Juste pour rire a subi une fraude classique par courrier électronique à un très mauvais moment, avant d’accumuler des millions de pertes et de se mettre à l’abri de ses créanciers. De février à avril 2023, l’entreprise s’est vu voler 813 657 $, selon des documents judiciaires restés confidentiels jusqu’à présent.
Gestion Juste pour Rire a obtenu en janvier une ordonnance visant à identifier le titulaire du compte Banque TD où étaient passés les fonds détournés.
Le type de fraude dont l’entreprise a été victime reposait sur l’usurpation de l’e-mail d’un dirigeant, d’un dirigeant ou d’un fournisseur clé de l’entreprise.
Dans le cas de Juste pour rire, le suspect inconnu, nommé « John Doe » dans les procédures, a imité des courriels d’employés de L’Équipe Spectra et du Groupe CH (« usurpation d’identité »). Ces deux sociétés appartiennent à la famille Molson, actionnaires du producteur de contenus humoristiques.
Dans le cadre d’ententes internes, Juste pour rire a sous-traité les services de gestion à Spectra et à une autre entreprise appartenant aux Molson, Evenko.
Contrôleur appâté
En février 2023, le contrôleur financier de Juste pour rire reçoit un courriel semblant provenir d’un employé de Spectra. Il contient des instructions pour modifier les procédures pour tous les paiements à evenko. À l’avenir, les fonds devraient être transférés sur un nouveau compte à la Banque TD, selon le message.
Le courriel est également envoyé en copie certifiée (« cc ») à deux employés du Groupe CH inc., impliqués dans la gestion de ces entreprises.
Mais le message venait d’un escroc, pas de Spectra. Il a créé une adresse au nom d’un employé responsable des comptes clients au sein de l’entreprise. Le nom de domaine imite celui de l’entreprise : « @equipespectras.com », avec un s supplémentaire, au lieu de « @equipespectra ».
Le courriel est également envoyé en copie carbone (« cc ») à deux fausses adresses imitant celles de dirigeants du Groupe CH, qui contrôle Spectra.
Les transferts commencent
La différence avec les adresses réelles est subtile, et le contrôleur de Juste pour rire n’y voit que du feu. Après avoir modifié les informations bancaires d’Evenko dans le système, Juste pour rire lui a effectué trois versements : un premier de 8 623 $ en février, un deuxième de 209 $ en mars, mais surtout un troisième versement de 804 825 $ en avril. Ce transfert de fonds doit couvrir les frais de gestion que le spécialiste de l’humour doit à Evenko pour 2022.
Juste pour rire a découvert la fraude en mai 2023 lorsque le Groupe CH lui a demandé si ses frais de gestion – avec un mois de retard – seraient bientôt payés.
Quelques minutes plus tard, le contrôleur répondait au Groupe CH que les fonds avaient bel et bien été versés sur le prétendu compte d’Evenko à la Banque TD le 13 avril, mentionnant la demande de Juste pour rire d’obtenir sa commande Norwich.
La directrice financière principale du Groupe CH a alors répondu que ce compte ne lui appartenait pas.
« À ce moment-là, Juste pour rire s’est rendu compte qu’elle avait été victime d’une fraude, initiée par le courriel frauduleux quelques mois plus tôt, le 23 février 2023 », selon le document judiciaire.
Blocage de compte
Juste pour rire a alors demandé à son institution financière, la Banque Nationale, d’enquêter sur le flux de fonds et a déposé une plainte auprès de la police de Montréal, qui a ouvert une enquête.
L’ordonnance de Norwich visant à identifier qui se cache derrière le compte TD a été accordée. La presse n’a toutefois pas été en mesure de consulter le dossier en temps utile pour obtenir des détails.
La requête vise également à obtenir une ordonnance de gel du compte, mais les documents disponibles ne précisent pas si le tribunal a rendu une ordonnance à cet effet.
L’avocat interne de Juste pour rire, Paul Morissette, a initialement dirigé La presse à Patrick Lapierre de la firme Blakes pour obtenir les détails, mais il affirme n’avoir reçu « aucune instruction » pour nous parler.
Le patron de l’entreprise, Alain Boucher, n’a pas rappelé.
Un classique
Le détournement de Juste pour rire est un cas classique de « fraude présidentielle », où le criminel parvient à convaincre un dirigeant clé de lui transférer des fonds, explique Patrick Mathieu, fondateur de HackFest, une communauté d’experts en cybersécurité.
« Lorsque les fraudeurs commencent, ils n’ont pas besoin d’en avoir connaissance », explique-t-il. Généralement, ils passent beaucoup d’appels téléphoniques et beaucoup de faux emails pour savoir qui fait quoi, comment, les horaires… Évidemment, vous pouvez utiliser LinkedIn pour savoir qui dirige l’entreprise… »
Par exemple, les fraudeurs peuvent se faire passer pour des clients ou des fournisseurs ayant des difficultés à être payés. Cela leur permettra de savoir qui est responsable de ces problèmes. « Cela pourrait prendre des mois », estime Patrick Mathieu.
Il souligne que les entreprises peuvent facilement contrecarrer ce type de stratagèmes par des mesures simples, comme confirmer les changements de compte bancaire avec la personne responsable par téléphone ou en répondant à un ancien e-mail.
« C’est un manque de précautions élémentaires », déplore-t-il.
Rien pour aider Juste pour rire, qui a subi cette fraude au début de son annus horribilis, avant de se placer sous la protection du Loi sur les arrangements avec les créanciers des compagnies.
En 2023, le groupe piloté par Gestion Juste pour rire a perdu 7,9 millions de dollars, après avoir empoché un profit de 1,1 million de dollars l’année précédente.
Apprendre encore plus
