📋 Sur cette page

  1. Le contexte québécois : Desjardins et la brèche de 2019
  2. Les attaques les plus courantes
  3. Comment sécuriser votre app bancaire
  4. Permissions à surveiller
  5. Si vous êtes victime : quoi faire
  6. Questions fréquentes

Votre téléphone intelligent est devenu votre succursale bancaire. Vous y consultez votre solde, effectuez des virements, déposez des chèques par photo. C'est pratique — et ça en fait une cible de premier plan pour les fraudeurs. Au Québec en 2025-2026, les arnaques ciblant les utilisateurs d'applications bancaires mobiles ont atteint un niveau record.

Ce guide vous explique comment fonctionne chaque type d'attaque, comment configurer votre app bancaire pour maximiser votre sécurité, et quoi faire dans les premières minutes si vous pensez avoir été victime d'une fraude.

Le contexte québécois : Desjardins et la confiance ébranlée

Desjardins est l'institution financière dominante au Québec avec plus de 7 millions de membres. Sa taille en fait aussi la cible la plus imitée par les fraudeurs. En 2019, une brèche de données majeure a exposé les renseignements personnels de 4,2 millions de membres — noms, adresses, dates de naissance, numéros d'assurance sociale, informations de transactions. Ces données circulent encore sur le dark web et alimentent des arnaques ciblées.

Les fraudeurs connaissent les habitudes des Québécois. Ils savent que beaucoup utilisent AccèsD (l'application de Desjardins), que les gens font confiance aux communications de leur caisse, et que l'urgence (« votre compte sera suspendu ») pousse à agir sans réfléchir. Résultat : les faux SMS se faisant passer pour Desjardins sont parmi les arnaques les plus signalées au Québec en 2025-2026.

⚠️ Pas seulement Desjardins BMO, TD, RBC, Banque Nationale et la Banque Laurentienne sont également copiées par des fraudeurs. Les tactiques sont identiques : faux SMS d'alerte de sécurité, fausses pages de connexion, applications frauduleuses. Ce guide s'applique à toutes les banques.

Les attaques les plus courantes en 2026

🎣 SMiShing (hameçonnage par SMS)

Vous recevez un SMS du type : « Votre compte Desjardins a été temporairement suspendu en raison d'une activité suspecte. Vérifiez votre identité immédiatement : [lien frauduleux] ». Le lien vous emmène sur un site qui imite parfaitement AccèsD. Vous entrez vos identifiants — et vous venez de les remettre aux fraudeurs.

Règle absolue : Le vrai Desjardins (et aucune banque légitime) ne vous demandera JAMAIS vos identifiants ou votre NIP par SMS. Jamais.

📱 Fausse application bancaire

Des copies frauduleuses des applications bancaires circulent sur des sites web tiers, parfois promus via de la publicité sur les réseaux sociaux. L'application a l'apparence de l'originale mais envoie vos identifiants aux fraudeurs dès que vous les entrez. Elle peut même afficher votre vrai solde pour paraître légitime.

Règle absolue : Téléchargez UNIQUEMENT depuis l'App Store d'Apple ou le Google Play officiel. Vérifiez le nom du développeur — pour Desjardins, c'est « Fédération des caisses Desjardins du Québec ».

🔄 SIM Swapping

Un fraudeur appelle Bell, Vidéotron, Rogers ou Telus en se faisant passer pour vous. Il fournit vos informations personnelles (souvent piochées dans des brèches de données) et demande le transfert de votre numéro de téléphone sur une nouvelle carte SIM qu'il contrôle. À partir de là, il reçoit vos SMS de vérification (codes 2FA) et peut réinitialiser votre mot de passe bancaire.

Protection : Ajoutez un NIP de compte chez votre opérateur téléphonique. Toute demande de changement de SIM devra fournir ce NIP. Appelez Bell, Vidéotron ou votre opérateur pour activer cette protection.

Comment sécuriser votre application bancaire

Ces étapes s'appliquent à toutes les applications bancaires québécoises (AccèsD Desjardins, BMO Mobile, TD, RBC, Banque Nationale, etc.) :

  1. Téléchargez uniquement depuis les stores officiels App Store (Apple) ou Google Play. Avant de télécharger, vérifiez le nom du développeur et les avis. Méfiez-vous des applications avec peu d'avis ou des avis suspects.
  2. Activez la biométrie (Face ID ou Touch ID) Préférez l'authentification biométrique plutôt qu'un simple NIP pour ouvrir l'application. Un NIP peut être observé par-dessus votre épaule (shoulder surfing) ou deviné. Face ID et Touch ID sont nettement plus sécurisés.
  3. Activez les notifications de transaction Toutes les institutions majeures permettent de recevoir une notification push ou un SMS pour chaque transaction. C'est votre système d'alerte en temps réel. Si vous voyez une transaction non autorisée, vous pouvez bloquer la carte immédiatement.
  4. N'accédez jamais à votre app bancaire sur WiFi public sans VPN Sur un café, un aéroport ou un hôtel, un attaquant sur le même réseau peut intercepter votre trafic. Utilisez les données cellulaires (4G/5G) ou activez un VPN avant d'ouvrir votre application bancaire.
  5. Activez le 2FA avec une app authenticator si disponible Certaines banques permettent d'utiliser une application authenticator (Google Authenticator, Authy) plutôt que le SMS pour le 2FA. C'est beaucoup plus résistant au SIM swapping. Vérifiez les paramètres de sécurité dans votre application.
  6. Protégez votre numéro de téléphone chez votre opérateur Appelez Bell, Vidéotron, Rogers ou votre opérateur et demandez à activer un NIP de compte ou un mot de passe pour toute modification de SIM. Cette étape simple bloque la grande majorité des tentatives de SIM swapping.

Permissions à surveiller : que demande votre application bancaire?

Certaines permissions demandées par les applications bancaires ne sont pas justifiées. Voici ce qui est normal et ce qui devrait vous alerter :

Permission Nécessaire? Explication
Caméra ✅ Normale Pour le dépôt de chèques par photo et la vérification d'identité.
Notifications push ✅ Normale Essentiel pour les alertes de transaction.
Touch ID / Face ID ✅ Normale Pour l'authentification biométrique.
Localisation (pendant l'utilisation) ⚠️ Optionnelle Parfois utilisée pour détecter les transactions à l'étranger. Pas indispensable — vous pouvez refuser.
Localisation en arrière-plan (toujours) ❌ Suspecte Aucune banque légitime n'a besoin de suivre votre localisation en permanence. Refusez cette permission.
Contacts ⚠️ Optionnelle Certaines apps demandent l'accès aux contacts pour faciliter les virements Interac. Vous pouvez généralement entrer l'adresse courriel manuellement.
Microphone ❌ Suspecte Une application bancaire n'a pas besoin de votre microphone. Refusez si demandé.
📱 Comment vérifier les permissions actuelles Sur iPhone : Réglages → [Nom de l'app] → vérifiez chaque permission. Sur Android : Paramètres → Applications → [Nom de l'app] → Autorisations. Révoquez ce qui n'est pas nécessaire.

Si vous êtes victime : quoi faire dans les premières minutes

🚨 Procédure d'urgence en cas de fraude bancaire

  1. Bloquez votre carte immédiatement — Dans l'application AccèsD Desjardins, allez dans « Mes comptes » → « Cartes et accès » → « Mettre en attente ». Pour BMO, TD, RBC, la fonction est similaire dans leurs apps respectives.
  2. Appelez votre institution financière directement — Desjardins : 1-800-224-7737 (disponible 24/7). BMO : 1-800-363-9992. TD : 1-866-222-3456. RBC : 1-800-769-2511. N'utilisez pas un numéro trouvé dans un SMS suspect.
  3. Signalez au Centre antifraude du Canada1-888-495-8501 ou signalement en ligne sur antifraudcentre.ca. Ce signalement aide à stopper les arnaques et à protéger d'autres victimes.
  4. Changez vos mots de passe — Commencez par votre courriel (utilisé pour réinitialiser tous vos autres mots de passe), puis votre application bancaire, puis les autres comptes importants.
  5. Vérifiez votre dossier de crédit — Demandez une surveillance de crédit auprès d'Equifax ou TransUnion. Desjardins offre gratuitement une surveillance de crédit à vie à toutes les victimes de sa brèche de 2019.
⚠️ La vitesse est cruciale Plus vous agissez vite, plus il est probable de récupérer les fonds frauduleux. Les banques canadiennes ont des politiques de remboursement pour la fraude électronique, mais elles exigent généralement que vous signaliez l'incident rapidement. N'attendez pas.

Questions fréquentes

Comment savoir si un SMS de Desjardins est frauduleux?

Le vrai Desjardins ne vous demandera JAMAIS vos identifiants, votre NIP ou votre numéro de carte de crédit complet par SMS. Si un message vous demande de cliquer sur un lien pour « vérifier votre compte » ou « éviter la suspension », c'est une arnaque. Appelez directement Desjardins au 1-800-224-7737 pour vérifier si le SMS est légitime.

Est-ce que le WiFi public est dangereux pour l'application bancaire?

Oui. Sur un WiFi public (café, aéroport, hôtel), votre connexion peut être interceptée par un attaquant sur le même réseau — une attaque dite « homme du milieu ». Utilisez toujours un VPN si vous devez accéder à votre application bancaire sur un réseau WiFi public, ou utilisez les données cellulaires (4G/5G) à la place.

L'app AccèsD de Desjardins est-elle sécuritaire?

L'application officielle AccèsD de Desjardins, téléchargée depuis l'App Store Apple ou Google Play officiel, est sécuritaire. Le problème survient quand des utilisateurs téléchargent des copies frauduleuses depuis des sites tiers ou cliquent sur des liens d'hameçonnage qui les redirigent vers de faux sites imitant AccèsD.

📚 Articles connexes