Comment reconnaître un courriel de phishing au Canada — 7 signaux d'alarme (2026)

Q: J'ai cliqué sur un lien de phishing — que faire?

Ne panique pas. Déconnecte-toi immédiatement du WiFi ou désactive les données mobiles. Si tu as entré des informations, change tes mots de passe depuis un autre appareil sécurisé. Si c'était des infos bancaires, appelle ta banque immédiatement. Lance un scan antivirus. Signale l'incident au Centre antifraude du Canada (1-888-495-8501).

Q: L'ARC (Agence du revenu du Canada) m'a envoyé un courriel, est-ce légitime?

Probablement pas un courriel urgent avec un lien. L'ARC n'envoie généralement pas de courriels avec des liens demandant une action immédiate ou des informations personnelles. L'ARC communique principalement par courrier postal ou via Mon dossier sur Canada.ca. Si tu reçois un courriel prétendant venir de l'ARC avec une demande urgente, accède directement à Canada.ca (sans cliquer sur le lien) pour vérifier.

Q: Comment vérifier si un lien est dangereux sans cliquer?

Sur ordinateur, survole le lien avec ta souris sans cliquer — l'URL réelle s'affiche en bas à gauche du navigateur. Tu peux aussi copier le lien et le coller dans URLScan.io ou VirusTotal pour analyser l'URL sans y accéder. Méfie-toi des URLs qui ressemblent au vrai site mais avec de légères variations (arc-canada.net au lieu de canada.ca).

📋 Dans cet article

Les 7 signaux d'alarme d'un courriel de phishing
Exemples canadiens — ARC, Postes Canada, Desjardins
Comment vérifier un lien sans cliquer
Signaler au CRTC et au Centre antifraude
Si tu as cliqué — protocole d'urgence 5 étapes
Questions fréquentes

Le phishing (hameçonnage) consiste à tromper quelqu'un pour qu'il révèle des informations sensibles — mots de passe, numéros de carte, NAS — en se faisant passer pour une organisation de confiance. Les techniques se sont considérablement affinées : les courriels de phishing modernes sont souvent graphiquement parfaits et difficiles à distinguer du vrai.

Les 7 signaux d'alarme d'un courriel de phishing

1

🚨 Sentiment d'urgence artificielle
« Votre compte sera suspendu dans 24 heures », « Action requise immédiatement », « Dernier avertissement avant fermeture du compte ». L'urgence est une technique de manipulation classique — elle court-circuite ton jugement et te pousse à agir sans réfléchir. Les vraies organisations ne fonctionnent pas comme ça.
2

📧 Adresse d'expéditeur bizarre ou légèrement incorrecte
L'adresse d'affichage peut dire « Service client Desjardins », mais l'adresse réelle est [email protected] ou [email protected]. Clique sur le nom de l'expéditeur pour voir l'adresse réelle. Méfie-toi des variations : postescanada vs postes-canada, canada.ca vs canada-gov.ca.
3

🔗 Lien qui ne correspond pas à l'organisation
Survole le lien sans cliquer — l'URL réelle s'affiche en bas de ton navigateur ou dans une infobulle sur mobile. Si le courriel prétend venir de Desjardins mais le lien pointe vers desjardins-accesplusvip.com ou accespluslogin.net — c'est du phishing.
4

✏️ Fautes d'orthographe ou de grammaire inhabituelles
Les grandes organisations canadiennes ont des équipes de révision. Un courriel avec des accents manquants, des tournures maladroites, ou des phrases qui « sonnent » comme une traduction automatique est suspect. Attention : les courriels de phishing générés par IA sont maintenant souvent parfaitement rédigés — l'absence de fautes ne garantit pas la légitimité.
5

🔐 Demande d'informations personnelles par courriel
Aucune organisation légitime — banque, gouvernement, service en ligne — ne te demandera ton mot de passe, ton NAS, ton numéro de carte bancaire, ou ton numéro d'assurance maladie par courriel. Jamais. Si un courriel te demande ces infos, c'est une arnaque à 99,9%.
6

📎 Pièce jointe inattendue
Une pièce jointe que tu n'attendais pas — surtout si c'est un fichier .exe, .zip, .docm (Word avec macros), ou .xlsm (Excel avec macros) — est un signal d'alarme sérieux. Même si l'expéditeur semble légitime, contacte-les directement (par téléphone ou en visitant le site officiel) avant d'ouvrir quoi que ce soit.
7

🎁 Trop beau pour être vrai
Tu as gagné un prix que tu n'as pas réclamé, tu as droit à un remboursement d'impôt inattendu, une récompense de fidélité exceptionnelle. Si l'offre semble trop généreuse et que tu n'as rien déclenché, c'est du leurre. Les vrais remboursements de l'ARC se font par chèque postal ou dépôt direct — pas par un lien dans un courriel.

Exemples canadiens — les arnaques les plus fréquentes

🏛️ Faux ARC (Agence du revenu du Canada)

C'est l'une des arnaques les plus courantes au Canada. Un courriel prétend que tu dois un montant d'impôt et que ton compte sera gelé, ou à l'inverse, qu'un remboursement t'attend. Il inclut un lien vers un faux site Canada.ca qui ressemble à l'original.

⚠️ Exemple d'objet de phishing ARC (à ne pas cliquer)

« Avis d'imposition — Action requise pour votre remboursement de 847,53 $ »
« DERNIER AVIS : Votre dette fiscale de 2,341 $ doit être réglée immédiatement »
« Mise à jour requise — Vérification de votre identité CRA/ARC »

La vérité : L'ARC communique principalement par courrier postal. Pour les communications numériques, l'ARC utilise Mon dossier sur Canada.ca — accède-y directement sans jamais cliquer sur un lien dans un courriel.

📦 Faux Postes Canada

« Votre colis n'a pas pu être livré — des frais de 2,99 $ sont requis pour reprendre la livraison ». Ce type d'arnaque est particulièrement efficace parce que beaucoup de Canadiens attendent des colis. Le lien mène à une fausse page Postes Canada où on te demande ta carte de crédit pour « les frais de relivraison ».

La vérité : Postes Canada ne demande pas de paiement par courriel pour des colis non livrés. En cas de doute, va sur canadapost.ca et entre ton numéro de suivi directement.

🏦 Faux Desjardins (et autres banques canadiennes)

Des courriels imitant Accès D de Desjardins, la Banque Nationale, TD, BMO, ou d'autres institutions financières canadiennes. Ils signalent une « activité suspecte » sur ton compte et t'invitent à te connecter pour vérifier.

🚫 Règle absolue pour les services bancaires Ne clique jamais sur un lien dans un courriel pour accéder à ton compte bancaire. Va toujours sur le site de ta banque en tapant l'adresse directement dans ton navigateur, ou utilise l'application officielle téléchargée depuis l'App Store ou Google Play.

Comment vérifier un lien sans cliquer

Si tu reçois un lien suspect et que tu veux savoir s'il est dangereux sans prendre de risques, voici les méthodes :

Méthode 1 — Survoler avec la souris

Sur ordinateur, place ton curseur sur le lien sans cliquer. L'URL réelle s'affiche dans la barre de statut en bas à gauche de ton navigateur. Si l'URL affichée ne correspond pas à l'organisation qui prétend t'envoyer le message — signal d'alarme.

Méthode 2 — URLScan.io

Copie le lien (clic droit → Copier l'adresse du lien), puis va sur urlscan.io et colle-le dans la barre de recherche. URLScan analyse l'URL et te montre une capture d'écran du site sans que tu y accèdes, ainsi que des informations sur sa réputation.

Méthode 3 — VirusTotal

VirusTotal (virustotal.com) analyse les URLs avec plus de 70 moteurs antivirus différents. Soumets l'URL suspecte dans l'onglet « URL » — tu obtiens un rapport qui indique si des moteurs l'ont signalé comme malveillant.

Méthode 4 — Google Safe Browsing (vérification rapide)

Tu peux utiliser l'outil de transparence de Google : transparencyreport.google.com/safe-browsing/search. Entre l'URL pour vérifier si Google la signale comme dangereuse.

Signaler un courriel de phishing au Canada

Signaler les tentatives de phishing aide à protéger les autres Canadiens. Voici où signaler :

Centre canadien de lutte contre les arnaques (CAFC) : antifraudcentre.ca ou 1-888-495-8501. C'est l'organisme national pour les fraudes et arnaques.
Centre antispam canadien (CRTC) : fightspam.gc.ca. Pour le spam et les courriels frauduleux qui violent la Loi canadienne anti-pourriel (LCAP).
À ton fournisseur de messagerie : Dans Gmail, Outlook, et la plupart des services de messagerie, tu peux signaler un courriel comme phishing directement (icône de signalement). Ça aide les filtres à bloquer les futures tentatives similaires.
À l'organisation imitée : Desjardins, la Banque Nationale, et les grandes banques canadiennes ont des adresses pour signaler les faux courriels en leur nom. Cherche « signaler phishing [nom de la banque] » pour trouver leur canal officiel.

Si tu as cliqué — protocole d'urgence 5 étapes

🚨 Ne panique pas. Agis rapidement et méthodiquement.

Déconnecte immédiatement ton appareil du réseau. Désactive le WiFi et les données mobiles. Ça peut limiter les dommages si un logiciel malveillant essaie de communiquer avec ses serveurs.

N'entre aucune information. Si la page demandait des informations mais que tu ne les as pas encore entrées, ferme la fenêtre immédiatement sans rien saisir.

Change tes mots de passe depuis un appareil sécurisé différent. Commence par le mot de passe du compte le plus sensible potentiellement compromis. Utilise ton gestionnaire de mots de passe sur un autre appareil ou ordinateur.

Appelle ta banque si des informations financières étaient impliquées. Desjardins : 1-800-224-7737. Les grandes banques canadiennes ont des lignes d'urgence disponibles 24h/24 pour les fraudes.

Lance un scan antivirus complet et signale l'incident. Utilise Windows Defender (intégré à Windows 10/11) ou Malwarebytes pour un scan complet. Signale ensuite au Centre antifraude du Canada (1-888-495-8501) et à ton fournisseur de messagerie.

💡 Le phishing touche tout le monde — même les experts en sécurité Des attaques ciblées (spear phishing) sont personnalisées avec des détails vrais sur toi — ton nom, ton employeur, un achat récent. Ne te sens pas stupide si tu as été piégé. L'important est d'agir rapidement et d'apprendre à reconnaître les signaux pour la prochaine fois.

Questions fréquentes

J'ai cliqué sur un lien de phishing — que faire?

Ne panique pas. Déconnecte-toi immédiatement du réseau. Si tu as entré des informations, change tes mots de passe depuis un autre appareil sécurisé. Si c'était des infos bancaires, appelle ta banque immédiatement (Desjardins : 1-800-224-7737). Lance un scan antivirus. Signale l'incident au Centre antifraude du Canada (1-888-495-8501).

L'ARC m'a envoyé un courriel, est-ce légitime?

Probablement pas si c'est urgent avec un lien. L'ARC n'envoie généralement pas de courriels avec des liens demandant une action immédiate. L'ARC communique principalement par courrier postal ou via Mon dossier sur Canada.ca. Si tu reçois un courriel prétendant venir de l'ARC, accède directement à Canada.ca (sans cliquer sur le lien du courriel) pour vérifier.

Comment vérifier si un lien est dangereux sans cliquer?

Sur ordinateur, survole le lien — l'URL réelle s'affiche en bas du navigateur. Tu peux aussi copier le lien (clic droit → copier l'adresse) et le coller dans URLScan.io ou VirusTotal pour analyser sans y accéder. Méfie-toi des URLs avec de légères variations du domaine officiel (arc-canada.net au lieu de canada.ca).

Le phishing par texto (smishing) est-il aussi dangereux?

Oui, et souvent plus efficace parce que les gens sont plus confiants avec les textos. Les mêmes règles s'appliquent : ne clique jamais sur un lien dans un texto inattendu de ta banque, de Postes Canada, ou du gouvernement. Accède toujours directement au site officiel. Tu peux signaler les textos frauduleux au 7726 (SPAM) — ça fonctionne chez la plupart des opérateurs canadiens.

⚠️ Avis : Cet article est fourni à titre informatif seulement. Il ne constitue pas un avis juridique. Si tu es victime de fraude ou de vol d'identité, consulte le Centre antifraude du Canada (antifraudcentre.ca) et contacte ton institution financière immédiatement.

Comment reconnaître un courrielde phishing au Canada