aux recherches d'empreintes latentes et aux autorisations de sécurité de civils. Les travaux à cet égard se poursuivent afin que nous puissions atteindre les cibles de prestation de service pour toutes les mises à jour et recherches de casiers judiciaires. Ceux-ci comprennent les travaux relatifs au projet de modernisation des renseignements de justice pénale (MRJP), notamment la mise en œuvre de la première phase de mises à jour des jugements électronique dans les casiers judiciaires.

Dans le cadre de la première phase du projet de MRJP, on distribuera au début de 2015 une version pilote du client Web enrichi du MRJP à certains organismes d'application de la loi sélectionnés. Ce client permettra d'effectuer de façon rapide et exacte des mises à jour électroniques de jugements de la cour (p. ex., coupable, acquitté, etc.) associées à des accusations criminelles déposées contre une personne donnée. La première phase de ce projet ne touchera que les accusations soumises de façon électronique, avec comme échéance cible de prestation de service :

• deux minutes pour la publication de mises à jour de casier judiciaire Une fois l'automatisation est activée, la mise à jour du casier judiciaire sera publiée dans le système du Centre d'information de la police canadienne (CIPC) dans les deux minutes suivant sa réception. Ce système contient les versions sommaire et détaillée des casiers judiciaires et les organismes canadiens d'application de la loi l'interrogent des dizaines, voire des centaines de milliers de fois chaque jour. À l'heure actuelle, les mises à jour de jugement en version papier prennent des semaines et même des mois à traiter.

La GRC a longuement accordé son appui de manière précise et dans les délais prescrits dans l'identification des personnes qui demandent asile (au nom de Citoyenneté et Immigration Canada (CIC) et l'Agence des services frontaliers du Canada (ASFC). Avec la mise en place de la biométrie pour les résidents temporaires (BRT) et l'échange d'information en matière d'immigration (EII), des initiatives conjointes entre la GRC, CIC et l'ASFC, cet appui accroîtra pour comprendre la gestion des identités de ressortissants étrangers provenant de certains pays requérant un visa.

Le projet de BRT a mis en place une fonctionnalité de recherche et de stockage d'empreintes dactyloscopiques de résidents temporaires provenant de certains pays désignés. Le projet d'EII vise quant à lui à regrouper le traitement de toutes les empreintes dactyloscopiques associées à l'immigration et à mettre en place deux nouvelles fonctions visant à favoriser l'échange de renseignements avec les États-Unis (É.-U.). La GRC permettra également à CIC de procéder à la recherche d'empreintes dactyloscopiques aux fins d'immigration au Canada, en vue de répondre à une requête de l'immigration des États-Unis à savoir si une personne du processus d'immigration des É,-U. a eu des contacts avec le processus d'immigration canadien. De plus, cela permettra à CIC d'extraire les empreintes dactyloscopiques d'un client de l'immigration déjà inscrit dans le SITR et de les transmettre aux autorités américaines à des fins d'enquête. Les objectifs préliminaires de prestation de services pour le SITR, la BRT et l'EII sont les suivants.

• Trois jours ouvrables pour la transmission d'inscriptions relatives à l'immigration : Dans le cas des inscriptions à l'immigration, cherchez les empreintes dactylaires recueillies dans les banques de données criminelles et d'immigration au cours du processus de demande d'immigration, puis enregistrez-les dans la banque de données d'immigration.

• Trois jours ouvrables pour la transmission de recherches en provenance des É.-U. On effectue la recherche des empreintes dactylaires prélevées aux fins d'immigration aux É.-U., puis on transmet les résultats connexes à CIC. En cas de correspondance positive, ce ministère détermine quelle information partager avec les É.-U., en fonction de la loi canadienne et des traités internationaux. Contrairement aux enregistrements à l'immigration canadienne, les empreintes provenant des É.-U. ne sont pas enregistrées.

• Vingt-quatre heures dans le cas des transmissions de modification et d'élimination de dossier d'immigration : Les modifications consignent des changements aux renseignements biographiques d'une inscription à l'immigration, alors que les éliminations suppriment l'inscription en question, ou encore le dossier en entier, à la demande de CIC.

• Vingt-quatre heures dans le cas de l'extraction d'empreintes dactylaires prélevées aux fins d'immigration : CIC présentera des demandes ponctuelles en vue d'obtenir des copies d'empreintes dactylaires spécifiques prélevées aux fins d'immigration qui sont conservées dans une banque de données du SITR en vue de les transmettre aux autorités d'immigration des É.-U. et de favoriser l'échange d'information en matière d'immigration.

• Trente secondes pour les vérifications d'identité de sujets d'immigration : Dans le cas des ressortissants provenant de pays exigeant un visa, l'ASFC peut effectuer une vérification de résidence temporaire en confirmant l'identité de la personne qui arrive au Canada.

À l'aide du SITR, la GRC tient à jour les répertoires nationaux des empreintes dactyloscopiques sur les criminels, les sujets d'immigration et les employés de la GRC. Ce système inclut le SAID, un sous-système de vérification, ainsi qu'un serveur NIST des SNP, (SNS) et fonctionne de concert avec le serveur du SGRJP. Le serveur SNS gère les transmissions d'ITR et les réponses connexes, tandis que celui du SGRJP gère les mises à jour de casiers judiciaires. Le sous-système de vérification compare quant à lui un ensemble d'empreintes recueillies à la frontière canadienne à l'ensemble obtenu au cours du processus de demande, de façon à confirmer l'identité du ressortissant à son arrivée au Canada.

Le SITR continuera d'améliorer la capacité des organismes canadiens et internationaux d'application de la loi ainsi que des ministères à respecter leur mandat relatif à la sécurité publique et nationale, ainsi qu'à la prospérité économique. Ce système contribue grandement à assurer la sécurité des foyers et des collectivités, en plus de servir aux Canadiens qui nécessitent une vérification des antécédents judiciaires dans le cadre de leur demande d'autorisation dans le but de voyager ou de travailler à l'extérieur.

Le système d'identification en temps réel est un système « Protégé B » qui fait appel à la version de l'infrastructure à clés publiques (ICP) approuvée par le GC. La GRC gère sa propre ICP de même que son autorité de certification et emploie un mécanisme interne strict de contrôle d'accès en fonction des rôles qui empêche les utilisateurs de visualiser les données qui ne sont pas pertinentes à leur rôle. On utiliser les niveaux de protection appropriés lors des communications avec des organismes externes, par l'entremise de chiffrement de message et d'autres techniques. L'accès aux renseignements personnels stockés dans le SITR n'est disponible qu'aux personnes ou systèmes autorisés, conformément aux ententes d'employé figurant dans la Loi sur la GRC. Seuls les dispositifs certifiés par la GRC peuvent servir à interagir avec le SITR. De plus, celle-ci doit autoriser la configuration et l'installation spécifiques de ces dispositifs au sein d'un organisme, qui interagit avec le SITR. Ce dernier doit alors signer un protocole d'entente et donc accepter des modalités particulières touchant le respect de toutes les lois et politiques fédérales, provinciales et municipales sur la protection de la vie privée qui s'appliquent, en lien avec le respect de la confidentialité des renseignements sur une personne. Ce protocole donne également à la GRC la possibilité de procéder à des vérifications auprès des organismes afin de s'assurer du respect de toutes les modalités qu'il comporte.

Les sections 10 et 11 de la Loi sur la protection des renseignements personnels obligent les institutions gouvernementales à inclure dans les fichiers de renseignements personnels (FRP) toute information qui relève de ces institutions et de publier un index de toutes les FRP qu'elles possèdent. Ces renseignements sont recueillis en vertu des CMP PPU 030, PPU 030, PPU 065, PPE 810 et PPE 811. Les dispositions de la Loi sur la protection des renseignements personnels relatives à l'accès aux données, à leur collecte, à leur exactitude, à leur exhaustivité et à la modification de celles incorrectes sont ici appliquées. Toute interface avec les clients externes fait l'objet d'un protocole d'entente, afin de s'assurer que les échanges de renseignements sur des criminels ou sur l'immigration s'effectuent conformément à cette loi.

On ne nécessite le consentement d'une personne pour la collecte d'images dactylaires que dans le cas des transactions civiles. Elle le donne par l'entremise d'un formulaire de consentement distinct. Il incombe à l'organisme de collecte de dactylogrammes de l'obtenir dans le respect des lois applicables et du protocole d'entente qui régit la soumission de transactions de dactylogrammes. Les images dactylaires qui se rattachent à des transactions civiles ne sont pas conservées dans le SITR. Les résultats d'une vérification de dactylogrammes civils et de casiers judiciaires ne sont fournis qu'aux entités ayant le consentement de la personne. En général, ils sont remis à la personne en question ou à l'organisme dans lequel elle cherche à obtenir un emploi. Les organismes contributeurs civils ne reçoivent aucun de ces résultats, sauf sous le consentement de la personne en question. Les résultats de vérification du secteur vulnérable sont quant à eux remis au service de police qui en est responsable, tandis que les demandes relatives à la Loi sur la protection des renseignements personnels sont retournées directement au demandeur.

Les empreintes dactylaires relatives à des affaires criminelles ou d'immigration sont recueillies en vertu des lois canadiennes. Les personnes qui souhaitent obtenir un emploi à la GRC doivent signer un formulaire de consentement indiquant que leurs empreintes seront recherchées et conservées. Les dactylogrammes sont reçus, conservés, utilisés et supprimés depuis le SITR, en fonction des dispositions dans la législation gouvernementale et des politiques applicables, comme :

• la Charte canadienne des droits et libertés;

• la Loi et le Règlement sur la protection des renseignements personnels;

• la Loi sur la protection des renseignements personnels et les documents électroniques (Partie II);

• la Loi et le Règlement sur l'accès à l'information;

• la Loi sur la Bibliothèque et les Archives du Canada;

• la Loi et le Règlement sur l'immigration et la protection des réfugiés;

• la Loi sur l'identification des criminels;

• le Code criminel du Canada;

• la Loi sur le casier judiciaire;

• la Loi et le Règlement sur la GRC;

• la Loi sur la preuve au Canada;

• la Loi sur le système de justice pénale pour les adolescents;

• la Loi sur l'identification par les empreintes génétiques;

• la Directive sur les évaluations des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor;

• la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor;

• les Politiques et Lignes directrices sur l'accès à l'information du Secrétariat du Conseil du Trésor;

• les Politiques et Lignes directrices sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor;

• la Politique sur la gestion de l'information du Secrétariat du Conseil du Trésor du Canada;

• le Manuel d'administration de la GRC;

• la Directive ministérielle du ministre de Sécurité publique concernant la divulgation par la Gendarmerie royale du Canada de renseignements sur les antécédents judiciaires;

• le Manuel des opérations de la GRC; ou

• le Manuel des principes directeurs du CIPC.

Le SITR est un système hautement sécurisé qui comprend d'importantes fonctions et procédures relatives à la sécurité. Toute fonction mise en production fait l'objet d'essais approfondis afin de s'assurer que les résultats générés par le SITR respectent la législation et les politiques en matière de dactyloscopie, ainsi que de données biographiques, de casiers judiciaires et de sujets d'immigration. Il existe également des procédures manuelles et des vérifications régulières qui garantissent que les renseignements communiqués à propos d'une personne donnée sont exacts et transmis uniquement aux entités autorisées.

Il est possible, quoique peu probable, que la copie papier des résultats soit envoyée, en totalité ou en partie, à la mauvaise personne. Ce risque est atténué par l'utilisation, autant que possible, d'enveloppes à fenêtre. De plus, l'adresse de la réponse civile figure directement sur la première page de la copie papier, afin de l'insérer dans l'enveloppe à fenêtre. La GRC utilise également des procédures visant à s'assurer que les bons renseignements figurent dans cette enveloppe.

Il est possible, quoique peu probable, qu'au cours d'une demande d'empreintes dactylaires associée à un dossier d'immigration CIC demande par erreur celles d'une personne pour laquelle il est interdit de partager des renseignements sur l'identité avec les É.-U. Pour atténuer ce risque, on fournit les renseignements biographiques et l'information sur le dossier en réponse à la demande de CIC. Ce ministère valide ensuite ces données, afin de s'assurer qu'on a demandé les empreintes dactylaires de la bonne personne avant de les transmettre aux É.-U.

La politique de CIC en ce qui a trait aux personnes à qui on octroie la citoyenneté canadienne consiste à supprimer les renseignements sur leur identité que la GRC conserve au nom de CIC. Il n'existe que de très faibles possibilités ceux-ci soient transmis à un autre organisme d'application de la loi entre le moment où la GRC reçoit la demande d'élimination de CIC et celui où il exécute l'élimination de l'identité de la personne dans la banque de données. On atténue ce risque en effectuant rapidement cette opération.

La période de rétention pour ce type de renseignement est déterminée par la politique de CIC. Il existe un risque, quoique très faible, que la GRC conserve les renseignements au-delà de la période requise. Même si la GRC prend toutes les précautions afin de s'assurer que la conservation des renseignements d'immigration dans les banques de données d'ITR respecte les directives de CIC, il se peut que les instructions relatives à l'inscription, à la modification ou à l'élimination ne soient pas suivies correctement. Ce problème peut survenir au cours d'une panne du système, ou encore en raison d'une défaillance ou de la présence de soumissions invalides. On atténue ce risque en effectuant une surveillance continue du SITR, de façon à s'assurer de repérer les défaillances et de les corriger manuellement, autant que possible. CIC est informé par courriel des résultats des soumissions. Dans les rares cas où un problème de ce type survient, on informe la GRC, s'il y a lieu.

Il est possible, mais peu probable, qu'une atteinte à la vie privée soit causée par des utilisateurs internes du SITR et du personnel interne de technologie de l'information (TI). Pour atténuer ce risque, on fait appel à plusieurs processus techniques et procéduraux, en plus de fournir de la formation à cet égard. Toutes les opérations associées au SITR sont sous surveillance, par l'entremise de registres de contrôle et d'autres mécanismes de sécurité. L'entité d'accès à l'information et de la protection des renseignements personnels de la GRC (AIPRP) offre des conférences visant à informer tous les employés de leurs obligations et responsabilités concernant la Loi sur la protection des renseignements personnels et de la Loi sur l'accès à l'information.

De plus, tous les employés de la GRC prêtent un serment professionnel et un serment de confidentialité qui renvoient particulièrement à aux questions de divulgation. On leur rappelle, dans le cadre de leur évaluation annuelle du rendement, leurs responsabilités concernant la sécurité et la protection des renseignements et on confirme celles-ci auprès de leurs superviseurs. La sous-direction de la sécurité ministérielle (SDSM) de la GRC examine toute atteinte possible à la sécurité, en évalue les dommages, prend les mesures appropriées et, s'il y a lieu, définit des processus ou procédures supplémentaires qui permettent d'atténuer les risques connexes.

Il est possible, mais peu probable, qu'au cours de la transmission de mises à jour de casier judiciaire le contributeur externe ne saisisse pas les bons renseignements et que ceux-ci soient validés et satisfassent à la vérification des règles opérationnelles, mais qu'ils demeurent néanmoins incorrects. Ils causent alors la création d'un casier judiciaire contenant de l'information erronée. À noter qu'il ne s'agit pas d'un nouveau risque; celui-ci existe déjà dans le processus de traitement de transmission papier actuel. Pour l'atténuer, on saisit les données de jugement relatives à l'accusation de façon très structurée. Le service de transactions relatives aux décisions contient des descriptions de jugement et d'accusation prédéfinies. De plus, tous les jugements font l'objet d'un ensemble de règles opérationnelles et de validation très exhaustif avant qu'on effectue la mise à jour du casier judiciaire en question. Toute exception au déroulement normal des travaux est étudiée par des experts d'expérience en casiers judiciaires de la GRC avant que la mise à jour du casier soit autorisée. De plus, la dernière étape du processus présente le texte mis à jour du casier au contributeur, qui doit l'approuver avant qu'il soit publié dans le CIPC.

Il est aussi possible, mais extrêmement peu probable, qu'une personne fasse l'objet d'une identification erronée dans les dossiers (fausse correspondance). On atténue ce risque en utilisant des seuils de correspondance très prudents dans le SAID, qui effectue la correspondance automatique des empreintes dactyloscopiques afin de s'assurer que celui-ci fournit des résultats exacts. Lorsqu'il ne peut effectuer automatiquement cette opération, un expert en dactylogrammes procède à la vérification de façon manuelle.

Les dactylogrammes sont reçus, conservés, utilisés et supprimés depuis le système d'identification en temps réel, selon les dispositions dans la législation gouvernementale et les politiques applicables énoncées dans le présent document.

Finalement, on peut régler les problèmes de sécurité décrits dans ce sommaire de l'évaluation des facteurs relatifs à la vie privée en développant et en consignant les procédures et processus appropriés qui garantissent le respect de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Date modified:

1969-12-31