Chaque semaine, je reçois des appels au bureau de gens qui voulaient “juste une info sur nos services”… et au final, on finit par parler d’un truc beaucoup plus sérieux : ils viennent de se faire arnaquer.
Et le pire, c’est que souvent, la personne ne comprend même pas comment c’est arrivé. Elle me dit : “Je sais pas… j’ai juste cliqué une fois.”
Oui. C’est souvent juste ça.
Ce guide couvre les quatre scénarios que je vois le plus souvent, comment les fraudeurs obtiennent vos informations, et surtout — quoi faire maintenant si vous pensez être concerné.
Ce que je vois le plus souvent
1 — Hotmail piraté → l’attaquant s’en sert contre votre famille
Le scénario revient tout le temps, surtout avec Hotmail/Outlook.
Quelqu’un se fait piéger par un email de phishing (ou un faux login). L’attaquant prend le contrôle de la boîte. Il fouille, il lit, il comprend comment la personne parle. Puis il envoie un message à tous les contacts : famille, amis, collègues.
Et là, ça devient sal :
“Je suis à l’hôpital."
"J’ai un problème urgent."
"Peux-tu m’envoyer de l’argent ?”
Les proches appellent en panique, ou pire : ils envoient de l’argent parce qu’ils pensent aider “pour vrai”.
Et là, le client me dit : “Mais… ils ont mon email. Ils parlent comme moi. Comment c’est possible ?“
2 — Fausses pages de banque → le piège Marketplace / Kijiji
Tu vends un article sur Marketplace ou Kijiji. Quelqu’un te contacte : “Ça m’intéresse. Je te le réserve avec un dépôt.”
Jusque-là, ça a l’air normal.
Ensuite il t’envoie un “virement Interac”… sauf que ce n’est pas un vrai. C’est un lien qui t’amène sur une page qui ressemble à Interac ou à ta banque : Desjardins, TD, BNC, Scotia, RBC… peu importe.
Tu te dis : “Ok je vais accepter.” Tu entres tes infos. Et là… les dégâts commencent.
Parce que ce que tu viens de faire, c’est pas “accepter un virement”. C’est donner tes accès. Et souvent, le compte se fait vider vite : virements, achats, ou même prise de contrôle complète.
3 — Android “infecté” → pubs qui sortent sans arrêt
Pixel, Samsung, Motorola, peu importe la marque : des pubs qui poppent à chaque seconde, des notifications bizarres, le navigateur qui ouvre des pages tout seul, le téléphone qui ralentit.
La personne pense : “C’est un virus.”
Parfois oui. Souvent, c’est plutôt : une app toxique installée “sans le vouloir”, un faux nettoyage, des permissions trop larges, ou un navigateur bourré d’adwares.
Et ça coûte du temps : il faut diagnostiquer, nettoyer, sécuriser, parfois sauvegarder. Souvent le client doit se passer de son appareil un moment.
4 — Faux policiers, faux support technique, faux pop-up
Les arnaques “pression psychologique” :
- Faux message “GRC / police / mandat”
- Pop-up qui bloque l’écran : “Votre PC est infecté, appelez ce numéro”
- Centre d’appels qui te harcèle pour “régler un problème”
- Puis ils demandent accès à ta machine (AnyDesk, TeamViewer, etc.)
Ça finit parfois en vol de mots de passe, vol bancaire, ou extorsion.
Comment ils savent tout ça sur vous — et pourquoi ça marche si souvent
Quand les gens m’appellent après une fraude, la phrase que j’entends le plus c’est : “Mais comment ils savent toutes ces infos sur moi ?”
La vérité, c’est que dans 90% des cas, vous n’avez pas été “ciblé” personnellement. Vous avez été repéré facilement, parce que vos infos traînent déjà quelque part — et les fraudeurs savent très bien comment les utiliser.
Voici les 3 sources principales.
1 — Les fuites de données : vos infos sont peut-être sorties depuis longtemps
Un site se fait pirater. Dans la fuite, on retrouve souvent : email, numéro de téléphone, nom/prénom, parfois adresse, parfois mot de passe.
Et le pire là-dedans, c’est que ça peut dater de 5 ans, 10 ans… et ça sert encore aujourd’hui.
Je vois souvent des clients qui me disent : “Oui mais moi j’ai rien fait récemment…”
Justement. Ce n’est pas forcément récent. Les fraudeurs achètent, échangent et recyclent ces listes pendant des années. Et si vous utilisez la même adresse email depuis longtemps… vous avez des chances d’être dedans.
Le cas Desjardins — et d’autres
On l’a vu au Canada avec des dossiers connus comme Desjardins : même si l’événement date, les infos qui ont circulé (nom, email, téléphone, etc.) peuvent continuer à servir longtemps après. Les fraudeurs recyclent ça pour faire des arnaques crédibles : faux SMS “banque”, faux courriels, faux dépôts Interac, ou appels intimidants.
Et Desjardins n’est pas un cas unique : d’autres organisations canadiennes ont déjà vécu des incidents, et le principe reste le même — une donnée exposée une fois peut ressortir des années plus tard.
2 — La réutilisation des mots de passe : une seule fuite, et c’est la chaîne qui casse
Un client me dit : “J’ai un bon mot de passe, je le connais par cœur.”
Ok… mais s’il est utilisé sur plusieurs sites, ça devient dangereux.
Parce que les fraudeurs font un truc très simple : ils prennent votre email + le mot de passe trouvé dans une fuite, et ils essayent sur Hotmail/Outlook, Facebook/Instagram, Amazon, PayPal, et tout ce qui marche avec le même combo.
Ça s’appelle pas du “hacking de film”. C’est du test automatique à grande échelle.
Et quand ils entrent dans votre email… là, c’est souvent fini, parce que l’email sert à réinitialiser vos mots de passe, recevoir des codes, confirmer des connexions, retrouver vos comptes.
Si quelqu’un contrôle votre email, il contrôle une grosse partie de votre vie numérique.
3 — Les infos publiques : vous donnez déjà beaucoup… sans le vouloir
Facebook, Instagram, Marketplace, Kijiji… Un fraudeur a juste à regarder 2 minutes et il peut apprendre votre nom complet, votre ville, vos proches (souvent tagués), votre style d’écriture, vos habitudes, parfois votre numéro (beaucoup le mettent public sans le savoir).
Et c’est comme ça que les arnaques deviennent “crédibles”. Quelqu’un se fait pirater son Hotmail, et le fraudeur envoie un message à la mère, au frère, au meilleur ami. Le message paraît vrai parce qu’il vient de la bonne adresse, il parle comme la personne, il met une situation émotionnelle (urgence, accident, hôpital), et il demande une action rapide (argent, Interac, carte cadeau).
Le piège final : le recoupement
Les fraudeurs ne partent pas de zéro. Ils prennent une vieille fuite (email/téléphone), un mot de passe réutilisé, deux infos publiques, et ils construisent un scénario crédible.
C’est pour ça que les victimes me disent : “On dirait qu’ils me connaissent.”
Non. Ils vous connaissent pas. Ils ont juste assez d’infos pour vous mettre dans le doute… et vous pousser à faire une erreur. Les fraudeurs jouent sur une chose : l’émotion et la vitesse. Ils veulent que vous réagissiez avant de réfléchir.
La vérification concrète (simple, rapide, sans stress)
Quand quelqu’un m’appelle en panique, je commence presque toujours par la même chose : on vérifie si ses infos sont déjà sorties dans une fuite. Pas pour faire peur. Juste pour savoir à quoi on a affaire.
Vérifier avec Have I Been Pwned
Le site le plus simple pour ça : haveibeenpwned.com
Vous entrez votre adresse email (celle que vous utilisez partout : Hotmail, Gmail, etc.). Le site va vous dire si elle apparaît dans des fuites connues, et surtout où et quand.
Ce que vous devez regarder dans les résultats :
- Le nom du service (ex : un vieux site que vous aviez oublié)
- La date (parfois ça date de plusieurs années)
- Le type d’info exposée : email seulement ? mot de passe ? téléphone ? adresse ?
Si vous voyez “Passwords” dans la liste, ça veut dire une chose très simple : si vous avez réutilisé ce mot de passe ailleurs, c’est là que ça devient dangereux.
HaveIBeenPwned permet aussi de vérifier un numéro de téléphone dans certains cas. Si votre numéro est associé à des fuites, ça explique souvent pourquoi vous recevez plus de scams et de tentatives de “réinitialisation de compte”.
Vérifier si un mot de passe a déjà fuité
Ne tapez jamais votre mot de passe sur un site random trouvé sur Google. C’est comme ça qu’on se fait avoir une deuxième fois.
Deux options simples :
Option A (la plus simple) : partez du principe qu’il est peut-être compromis… et changez-le, surtout s’il a déjà servi ailleurs. Honnêtement, c’est souvent le meilleur réflexe.
Option B : sur HaveIBeenPwned, il existe une section dédiée aux mots de passe (“Pwned Passwords”). Le principe : vérifier si un mot de passe a déjà été vu dans des fuites sans envoyer le mot de passe complet.
Mais même là : le plus important, c’est pas “de tester” — c’est d’arrêter de réutiliser. Si un mot de passe a déjà servi sur plus d’un site, il est bon à remplacer.
Checklist : quoi faire maintenant
Je dis souvent aux clients : “On ne panique pas. On fait les bonnes actions dans le bon ordre.”
1 — Changer les mots de passe (mais pas n’importe comment)
Changer en priorité : email principal, banque, Facebook/Instagram, Apple ID/Google. Si un service apparaît dans une fuite, changer celui-là aussi.
Un mot de passe = un seul site. Parce que sinon, une fuite = tous les comptes tombent comme des dominos.
Un bon mot de passe, c’est long et unique. Si vous avez de la misère à gérer ça, un gestionnaire de mots de passe (KeePass, Bitwarden) fait la job.
2 — Activer le 2FA (ça bloque une grosse partie des piratages)
Activer sur : email (Hotmail/Gmail), Facebook/Instagram, Apple ID/Google, banque et services sensibles.
Si vous pouvez, choisissez une application (Authenticator) plutôt que le SMS. Le SMS, c’est mieux que rien, mais l’app est généralement plus solide.
Règle d’or : personne ne doit jamais vous demander votre code 2FA. Si quelqu’un le demande : c’est une fraude.
3 — Sécuriser la boîte email (c’est la clé)
Les gens pensent que c’est “juste un email”… non. L’email, c’est la clé qui permet de réinitialiser tous les autres comptes.
À faire :
- Changer le mot de passe de l’email en premier
- Activer le 2FA sur l’email
- Vérifier les options de récupération (numéro + email de secours) : est-ce que ce sont bien les vôtres ?
- Regarder s’il y a des redirections automatiques (“forwarding”), des règles qui envoient vos emails dans la corbeille, des appareils connectés que vous ne reconnaissez pas
Beaucoup de fraudeurs font ça : ils entrent, puis ils mettent une règle cachée pour rester invisible.
4 — Si l’email a été piraté : prévenir les proches tout de suite
C’est plate, mais c’est nécessaire. Le fraudeur peut écrire aux contacts et inventer une histoire : urgence, hôpital, accident. Envoyez un message clair à votre famille et amis :
“Mon email a été compromis. Si vous recevez un message d’urgence ou une demande d’argent, ignorez. Appelez-moi directement pour vérifier.”
Ça évite que quelqu’un tombe dans le piège pendant que vous sécurisez vos comptes.
5 — Banque et Interac : si vous avez entré vos infos sur une fausse page, appelez vite
Si vous avez cliqué sur un faux Interac ou une fausse page de banque et que vous avez tapé vos infos : appelez votre banque immédiatement, demandez de sécuriser le compte (blocage temporaire, vérification, changements d’accès), changez les identifiants dès que possible, surveillez les transactions et signalez tout ce qui est suspect.
Plus vous attendez, plus ça se complique. Dans ce type de fraude, le temps joue contre vous.
6 — Android envahi de pubs : ménage simple
Si le téléphone Android ouvre des pubs sans arrêt ou devient bizarre :
- Désinstaller les apps non installées “consciemment” (souvent un jeu, un “cleaner”, un scanner bidon, un VPN random)
- Vérifier les permissions des apps (accès SMS, accessibilité, affichage par-dessus les autres apps)
- Nettoyer le navigateur : enlever extensions/notifications de sites douteux, supprimer les permissions “notifications” données à des sites bizarres
- Mettre à jour Android + Play Protect
Si malgré ça ça continue : sauvegarder l’essentiel et faire un reset propre. Des fois, ça coûte moins de temps que courir après le problème pendant 2 semaines.
5 réflexes pour ne plus retomber dedans
1 — Ne pas cliquer sur les liens envoyés par message
Que ce soit par SMS, Messenger, email ou WhatsApp. Si votre banque, la SAAQ, Hydro-Québec ou Amazon vous envoie un lien, n’y allez pas. Ouvrez votre navigateur et tapez l’adresse directement. Le lien peut mener vers une page identique à l’originale — la différence est dans l’URL, pas dans le design.
2 — Un mot de passe différent par site — sans exception
La réutilisation de mot de passe est la première cause de comptes compromis au Canada. Un seul site qui se fait pirater et c’est tous vos comptes qui tombent. Un gestionnaire de mots de passe (Bitwarden, KeePass) génère et retient des mots de passe uniques pour chaque service.
3 — Ralentir devant tout ce qui est “urgent”
Les fraudeurs gagnent sur la vitesse. Dès qu’on vous met de la pression — “c’est urgent”, “vous avez 24h”, “votre compte sera bloqué” — ralentissez. Coupez la conversation. Vérifiez par vous-même en appelant le numéro officiel que vous trouvez sur le site réel, pas celui qu’on vous envoie.
4 — L’email, c’est la priorité numéro 1
Les gens sécurisent Facebook, mais laissent leur Hotmail/Outlook sans 2FA, avec un vieux mot de passe. Et après ça tombe.
Le réflexe : mot de passe unique, 2FA activé, options de récupération vérifiées (numéro + email secondaire).
5 — Quand ça sent mauvais : vérifiez avec une vraie personne
Les fraudeurs gagnent quand vous êtes pressé, stressé, ou que vous voulez “finir vite”. Ils veulent que vous agissiez avant de réfléchir.
Le réflexe : appelez la personne vous-même, ou appelez votre banque au numéro officiel — pas celui qu’on vous envoie.
En résumé
La plupart des fraudes que je vois commencent toujours pareil : une vieille fuite, un mot de passe réutilisé, puis un lien cliqué trop vite.
Prendre 10 minutes pour sécuriser son email et activer le 2FA bloque déjà une grosse partie des arnaques. Et la règle simple : si vous doutez, vous vérifiez avant de cliquer. Ça coûte rien… et ça évite souvent le pire.
La plupart des gens découvrent qu’ils ont été piratés trop tard. En suivant ces étapes, vous prenez une longueur d’avance. Protéger vos données, c’est protéger votre tranquillité — et celle de vos proches.
À lire aussi :
