Marc a reçu un texto hier matin : « Hydro-Québec : un remboursement de 74,32 $ est disponible. Réclamez-le ici : bit.ly/hq-remb2025 ».
Le montant était précis. Le ton était officiel. Le logo ressemblait à celui d’Hydro-Québec. Marc a cliqué.
Deux heures plus tard, il découvrait que ses informations bancaires avaient été saisies sur un faux site. Le numéro de carte de crédit, la date d’expiration, le CVV. Le tout parti en quelques secondes vers quelqu’un qu’il ne connaissait pas.
Ce scénario se répète des centaines de fois par jour au Québec. Et les chiffres sont alarmants : Hydro-Québec a enregistré 1 224 cyberattaques et tentatives d’hameçonnage en 2024, contre 76 en 2021. Une hausse de 1 500 % en trois ans.
Les fraudeurs ont compris quelque chose d’important : les Québécois font confiance à leurs institutions locales. Hydro-Québec, Desjardins, la SAAQ, Revenu Québec — ces noms déclenchent automatiquement une réaction de confiance. C’est exactement ce qu’on exploite contre vous.
Pourquoi les institutions québécoises sont particulièrement ciblées
Les arnaques génériques (PayPal, Amazon, Netflix) sont maintenant connues de beaucoup de gens. Le message d’Hydro-Québec ou de la SAAQ, lui, est plus convaincant parce qu’il est hyper-local.
Un fraudeur en Europe de l’Est peut envoyer des millions de textos personnalisés pour Hydro-Québec. Il lui suffit d’acheter une base de données de numéros québécois (disponible pour quelques dizaines de dollars), de copier le logo et les couleurs d’Hydro-Québec, et de créer un faux site en 20 minutes avec des outils gratuits.
Le retour sur investissement est excellent : si 0,5 % de 500 000 textos convertissent, ça fait 2 500 victimes. À 74 $ ou 200 $ chacune, c’est une opération rentable.
Les institutions les plus usurpées au Québec en 2024-2025 :
- Hydro-Québec (remboursements, déconnexion imminente, problème de facturation)
- Agence du revenu du Canada / Revenu Québec (dettes fiscales, remboursements TPS/TVQ)
- Desjardins, Banque Nationale, BMO (alertes sécurité, vérification de compte)
- SAAQ (renouvellement de permis, amende, convocation)
- Postes Canada (colis retenu, frais de douane à payer)
- Vidéotron, Bell, Telus (problème de facturation, offre spéciale)
Hydro-Québec — les arnaques les plus fréquentes
Le faux remboursement
Vous recevez un courriel ou texto vous informant qu’un remboursement est disponible sur votre compte. Le montant est précis pour paraître crédible (74,32 $, 138,50 $). Un lien vous mène vers un faux site qui imite parfaitement hydroquebec.com.
Le site vous demande de « confirmer » votre numéro de compte et vos informations de paiement pour recevoir le remboursement. Ces données vont directement aux fraudeurs.
Comment le reconnaître : Hydro-Québec ne vous demande jamais de cliquer sur un lien pour recevoir un remboursement. Les remboursements sont crédités directement à votre compte ou envoyés par chèque. Si vous avez un doute, connectez-vous directement sur hydroquebec.com (tapez l’adresse vous-même, ne cliquez pas sur le lien).
La déconnexion imminente
Message urgent : votre service sera coupé dans 24 heures si vous ne payez pas immédiatement une facture impayée. Le lien mène vers une page de paiement frauduleuse.
Signal d’alarme : Hydro-Québec envoie des avis de déconnexion par courrier postal, jamais uniquement par texto avec un délai de 24 heures. Si votre service était vraiment en danger, vous seriez au courant depuis des semaines.
Le problème de compteur
Email prétendant qu’il y a un problème avec votre compteur intelligent et qu’une action est requise de votre part. Certaines versions demandent de télécharger une « application Hydro-Québec » qui est en réalité un malware.
Règle simple : Hydro-Québec ne vous demandera jamais de télécharger une application par courriel. L’application officielle s’installe uniquement depuis l’App Store ou Google Play.
L’ARC et Revenu Québec — les arnaques les plus agressives
Les arnaques fiscales sont différentes des autres : elles jouent sur la peur. Les messages sont menaçants, urgents, et incluent souvent la menace d’arrestation ou de saisie.
L’appel d’arrestation imminente
Vous recevez un appel (souvent un robot, parfois un vrai agent) vous informant qu’un mandat d’arrêt a été émis à votre nom pour fraude fiscale. Pour éviter l’arrestation, vous devez payer immédiatement par carte-cadeau iTunes, Google Play, ou virement.
C’est l’arnaque la plus courante ciblant les aînés au Canada, chaque année. Des centaines de millions de dollars sont perdus annuellement.
Pourquoi c’est toujours une arnaque : L’ARC ne menace JAMAIS d’arrestation immédiate par téléphone. Elle ne demande JAMAIS de paiement par carte-cadeau, Bitcoin, ou Western Union. Si l’ARC avait un problème réel avec votre dossier, vous recevriez une lettre officielle par la poste avec un numéro de dossier. Vous auriez toujours le droit de consulter un comptable ou un avocat.
Le faux remboursement TPS/TVQ
Courriel vous informant que vous avez droit à un remboursement de TPS ou TVQ. Vous devez « confirmer » vos informations bancaires pour recevoir le versement.
L’ARC ne vous demandera jamais vos informations bancaires complètes par courriel. Les remboursements sont déposés directement dans le compte déjà enregistré dans Mon dossier ARC.
La vérification de compte urgente
Message vous demandant de vous connecter à votre compte ARC via un lien pour éviter la suspension de votre compte ou un problème de sécurité. Le lien mène vers un faux site.
Réflexe : Ne cliquez jamais sur un lien dans un email ou texto qui prétend venir de l’ARC. Allez directement sur canada.ca et connectez-vous.
La SAAQ et les arnaques de permis
La Société de l’assurance automobile du Québec est une cible parfaite pour les fraudeurs : presque tous les adultes québécois ont affaire à elle, les délais de renouvellement sont réguliers, et la peur de perdre son permis est universelle.
Le faux renouvellement par texto
Texto : « SAAQ : votre permis expire bientôt. Renouvelez en ligne pour éviter des frais supplémentaires : [lien]. »
La SAAQ ne contacte pas par texto avec des liens pour renouveler votre permis. Le renouvellement passe par saaq.gouv.qc.ca (que vous accédez vous-même) ou par courrier postal.
La fausse contravention ou convocation
Courriel ou texto vous informant d’une contravention non payée, d’un point retiré, ou d’une convocation au bureau de la SAAQ. Le lien mène vers une page qui demande vos informations personnelles.
Si vous avez reçu une vraie contravention ou un avis de la SAAQ, vous le recevez par courrier. Vérifiez votre dossier directement sur le site officiel.
Postes Canada — le smishing du colis retenu
Le deuxième type d’arnaque SMS le plus signalé au Québec.
Message : « Votre colis ne peut pas être livré. Des frais de douane de 2,95 $ sont requis. Payez ici : [lien]. »
Le montant est délibérément petit pour que vous ne vous posiez pas trop de questions. Mais le vrai objectif n’est pas 2,95 $ — c’est votre numéro de carte de crédit que vous entrez sur la page de paiement.
Si vous attendez un vrai colis, vérifiez sur canadapost.ca avec votre numéro de suivi. Postes Canada n’envoie pas de SMS avec des liens pour les frais de douane.
Les signaux d’alarme universels
Peu importe l’institution usurpée, ces signaux indiquent presque toujours une arnaque :
Urgence artificielle : « Dans les 24 prochaines heures », « Immédiatement », « Votre compte sera suspendu ». Les vraies institutions vous donnent des délais raisonnables avec des processus d’appel.
Paiement par méthode non traçable : cartes-cadeaux iTunes/Amazon, Bitcoin, Western Union, Interac à un inconnu. Aucune institution gouvernementale n’accepte ces modes de paiement.
Lien raccourci ou domaine suspect : bit.ly/hydro-remb, postes-canada-livraison.com, arc-canada.net. Vérifiez l’URL complète avant de cliquer. Le vrai site d’Hydro-Québec se termine toujours par hydroquebec.com.
Demande d’informations que l’institution possède déjà : votre banque connaît votre numéro de compte. Votre facture Hydro-Québec est déjà associée à votre adresse. Une vraie institution ne vous demande pas de « confirmer » ces informations.
Qualité du français : les arnaques venant de l’étranger contiennent souvent des fautes, des tournures inhabituelles ou des accents manquants. Pas toujours — les arnaqueurs s’améliorent — mais c’est un signal.
Pression émotionnelle : peur, urgence, honte, ou trop belle opportunité. Les arnaques jouent sur les émotions pour court-circuiter votre jugement critique.
Quoi faire si vous avez cliqué
Si vous avez cliqué mais rien rempli : Le risque est limité. Fermez l’onglet, effacez votre historique, faites une analyse antivirus de votre appareil. Signalez le lien à l’institution réelle (Hydro-Québec a une adresse dédiée : abuse@hydroquebec.com).
Si vous avez entré des informations personnelles (nom, adresse, NAS) : Signalez-le au Centre antifraude du Canada. Placez une alerte de fraude sur votre dossier de crédit chez Equifax et TransUnion. Surveillez vos relevés de crédit pendant 12-24 mois.
Si vous avez entré des informations bancaires ou de carte de crédit : Appelez immédiatement votre institution financière pour bloquer la carte et signaler la fraude. La majorité des banques canadiennes remboursent les fraudes signalées rapidement. Changez vos mots de passe en ligne. Activez les notifications de transaction.
Si vous avez transféré de l’argent : Contactez votre banque immédiatement — certains virements peuvent être rappelés dans les premières heures. Signalez au Centre antifraude (1-888-495-8501) et à votre service de police local. Gardez tous les preuves (captures d’écran, messages).
Comment signaler une arnaque au Québec
Centre antifraude du Canada : antifraudcentre-centreantifraude.ca ou 1-888-495-8501. C’est la référence nationale pour documenter et suivre les arnaques.
Signalement en ligne canadien : signalercyberetfraude.canada.ca — nouveau portail intégré depuis 2023.
Office de la protection du consommateur (OPC) : opc.gouv.qc.ca — pour les fraudes commerciales québécoises.
Cybercriminalité GRC : si vous avez perdu plus de 5 000 $ ou si l’arnaque implique du blanchiment d’argent.
L’institution ciblée directement : Hydro-Québec, la SAAQ, l’ARC ont tous des équipes anti-fraude qui veulent être informées pour protéger d’autres clients. Un appel à leur numéro officiel suffit.
Pourquoi ces arnaques marchent — la psychologie derrière
Les fraudeurs ne sont pas stupides. Ils connaissent mieux le cerveau humain que la plupart des pubs de Sobeys. Trois mécanismes reviennent systématiquement :
L’autorité. Un texto qui commence par « SAAQ » ou « ARC » déclenche un réflexe de respect et de peur. On a été conditionnés depuis l’enfance à répondre aux institutions. C’est un raccourci mental — qu’aucun fraudeur ne manque d’exploiter.
L’urgence. « Dans les 24 heures », « votre dossier sera suspendu », « paiement requis aujourd’hui ». L’urgence coupe la réflexion. Un cerveau sous pression temporelle prend des décisions médiocres — c’est biologique, pas un défaut personnel.
Le montant crédible. Un remboursement de 74,32 $ paraît plus vrai qu’un de 500 $. Les fraudeurs testent des centaines de variantes et gardent celles qui convertissent. Le montant précis, presque banal, rassure.
Une fois ces trois leviers actionnés, le taux de clic grimpe dramatiquement. Selon une étude de Proofpoint (2024) sur le smishing nord-américain, les arnaques qui combinent une marque connue (institution, banque, livreur) avec un faible montant et une urgence dépassent 8 % de taux de clic — comparé à 1-2 % pour les arnaques génériques. Multipliez par des millions de SMS envoyés, et vous comprenez pourquoi c’est rentable.
Un cas québécois qui m’a marqué
En février 2026, une cliente de Sequr — Lise, 61 ans, Sherbrooke — m’a appelée en pleurant. Elle avait reçu un courriel qu’elle pensait venir d’Hydro-Québec : « Facture impayée de 247,83 $, services suspendus dans 48 h si non paiement ». Le design était identique aux vrais courriels d’Hydro. L’adresse d’expéditeur ressemblait à service-client@hydroquebec-facturation.ca (le vrai domaine est hydroquebec.com sans tiret).
Lise a cliqué. Elle a entré son numéro de carte de crédit, l’adresse de facturation, le CVV. La page disait « Paiement en traitement… » puis a redirigé vers le vrai site d’Hydro-Québec pour endormir la méfiance.
Entre le moment du paiement (22 h 14 un dimanche) et le moment où sa banque l’a appelée le lundi matin pour confirmer une transaction de 3 200 $ dans une boutique en ligne en Europe, il s’est écoulé 9 heures. Trois autres tentatives ont suivi dans les 48 heures suivantes.
Sa banque a remboursé (Desjardins, rapidement). Mais Lise a passé trois semaines à changer tous ses mots de passe, activer le 2FA partout, surveiller ses relevés, geler son crédit chez Equifax et TransUnion. Coût mental : énorme. Coût temps : une quinzaine d’heures. Argent perdu définitivement : 0 $ — mais ç’aurait pu être 10 000 $ si elle avait pas réagi vite.
Ce qu’il faut retenir du cas de Lise :
- Le design ne prouve rien. Les fraudeurs copient les vrais courriels à la virgule près.
- Le domaine est la preuve ultime.
hydroquebec-facturation.ca≠hydroquebec.com. Prenez 3 secondes avant chaque clic pour vérifier l’URL complète. - Réagir vite sauve. Plus vous appelez la banque tôt, plus les chances de remboursement et de blocage sont élevées.
- Le gel de crédit préventif est un luxe qu’on devrait tous s’offrir. Gratuit, permanent, effectif dès l’activation.
La règle d’or
Si vous recevez un message (texto, courriel, appel) d’une institution vous demandant d’agir rapidement, de cliquer sur un lien, ou de fournir des informations : raccrochez, fermez le message, et contactez l’institution directement en tapant vous-même leur adresse web ou leur numéro de téléphone officiel.
Ce réflexe — aller directement à la source plutôt que de suivre le lien fourni — déjoue 100 % des arnaques de cette catégorie.
Marc l’a appris à ses dépens. Vous n’avez pas à faire la même erreur.
Vous avez reçu un message suspect d’une institution québécoise ? Signalez-le à antifraudcentre-centreantifraude.ca — chaque signalement aide à protéger d’autres Québécois.
À lire aussi :
