🚨 Sur cette page
L'hameçonnage (phishing) est l'attaque informatique la plus répandue au Canada. Ce n'est pas parce que c'est sophistiqué — c'est parce que ça fonctionne. Un SMS bien conçu qui imite Desjardins, un courriel alarmant prétendant venir de Revenu Québec, un appel téléphonique menaçant d'un « agent de l'ARC » — ces attaques exploitent l'urgence et la confiance, pas des failles techniques.
Ce guide se concentre sur les arnaques spécifiques au contexte québécois et canadien — celles que vous êtes réellement susceptible de recevoir.
Les 3 arnaques les plus courantes au Québec
📱 Faux SMS Desjardins (AccèsD)
L'arnaque la plus fréquente ciblant les Québécois. Vous recevez un message texte qui semble venir de Desjardins :
Le lien vous mène vers une fausse page AccèsD qui capture vos identifiants. Les fraudeurs utilisent ensuite ces identifiants pour vider votre compte.
Si vous avez le moindre doute sur votre compte Desjardins, allez directement sur desjardins.com (en tapant l'adresse dans votre navigateur) ou appelez le 1-800-CAISSES (1-800-224-7737).
📧 Faux courriel Revenu Québec (remboursement)
Ces courriels exploitent votre désir légitime de recevoir un remboursement d'impôt :
Objet: Votre remboursement de 847,00 $ est disponible
Bonjour,
Après révision de votre déclaration, un remboursement de 847,00 $ vous a été accordé. Pour recevoir ce montant, veuillez fournir vos informations bancaires via le lien sécurisé ci-dessous dans les 48 heures.
Le formulaire en ligne demande votre numéro de compte bancaire, votre numéro de transit, et parfois votre NAS pour « vérification ».
📞 Arnaque téléphonique ARC/CRA
L'une des arnaques les plus agressives — souvent un message vocal automatisé :
Les fraudeurs demandent ensuite un paiement immédiat en cartes-cadeaux iTunes, Google Play, ou Amazon pour « lever le mandat ». Ils peuvent devenir agressifs et menaçants.
L'ARC communique principalement par courrier postal. Si vous avez un doute sur votre situation fiscale, connectez-vous à Mon dossier sur canada.ca ou appelez l'ARC directement au 1-800-959-7383.
Comment reconnaître un hameçon — les 5 signaux d'alarme
⏰ Urgence artificielle
« Agissez dans les 24 heures », « Répondez immédiatement », « Votre compte sera fermé ». L'urgence est créée pour vous empêcher de réfléchir et de vérifier. Une vraie institution ne vous mettra jamais sous pression à ce point.
🔗 Liens suspects
Survolez le lien (sans cliquer) pour voir l'URL réelle dans la barre de statut. desjardins.secure-login.ru n'est PAS Desjardins. revenu-remboursement.click n'est PAS Revenu Québec. Vérifiez toujours le domaine exact.
✍️ Langue bizarre
Fautes de français, formulations maladroites, anglicismes inhabituels, ou au contraire un français trop « neutre » sans accent québécois. Les institutions québécoises communiquent en français québécois correct.
🔑 Demandes d'informations sensibles
Mot de passe, NIP, numéro complet de carte de crédit, NAS, codes d'authentification à deux facteurs. Une institution légitime ne vous demandera jamais ces informations par courriel ou SMS.
📧 Adresse d'expéditeur louche
L'adresse d'affichage peut dire « Desjardins » mais regardez l'adresse réelle : [email protected] n'est pas @desjardins.com. Sur téléphone, appuyez longuement sur l'expéditeur pour voir l'adresse complète.
💳 Paiements inhabituels
Demande de paiement en cartes-cadeaux (iTunes, Google Play, Amazon), en cryptomonnaie, ou via virement Interac à un inconnu. Les gouvernements et les banques n'acceptent JAMAIS ces modes de paiement.
Comment vérifier une URL suspecte
Avant de cliquer sur un lien dans un message suspect, vérifiez l'URL. Voici comment distinguer le vrai du faux :
🔍 Exemple : Desjardins
✅ LÉGITIME : https://www.desjardins.com/...
❌ ARNAQUE : https://desjardins.secure-login.ru/...
❌ ARNAQUE : https://desjardins-accesd.verification.com/...
❌ ARNAQUE : https://accesd.desjardins.securite.xyz/...
📌 Règle : le domaine principal (juste avant .com/.ca/.fr) doit être exactement desjardins.com. Tout ce qui suit des sous-domaines (ex: desjardins.autresite.com) n'appartient PAS à Desjardins.
🔍 Exemple : Revenu Québec
✅ LÉGITIME : https://www.revenuquebec.ca/...
❌ ARNAQUE : https://revenu-quebec.info/remboursement/...
❌ ARNAQUE : https://revenuquebec.remboursement-2026.ca/...
📌 Les sites gouvernementaux canadiens utilisent .ca — pas .com, .info, .net, etc.
Que faire si vous avez cliqué
Vous avez cliqué sur un lien suspect ou rempli un formulaire? Agissez vite — chaque heure compte.
🚨 Si vous avez entré vos identifiants de banque ou d'AccèsD
- Changez votre mot de passe immédiatement — depuis un autre appareil si possible (votre appareil pourrait être compromis). Allez directement sur desjardins.com ou le site de votre banque.
- Appelez votre banque — Desjardins : 1-800-CAISSES (1-800-224-7737). Signalez que vous pensez avoir été victime de fraude. Ils peuvent bloquer votre compte préventivement.
- Vérifiez vos transactions récentes — cherchez des virements ou achats non autorisés.
- Révoquez les sessions actives — dans AccèsD, allez dans les paramètres de sécurité et déconnectez toutes les sessions.
- Activez 2FA si ce n'est pas encore fait.
🚨 Si vous avez fourni votre NAS ou vos informations personnelles
- Placez une alerte de fraude sur votre dossier de crédit auprès d'Equifax Canada (1-800-465-7166) et TransUnion Canada (1-800-663-9980). Gratuit, et ça empêche l'ouverture de nouvelles lignes de crédit à votre nom sans vérification supplémentaire.
- Signalez au Centre antifraude du Canada — 1-888-495-8501 ou antifraudcentre-centreantifraude.ca
- Signalez à la GRC si vous pensez que votre identité est activement utilisée.
- Surveillez vos déclarations de revenus — les fraudeurs utilisent parfois les NAS volés pour produire de fausses déclarations et voler des remboursements.
⚠️ Si vous avez cliqué mais n'avez rien entré
- Le risque est moindre mais réel — le simple fait de charger le site peut installer du code malveillant.
- Scannez votre appareil avec un antivirus à jour (Malwarebytes est gratuit et efficace).
- Vérifiez vos comptes importants pour des connexions suspectes dans les 48 heures suivantes.
Où signaler au Québec
🏦 Arnaques Desjardins
Transférez le courriel/SMS suspect à cette adresse. Desjardins enquête et peut avertir d'autres membres.
🏛️ Arnaques Revenu Québec
Signalez les courriels et sites frauduleux imitant Revenu Québec à cette adresse.
🍁 Arnaques ARC (Canada)
Centre antifraude du Canada — pour signaler toute arnaque se réclamant de l'ARC ou d'autres organismes fédéraux.
🔒 Signalement général
Pour signaler des URLs de phishing et aider à protéger d'autres utilisateurs. Vos signalements alimentent les bases de données des navigateurs.
Questions fréquentes
Comment savoir si un courriel de Desjardins est légitime?
Desjardins ne vous demandera JAMAIS vos identifiants (NIP, mot de passe AccèsD) par courriel ou SMS. Les vrais courriels de Desjardins utilisent des adresses se terminant par @desjardins.com — vérifiez l'adresse complète de l'expéditeur, pas seulement le nom affiché. En cas de doute, allez directement sur desjardins.com en tapant l'adresse dans votre navigateur. Si le message est urgent et légitime, ça apparaîtra dans votre compte.
L'ARC peut-elle vraiment vous arrêter pour dettes fiscales?
Non. L'Agence du revenu du Canada n'arrête jamais les gens par téléphone pour des dettes fiscales. Le processus légal pour les dettes fiscales est long, documenté, et passe par des lettres officielles et des tribunaux — pas par des appels téléphoniques menaçants. L'ARC n'accepte jamais les paiements en cartes-cadeaux. Si vous recevez un tel appel, raccrochez et signalez au Centre antifraude : 1-888-495-8501.
J'ai cliqué sur un lien d'hameçonnage — que faire?
Agissez vite. Si vous avez entré des informations : changez votre mot de passe immédiatement depuis un autre appareil. Si des informations bancaires ont été partagées, appelez votre banque immédiatement. Signalez l'incident au Centre antifraude du Canada (1-888-495-8501) et à l'organisme imité. Placez une alerte de fraude sur votre dossier de crédit si votre NAS ou informations personnelles ont été fournis.