Sabrina, de Gatineau, a commandé une paire d’écouteurs à 89 $ sur un site qu’elle a trouvé via une publicité Instagram en janvier 2025. Le site avait l’air professionnel : photos HD, avis 5 étoiles, section FAQ complète. Elle a payé par carte Visa. Deux semaines plus tard : aucun colis, le site avait disparu, et le numéro de service client sonnait dans le vide. Sa banque lui a remboursé la somme après une contestation de 3 semaines — mais son numéro de carte avait été compromis et utilisé pour acheter pour 340 $ de services en ligne.
Les boutiques frauduleuses ont atteint un niveau de sophistication qui dépasse largement les vieilles arnaques eBay des années 2000. Ce guide vous montre les outils concrets pour acheter en ligne au Canada sans que vos données financières finissent entre de mauvaises mains.
Pourquoi les achats en ligne restent risqués malgré les progrès
Le commerce en ligne canadien a dépassé 80 milliards de dollars en 2024 (Statistique Canada), et la fraude a suivi la même courbe. Visa Canada rapporte que la fraude sans présentation de carte (card-not-present fraud) — qui inclut les achats en ligne — représente la majorité des pertes de fraude par carte au Canada.
La raison fondamentale : lors d’un achat en ligne, vous transmettez vos informations de carte complètes (numéro, date d’expiration, CVV) à chaque transaction. Si le site est frauduleux, ces données sont capturées immédiatement. Si le site est légitime mais piraté (skimming côté serveur, aussi appelé formjacking), vos données peuvent être volées sans que le marchand le sache.
En 2022, une campagne de formjacking a compromis des milliers de boutiques Magento dans le monde — y compris des boutiques canadiennes de taille moyenne. Les clients payaient normalement, les commandes étaient livrées, mais leurs numéros de carte étaient simultaneously envoyés à des serveurs en Russie.
La carte de crédit virtuelle : votre meilleure protection
Le principe d’une carte virtuelle est simple : plutôt que d’utiliser votre vrai numéro de carte lors d’un achat en ligne, vous générez un numéro temporaire ou à usage unique. Si ce numéro est compromis, il ne peut pas être utilisé ailleurs — votre vrai numéro de carte reste intact.
Desjardins : numéros de carte virtuelle via AccèsD
Desjardins offre la fonctionnalité la plus complète parmi les institutions financières québécoises.
Comment y accéder :
- Connectez-vous à AccèsD (accèsd.com ou app mobile)
- Allez dans “Cartes de crédit” → sélectionnez votre carte
- Cherchez “Numéro de carte virtuelle” ou “Carte virtuelle”
Ce que vous pouvez configurer :
- Un numéro unique pour chaque achat (expire après une transaction)
- Un numéro lié à un marchand spécifique (ne fonctionne que sur ce site)
- Un plafond de montant (empêche des débits supérieurs à ce que vous attendez)
- Une durée de validité personnalisée
La facturation revient sur votre vrai compte Caisse Desjardins — vous voyez les transactions normalement dans AccèsD. La carte virtuelle est juste un écran entre votre vrai numéro et Internet.
TD Bank : TD MySpend et eShopping Card
TD offre une carte virtuelle via son service en ligne pour les titulaires de carte TD Visa. La fonctionnalité est disponible dans le portail en ligne de TD (non disponible dans toutes les provinces — vérifiez avec votre succursale).
Les cartes eShopping TD génèrent un numéro à usage unique valide pour une seule transaction.
BMO : carte virtuelle en développement
BMO a annoncé en 2024 l’expansion de ses services de carte virtuelle, auparavant limités aux clients Mastercard. Vérifiez votre espace client BMO ou contactez votre conseiller pour la disponibilité actuelle selon votre type de carte.
RBC, Scotiabank, CIBC
Ces institutions offrent des programmes de numéro virtuel variables selon le type de carte. RBC a notamment intégré des protections supplémentaires via son programme RBC Rewards Visa Infinite. Contactez votre institution pour les options disponibles sur votre carte spécifique.
Services tiers : Privacy.com et alternatives canadiennes
Privacy.com est populaire aux États-Unis mais ses services sont limités au marché américain (comptes bancaires US requis). Des équivalents canadiens existent mais restent peu développés comparé au marché américain.
Alternative pratique : Certaines cartes prépayées Visa ou Mastercard (disponibles chez Desjardins, chez certaines épiceries ou pharmacies) peuvent servir de tampon. Vous y chargez le montant exact dont vous avez besoin pour un achat spécifique. Si la carte est compromise, le dommage maximum est limité au solde de la carte.
3D Secure : comment ça fonctionne et pourquoi c’est important
3D Secure (3DS) est un protocole d’authentification développé par Visa et Mastercard pour sécuriser les transactions en ligne. Vous l’avez peut-être vu sous d’autres noms :
- Verified by Visa (Visa)
- Mastercard Identity Check (anciennement SecureCode)
- American Express SafeKey (Amex)
Comment ça se passe concrètement
Vous êtes sur un site qui supporte 3DS. Vous entrez vos informations de carte. Avant de confirmer le paiement, une étape supplémentaire apparaît :
- Une fenêtre popup de votre banque s’ouvre
- Elle vous demande de confirmer votre identité
- Méthode la plus courante : code envoyé par SMS ou notification push via votre app bancaire
- Méthode alternative : empreinte digitale ou Face ID via l’app de votre banque
Si vous n’avez pas accès au code (mauvais numéro de téléphone enregistré, pas d’app), la transaction peut être bloquée ou approuvée selon les paramètres de votre banque.
Version 3DS2 : plus fluide, plus intelligent
La version 2 du protocole (déployée par la plupart des banques canadiennes depuis 2022-2023) est beaucoup moins intrusive. Elle analyse en arrière-plan des dizaines de signaux de risque (appareil connu, localisation, montant habituel) et ne demande une vérification supplémentaire que si quelque chose semble suspect. Pour vos achats habituels sur Amazon, vous ne verrez souvent rien.
Vérifier si votre carte supporte 3DS
Chez la plupart des institutions canadiennes, 3DS est activé automatiquement sur les cartes de crédit modernes. Vérifiez en vous connectant à votre espace client et en cherchant “Verified by Visa” ou “Mastercard Identity Check” dans vos paramètres de sécurité.
Si votre numéro de téléphone enregistré pour les SMS de vérification a changé, mettez-le à jour — sinon vous pourriez vous retrouver bloqué lors d’un achat.
Identifier une boutique frauduleuse : 12 signaux d’alerte
Les boutiques frauduleuses se sont améliorées, mais elles ont encore des patterns reconnaissables.
Signaux forts (un seul suffit à être très méfiant)
1. Prix irréalistes iPhone 15 Pro à 299 $. Chaussures Nike à 29 $. Air Jordan à 45 $. Les fraudeurs savent que les prix très bas attirent. Si le prix est 50-70% en dessous du marché, c’est presque certainement une arnaque ou un produit contrefait.
2. Domaine créé récemment Vérifiez sur whois.domaintools.com ou who.is en entrant l’URL du site. Un site vendant des électroniques haut de gamme enregistré il y a 3 semaines : signal d’alarme immédiat.
3. Absence d’adresse physique vérifiable Les boutiques légitimes ont une adresse physique réelle. Copiez-la dans Google Maps. Si c’est une adresse fictive, un parking, ou un immeuble de bureaux génériques sans locataire identifiable, méfiez-vous.
4. Conditions de retour vagues ou inexistantes Les fraudeurs évitent les politiques de retour claires parce qu’ils ne prévoient jamais de traiter des retours.
5. Pas de HTTPS — ou HTTPS mal configuré HTTPS (cadenas dans la barre d’adresse) est nécessaire mais pas suffisant. Les sites frauduleux ont souvent des certificats SSL aussi — ça prend 5 minutes à obtenir gratuitement. Mais l’absence de HTTPS sur une page de paiement en 2026 est rédhibitoire.
Signaux modérés (combinaison de plusieurs = danger)
6. Avis trop parfaits Tous les avis sont 5 étoiles, en anglais standard générique, sans détails spécifiques sur les produits. Des avis réels incluent des critiques, des questions, des photos de clients.
7. Pas de présence sur les réseaux sociaux vérifiable Les boutiques légitimes ont des comptes sociaux avec une histoire. Un Facebook créé le mois dernier avec 50 posts génériques = fabrication.
8. Service client par email seulement Aucun numéro de téléphone, aucun chat en direct, aucune adresse physique. L’email seul facilite la disparition sans laisser de trace.
9. Grammaire et fautes de français/anglais Des erreurs de langue fréquentes dans les descriptions de produits et les conditions générales suggèrent un site créé à l’étranger avec une traduction automatique.
10. Méthodes de paiement limitées ou inhabituelles Un site qui n’accepte que les virements bancaires, les crypto, Western Union, ou Interac sans option de carte de crédit vous prive de toute protection. Les sites légitimes acceptent Visa et Mastercard.
11. URL suspecte pour un site connu
amazon-ca-promo.com, bestbuy-liquidation.net, canadian-tire-sale.shop. Les détaillants connus n’opèrent pas depuis des domaines alternatifs.
12. Demande d’informations excessives Un site qui demande votre NAS ou votre date de naissance pour un achat de t-shirts n’a aucune raison légitime de le faire.
Les meilleures pratiques par type d’achat
Sites connus (Amazon, Best Buy Canada, Canadian Tire, Costco.ca)
Risque principal : faux vendeurs tiers sur les marketplaces. Sur Amazon Canada, des vendeurs tiers frauduleux peuvent lister des produits contrefaits ou ne jamais livrer.
- Privilégiez “Vendu et expédié par Amazon”
- Vérifiez les notes du vendeur tiers (nombre d’avis, ancienneté)
- Payez via votre carte de crédit (pas un solde gift card) pour garder l’option de contestation
Sites moins connus découverts via publicités sociales
C’est le terrain de chasse principal des boutiques frauduleuses. Instagram, TikTok et Facebook sont inondés de publicités pour des boutiques fictives.
- Appliquez la checklist des signaux d’alerte ci-dessus
- Cherchez “[nom boutique] scam” ou “[nom boutique] avis” avant d’acheter
- Utilisez une carte virtuelle ou PayPal pour la première commande
- Commencez par une petite commande pour tester
Kijiji et Facebook Marketplace
Pour les achats entre particuliers, les risques sont différents : escroqueries de paiement (faux virements, chèques frauduleux), articles non conformes, no-shows.
- Pour les articles de valeur, préférez les transactions en personne avec paiement cash ou Interac immédiat
- Ne jamais accepter un paiement “en avance” pour un article que vous vendez avant de l’expédier (fraude à la rétrofacturation)
- Méfiez-vous des acheteurs qui veulent payer plus et vous demander de rembourser la différence
Que faire si votre carte a été compromise lors d’un achat en ligne
Immédiatement :
- Appelez le numéro au dos de votre carte (disponible 24h) pour signaler et bloquer
- Demandez l’émission d’une nouvelle carte avec un nouveau numéro
- Listez tous les services qui ont votre numéro actuel (abonnements Netflix, Prime, etc.) pour les mettre à jour avec le nouveau numéro
Dans les 48h :
- Passez en revue vos transactions récentes — signalez tout ce que vous n’avez pas autorisé
- Déposez une plainte au CAFC (antifraudcentre.ca) avec les détails de la boutique
- Si vous avez créé un compte sur le site frauduleux, votre email et mot de passe sont aussi compromis — changez-les si réutilisés ailleurs
Pour la contestation : La rétrofacturation (chargeback) s’initie en contactant votre banque ou caisse. Vous devez fournir :
- Preuve de l’achat (confirmation de commande par email)
- Preuve que vous n’avez pas reçu l’article ou qu’il était non conforme
- Communication avec le marchand montrant qu’il n’a pas résolu le problème
Les banques canadiennes ont généralement une fenêtre de 60 à 120 jours pour contester une transaction selon les règles Visa/Mastercard.
PayPal : une couche de protection supplémentaire
PayPal ajoute une couche d’abstraction utile : le marchand ne voit jamais votre numéro de carte. Il reçoit seulement un paiement de PayPal. Votre information financière reste chez PayPal, pas chez le millier de boutiques où vous achetez.
Le programme de protection acheteur PayPal couvre :
- Articles non reçus
- Articles significativement non conformes à la description
Il ne couvre pas les transactions marquées “entre amis” (Friends & Family) — une méthode que les fraudeurs demandent précisément parce qu’elle contourne la protection.
Conseil : Payez via PayPal avec votre carte de crédit (pas via votre solde PayPal ou compte bancaire lié). Si PayPal refuse la réclamation, vous avez encore la rétrofacturation via votre carte de crédit comme recours secondaire.
Sécurité réseau lors des achats : le WiFi public
Une précaution souvent négligée : évitez les achats en ligne sur des réseaux WiFi publics non sécurisés (cafés, aéroports, hôtels). HTTPS chiffre la connexion entre votre navigateur et le site, mais ça ne protège pas contre certaines attaques réseau avancées.
Si vous devez acheter sur un réseau public, utilisez un VPN. Pour une recommandation adaptée au Québec, notre article sur les VPN légaux no-log au Québec liste les options fiables.
Et sur votre réseau domestique, assurez-vous que votre routeur WiFi est correctement sécurisé — notre guide sur la sécurisation du routeur WiFi maison couvre les étapes essentielles.
Le rôle de l’authentification forte (2FA) sur vos comptes de magasinage
Vos comptes Amazon, eBay, ou Costco.ca sont souvent liés à une carte de crédit sauvegardée. Un compte compromis permet des achats directs sans connaître votre numéro de carte.
Activez le 2FA sur tous les comptes de commerce en ligne majeurs où une carte est sauvegardée. La procédure varie par site, mais se trouve généralement dans Paramètres → Sécurité → Authentification à deux facteurs.
Notre article sur le 2FA SMS vs application et SIM swapping explique pourquoi l’application d’authentification est préférable au SMS pour ces comptes.
Les ressources officielles canadiennes
- Signalement de fraude : antifraudcentre.ca | 1-888-495-8501
- Bureau de la concurrence Canada : competitionbureau.gc.ca (arnaques commerciales)
- BBB (Better Business Bureau) : bbb.org/canada — vérification de marchands, signalement
Acheter en ligne en sécurité au Canada en 2026 ne demande pas d’expertise technique. Trois habitudes couvrent la majorité des risques : utiliser une carte virtuelle (ou une carte de crédit plutôt qu’une carte de débit), vérifier les signaux d’alerte d’un nouveau site avant d’acheter, et activer 3D Secure sur vos cartes. Le reste — rétrofacturation, protection PayPal — est votre filet de sécurité si quelque chose passe quand même.
Si vous avez été victime de fraude en ligne ou si vous gérez la sécurité numérique d’une PME québécoise, Sequr peut vous accompagner.
