Sylvie, 52 ans, propriétaire d’une petite boutique à Lévis, m’écrivait la semaine dernière : « je lis les nouvelles, je vois ransomware partout, fuite de données partout, je me sens dépassée. J’ai même plus envie d’ouvrir les emails de ma banque. Est-ce que je suis folle d’avoir peur? »
Non Sylvie, t’es pas folle. Et t’es pas toute seule. Selon un sondage de Léger réalisé pour l’Autorité des marchés financiers en 2025, 68 % des Québécois se disent « très préoccupés » par les fraudes en ligne — c’est 12 points de plus qu’il y a deux ans.
Le problème, c’est que la vague d’actus cyber est tellement continue que le cerveau finit par décrocher. On passe de la panique au cynisme, sans jamais s’arrêter sur ce qui compte vraiment pour nous.
Alors ce mois-ci, je fais le tri. Pas une revue exhaustive à l’américaine. Juste les incidents d’avril 2026 qui affectent (ou pourraient affecter) un Québécois — avec le contexte, les actions concrètes, et ce qu’on peut ignorer sans danger.
Loblaw : la fuite qui touche (peut-être) tes PC Optimum
Début avril, Loblaw Companies Limited — la compagnie mère de Provigo, Maxi, Pharmaprix, Shoppers Drug Mart et un bon paquet d’autres enseignes au Canada — a notifié ses clients d’une cyberattaque ayant mené à une compromission de données.
Pour nous autres au Québec, ça veut dire que ton compte PC Optimum, tes achats en ligne chez Provigo, ou toute interaction avec leurs plateformes, peuvent être concernés.
Ce qu’on sait pour l’instant
Loblaw est resté volontairement vague sur le périmètre exact. Ce que j’ai pu croiser comme info crédible :
- La brèche touche une base de données interne, pas les paiements en magasin
- Les cartes de crédit traitées en caisse via Interac/Visa-Moneris ne sont pas compromises (elles ne passent pas par les serveurs Loblaw)
- Les données potentiellement exposées : nom, courriel, numéro PC Optimum, historique d’achats, peut-être l’adresse
- Pas de mots de passe en clair selon Loblaw (hashés — mais on verra à l’autopsie)
Honnêtement? Je prends ces communiqués avec des pincettes. On a vu Desjardins en 2019 sous-estimer l’ampleur pendant des mois. Ma recommandation : présumer que tes données de base sont dehors et agir comme si.
Ce que je ferais si j’étais toi
- Va dans ton compte PC Optimum → change le mot de passe (unique, 16 caractères min, dans un gestionnaire)
- Active le 2FA si l’option existe (ça arrive progressivement)
- Surveille ton courriel : les fraudeurs vont cibler les clients Loblaw avec du phishing « Votre compte a été bloqué suite à l’incident, cliquez ici… » — ne clique jamais sur un lien dans ces emails, va directement sur pcoptimum.ca
- Si tu vois des transactions Interac ou Visa bizarres dans ton relevé d’avril-mai, appelle ta banque
Un détail qui tue : Loblaw offre « 12 mois de surveillance de crédit gratuite » via un tiers. C’est mieux que rien, mais sache que ces services détectent les fraudes après qu’elles aient eu lieu. Mon conseil : gel de crédit à Equifax et TransUnion Canada — c’est gratuit, permanent, et ça bloque proactivement l’ouverture de nouveaux crédits en ton nom.
Adobe : 13 millions de tickets support fuités
Le 8 avril, un acteur qui s’autoproclame « Mr. Racoon » a revendiqué une fuite massive chez Adobe :
- 13 millions de tickets de support client
- 15 000 dossiers d’employés
- Documents internes, y compris le programme bug bounty
Pour un Québécois utilisateur de Creative Cloud, Photoshop, Acrobat Pro, Lightroom? Ce qui inquiète c’est pas ton abonnement lui-même — c’est que si t’as déjà contacté le support Adobe, ton courriel, ton nom, ton numéro de compte, et parfois le contenu de ta conversation sont probablement dans la fuite.
Le risque direct : phishing ciblé. Imagine recevoir dans 2 mois un courriel « Bonjour Sylvie, suite à votre ticket #482913 concernant Lightroom, nous devons vérifier vos informations de paiement… » — avec le vrai numéro de ticket. Ça prend une force mentale inhumaine pour ne pas cliquer.
Ce que je recommande : active le 2FA sur ton compte Adobe aujourd’hui si c’est pas déjà fait. Settings → Security → Two-step verification. Utilise une app authenticator (Aegis, 2FAS, Raivo), pas les SMS. Ça prend 4 minutes et ça te protège pour la suite.
LiteLLM / Mercor : quand l’IA devient la faille
Moins médiatisé mais intéressant : le projet open-source LiteLLM (utilisé par l’entreprise Mercor pour brancher des modèles IA) a été compromis en avril. Les attaquants ont exfiltré :
- Des données Slack internes
- Des vidéos de conversations entre contractuels Mercor et un système IA
Pourquoi c’est important pour un Québécois ordinaire? Parce que ça confirme une tendance : plus les entreprises intègrent l’IA dans leurs workflows, plus la surface d’attaque explose. Si ton employeur utilise ChatGPT Enterprise, Claude, Copilot, ou n’importe quel outil IA avec tes données, pose-toi la question : qu’est-ce qui se passe si leur fournisseur se fait compromettre?
C’est pas paranoïa. C’est le bon réflexe en 2026.
Mythos : une IA qui trouve des 0-days toute seule
L’actu qui a fait trembler les équipes de sécurité partout dans le monde : Anthropic (la compagnie derrière Claude) a publié puis restreint son modèle preview Mythos après avoir constaté qu’il trouvait et exploitait de manière autonome des failles zero-day dans tous les OS majeurs et les navigateurs principaux.
Je résume en français clair : une IA a découvert seule, sans direction humaine, comment casser Windows, macOS, Linux, iOS, Android, Chrome, Safari, Firefox — toutes les plateformes. Palo Alto Networks a averti que des capacités similaires sont à « quelques semaines ou quelques mois » d’être disponibles chez des acteurs malveillants.
Pour un particulier, ça change quoi? Dans les 6 mois, probablement rien de visible. Dans 12-18 mois? On entre dans une ère où les vulnérabilités seront trouvées et exploitées plus vite que les éditeurs ne peuvent patcher. Ma prédiction : les attaques opportunistes vont se multiplier, et ceux qui ne patchent pas dans la semaine seront la cible facile.
Action immédiate : active les mises à jour automatiques partout. iOS, macOS, Windows, Android, navigateur, routeur. C’est pas sexy, mais ça va devenir la ligne Maginot de la défense personnelle.
ChipSoft (Pays-Bas) : le signal santé qu’on devrait surveiller
Le 7 avril, ChipSoft, un fournisseur néerlandais de logiciel hospitalier, a été frappé par un ransomware qui a perturbé ses services publics. Des hôpitaux entiers ont dû revenir au papier.
Pourquoi je mentionne ça dans un article québécois? Parce qu’au Québec, on a eu notre propre équivalent : la cyberattaque contre le Centre de services scolaire du Fer en février 2026, et avant ça, le CIUSSS de la Capitale-Nationale qui a été touché en 2023. Les cibles santé et éducation sont les préférées des ransomwares parce que les données patient valent cher et parce que les institutions publiques paient plus souvent qu’elles veulent bien l’admettre.
Si tu travailles dans le réseau de la santé ou en milieu scolaire au Québec : questionne ton équipe TI sur les backups offline (pas juste cloud). Parle-leur du principe 3-2-1 : 3 copies, 2 supports différents, 1 hors site. Si la réponse est « on a Microsoft 365, on est safe », c’est un drapeau rouge.
Bulletins du Centre canadien pour la cybersécurité — avril 2026
Le Centre canadien pour la cybersécurité (cyber.gc.ca) a publié plusieurs alertes critiques ce mois-ci. Voici celles qui te concernent probablement :
Vulnérabilités Qualcomm (bulletin AV26-335)
Le correctif mensuel Qualcomm d’avril corrige des failles critiques dans les puces utilisées par la majorité des téléphones Android. Si t’as un Samsung, Google Pixel, Motorola récent : vérifie que ton téléphone a reçu la mise à jour de sécurité d’avril 2026. Settings → About phone → Software update.
Fortinet FortiClientEMS
Vulnérabilité critique dans FortiClientEMS. Concerne les entreprises qui utilisent cette solution VPN/endpoint. Si c’est ta compagnie, contacte ton équipe TI aujourd’hui pour confirmer que le patch est appliqué.
Citrix NetScaler ADC et Gateway
Autre faille critique dans un produit Citrix utilisé par de nombreuses moyennes et grandes entreprises au Québec. Les attaquants s’en servent déjà activement. Pas le temps d’attendre la fenêtre de maintenance — patcher cette semaine, point final.
Coopération France-Québec sur la souveraineté numérique
Un point plus politique mais qui compte : la France et le Québec ont annoncé en avril un renforcement de leur coopération en matière de souveraineté numérique de l’administration publique.
Concrètement? Plus d’échanges de bonnes pratiques, possibles collaborations sur le chiffrement, la protection des données citoyennes, et la résilience des systèmes gouvernementaux. C’est du long terme, mais c’est un bon signe : le Québec prend le sujet au sérieux au-delà des simples campagnes de sensibilisation.
Mon opinion? Il était temps. On a la Loi 25 depuis 2022, mais l’application reste inégale. Voir le Québec s’inspirer de ce que la France a appris avec le RGPD peut accélérer les choses.
Tendances de fond que je suis en avril 2026
En dehors des incidents spécifiques, trois tendances méritent ton attention :
1. L’effondrement des défenses de périmètre
Le vieux modèle « on met un firewall, on est safe » est mort. Les attaquants rentrent par les comptes Microsoft 365 compromis, les VPN mal patchés, les fournisseurs SaaS piratés. La défense moderne, c’est le zero trust : on assume que l’ennemi est déjà dedans, et on restreint les permissions au strict minimum.
Pour un particulier, ça se traduit par : 2FA partout, gestionnaire de mots de passe, isolation des comptes (jamais utiliser le compte admin de ton Mac pour naviguer le web).
2. Le ransomware évolue vers la double extorsion
Plus seulement « paye ou t’as pas tes fichiers ». Maintenant c’est « paye, ou on publie tes données sur notre site de fuite ». Ransomware.live tient un dashboard temps réel des victimes publiées — j’y vois passer des PME québécoises chaque mois.
3. Les attaques nation-state touchent le civil
Avant, on disait « c’est pour les gouvernements, les journalistes, les militants ». En 2026, les outils nation-state fuient et se retrouvent dans des mains criminelles. Le Citizen Lab de Toronto documente régulièrement des cas où des outils de surveillance type Pegasus sont utilisés contre des citoyens ordinaires — activistes climatiques, avocats, parfois même leurs proches.
Si t’es journaliste, élue, militant, ou famille de l’un d’entre eux : active le mode Lockdown sur ton iPhone (Settings → Privacy & Security → Lockdown Mode). Sur Android, évite les mods/sideload et reste sur le Play Store officiel.
Comment suivre l’actu cybersécurité sans devenir fou
Parce que je sais que le volume est écrasant, j’ai préparé une liste de flux RSS fiables (FR + EN) qu’on utilise nous-mêmes chez Sequr. Quelques incontournables :
- Radio-Canada Cybersécurité (grand public FR)
- Centre canadien pour la cybersécurité (bulletins officiels FR)
- Krebs on Security (investigation EN — le meilleur)
- BleepingComputer (news tech EN, plusieurs par jour)
- Citizen Lab (spyware et surveillance, basé à Toronto)
L’idée c’est pas de tout lire — c’est de scanner 30 minutes le lundi matin, et de noter ce qui touche ton contexte (particulier, PME, secteur santé, etc.).
On a mis en place un lecteur RSS interne chez Sequr pour nos clients abonnés. Si t’es intéressée Sylvie (et toi qui lis), on te donne accès : ou écris via sequr.ca.
Ton plan d’action pour cette semaine
Je t’épargne le laïus. Si tu fais juste ces 5 choses d’ici dimanche, tu te protèges contre 95 % de ce qui passe dans les actus :
- Mise à jour tous tes appareils (iPhone, Mac, PC, Android, iPad) — active les mises à jour automatiques
- Change ton mot de passe PC Optimum si t’es client Loblaw/Provigo/Maxi/Pharmaprix
- Active le 2FA sur 5 comptes : courriel principal, banque, Apple/Google ID, Facebook, Amazon (app authenticator, pas SMS)
- Gel de crédit préventif chez Equifax Canada et TransUnion Canada (gratuit, en ligne, 15 min total)
- Vérifie tes backups : ton Mac Time Machine fonctionne? Ton PC a un backup externe déconnecté? Tes photos iCloud sont synchronisées?
Si tu bloques sur une étape, c’est normal. Ce genre de sujet se fait mieux avec quelqu’un à l’autre bout du téléphone qui t’explique chaque case à cocher. C’est exactement ce qu’on fait chez Sequr — un agent certifié québécois, pas un chatbot Indien. ou sequr.ca.
En résumé
Avril 2026 a été lourd. Loblaw, Adobe, ChipSoft, des failles Qualcomm et Citrix, une IA autonome qui trouve des 0-days — et on n’est même pas à la moitié du mois.
Mais la panique aide personne. Les actions concrètes, oui. Active tes mises à jour, renforce tes comptes critiques, mets en place un gel de crédit. Et surtout : arrête de lire toutes les actus cyber en anglais à 11 h du soir — ça te met juste en boucle d’anxiété sans rien régler.
La cybersécurité pour un Québécois en 2026, c’est pas une quête héroïque. C’est de l’hygiène quotidienne. Cinq minutes par semaine. Un appel quand ça bloque.
Et entre deux actus anxiogènes, souviens-toi : la majorité des Québécois qui se font avoir, se font avoir par des arnaques simples (fake texto Hydro, fake appel ARC, mot de passe réutilisé). Tu bloques ça, tu bloques 95 % du risque.
Le reste, c’est notre job.
Besoin d’aide pour sécuriser ta maison numérique? Sequr offre un audit gratuit par téléphone avec un agent certifié québécois. ou écris via sequr.ca.
