Code PIN opérateur : bloquer le SIM swapping au Canada

Sophie, infirmière à Chicoutimi, rentre de garde à 7h30 un mardi matin. Elle remarque que son iPhone n’a plus aucune barre de signal dans sa cuisine — endroit où ça marche toujours.

Elle redémarre le téléphone. Rien. Pas de réseau Videotron.

Elle pense à un bug et file se coucher.

À 11h, son conjoint la réveille. Sa banque vient de bloquer une transaction de 5 400 $ vers un compte inconnu en Colombie-Britannique. Le système anti-fraude Desjardins a repéré l’anomalie. Mais il y a eu trois autres transactions plus petites qui sont passées avant : 480 $, 820 $, 1 200 $. Total filtré en 90 minutes : 2 500 $ avant le blocage.

Le numéro de Sophie avait été transféré sur une autre SIM à 6h42 du matin. L’attaquant avait pris le contrôle de son courriel Videotron (synchronisé avec le téléphone), réinitialisé son mot de passe Desjardins via SMS, vidé ce qu’il pouvait.

Videotron confirmera plus tard qu’un agent à un centre d’appel externe avait approuvé le transfert après avoir reçu « les bonnes informations » — nom, adresse, date de naissance, quatre derniers chiffres de la carte de crédit. Toutes des données disponibles dans les fuites récentes d’Equifax, Desjardins, Indigo.

Le SIM swapping au Canada a explosé depuis 2022. Le Centre antifraude du Canada recevait une trentaine de signalements par mois en 2020. En 2024, c’est plusieurs centaines. Le Québec est particulièrement ciblé à cause de la richesse relative des détenteurs de comptes Desjardins et des limites de transferts Interac élevées.

Ce qu’est vraiment le SIM swapping

Votre numéro de téléphone n’est pas attaché à votre carte SIM physique. Il est attaché à un enregistrement dans la base de données de votre opérateur (HLR, Home Location Register). Cet enregistrement pointe vers un numéro IMSI (l’identifiant unique de la SIM active).

Quand vous perdez votre téléphone et appelez Bell ou Rogers pour transférer votre numéro sur une nouvelle SIM, l’agent modifie le pointeur dans le HLR. Nouvelle IMSI = nouveau téléphone qui reçoit les appels et SMS.

Les arnaqueurs exploitent exactement ce processus. Ils appellent votre opérateur en se faisant passer pour vous. Si l’agent approuve, votre numéro migre vers leur SIM.

Voir aussi notre article détaillé SMS pour la 2FA : insuffisant contre le SIM swapping pour comprendre pourquoi cela détruit la 2FA par SMS.

Pourquoi les opérateurs sont des maillons faibles

Quatre raisons structurelles :

1. Les centres d’appel sont sous-traités. Bell, Rogers, Telus, Videotron externalisent une grosse partie de leur service client à des centres au Nouveau-Brunswick, aux Philippines, en Inde. Les agents ne connaissent pas le client, n’ont pas de relation, et sont mesurés sur la vitesse de résolution.

2. Les indicateurs de performance poussent à approuver. Un agent qui refuse trop de requêtes légitimes reçoit des mauvaises notes. Un agent qui approuve un transfert frauduleux : aucune conséquence personnelle, le client voit son numéro revenir 12 heures plus tard après complainte.

3. Les données d’identification sont publiques. Nom, adresse, date de naissance, quatre derniers chiffres de carte ou NAS : tout cela circule dans les fuites. L’agent demande « pouvez-vous me confirmer votre adresse? » — l’arnaqueur la lit sur l’écran d’une base de données volée.

4. Les employés malhonnêtes existent. Des employés de Bell et Rogers ont été accusés dans les cinq dernières années d’avoir vendu des accès ou effectué des transferts contre rétribution. Quelques centaines de dollars par transfert, c’est plus que leur paie quotidienne.

Le NIP opérateur : première ligne de défense

Depuis les directives du CRTC de 2023, tous les opérateurs majeurs au Canada permettent (et dans certains cas imposent) l’ajout d’un NIP ou code de sécurité distinct sur votre compte. Ce NIP doit être demandé à chaque changement critique : transfert de numéro, remplacement SIM, modification d’adresse.

Bell

• mybell.ca → Profil → Sécurité → « Code de transfert »
• ou appelez le 611 et demandez « code de transfert » ou « transfer PIN »
• choisissez un NIP de 4-8 chiffres jamais utilisé ailleurs (pas votre NIP bancaire, pas votre date de naissance)
• notez-le dans votre gestionnaire de mots de passe

Rogers

• myrogers.com → Profil → « NIP de sécurité »
• App MyRogers → Paramètres → Sécurité
• Rogers a aussi une « Port Protection » activable en appelant le support

Telus / Koodo

• telus.com/mytelus → Profil de sécurité → Code de sécurité
• Koodo Self Serve → Profil → NIP
• notifications d’alerte activables pour tout changement de compte

Videotron / Fizz

• videotron.com/mondossier → Paramètres → Protection transfert
• pour Fizz (filiale Videotron) : Mon Compte → Préférences → Vérification à deux étapes
• Videotron envoie par défaut un courriel + SMS de confirmation 24 h avant tout transfert — lisez ces courriels

Freedom Mobile / Public Mobile

• Moins automatisé, appelez le support et demandez explicitement l’ajout d’un mot de passe de compte
• Public Mobile utilise un système communautaire (forums) — l’authentification est plus faible, à éviter si sécurité critique

Comment détecter un SIM swap en cours

Trois signaux, par ordre de probabilité :

Signal 1 : perte de signal inexpliquée

Votre téléphone passe à « Aucun service » dans un endroit où vous captez normalement. Pas juste une barre qui disparaît — zéro signal cellulaire.

Vérifications rapides :

• WiFi fonctionne-t-il? Si oui, c’est probablement bien le cellulaire uniquement
• Mode avion activé/désactivé? Vérifiez visuellement dans les réglages
• Redémarrage du téléphone change-t-il quelque chose?
• Un autre appareil sur le même réseau (conjoint, enfant) a-t-il du signal?

Si vous perdez seul le signal, appelez immédiatement votre opérateur depuis un autre téléphone. Demandez si votre numéro a été transféré.

Signal 2 : courriel de confirmation

Votre opérateur envoie toujours un courriel quand il y a un changement de compte : nouveau numéro, remplacement SIM, activation eSIM, modification d’adresse.

Bell, Rogers, Telus, Videotron : tous envoient ce courriel à l’adresse enregistrée sur votre compte.

Le piège : l’attaquant peut modifier votre adresse courriel si l’agent l’autorise. Ou si votre courriel est déjà compromis, il peut simplement supprimer le courriel avant que vous le voyiez.

D’où l’intérêt :

• d’avoir un courriel principal sécurisé (2FA FIDO, mot de passe solide)
• de vérifier vos pourriels et « corbeille » périodiquement
• d’activer les notifications SMS et courriel pour les changements de compte

Signal 3 : codes 2FA inattendus

Vous recevez un code de vérification pour Google, Facebook, votre banque — alors que vous n’essayez pas de vous connecter.

C’est l’alerte rouge absolue. Quelqu’un essaye d’accéder à vos comptes.

Action immédiate :

1. Ne répondez jamais au SMS avec le code.
2. Connectez-vous depuis un ordinateur au service visé.
3. Changez le mot de passe.
4. Déconnectez toutes les sessions.
5. Vérifiez les activités récentes (Google a un historique de connexions, pareil pour Facebook, Apple).

Le playbook de récupération, minute par minute

Si le SIM swap est confirmé :

0-30 minutes

• Appelez votre opérateur depuis un autre téléphone (conjoint, famille, voisin) : « Mon numéro a été transféré sans mon autorisation. Bloquez le transfert immédiatement. »
• Depuis un ordinateur, connectez-vous à votre compte courriel principal (Gmail, iCloud, Outlook). Changez le mot de passe. Déconnectez toutes les sessions.
• Connectez-vous à votre banque en ligne. Changez le mot de passe. Vérifiez les transactions récentes.

30-90 minutes

• Appelez votre banque (Desjardins, Banque Nationale, BMO, RBC, etc.). Signalez la fraude potentielle. Demandez le blocage temporaire des virements Interac sortants, de PayPal, de Wise.
• Changez le mot de passe sur les 10 comptes les plus critiques : Apple ID, Microsoft, Facebook, Instagram, LinkedIn, Twitter/X, Amazon, Netflix, Dropbox, GitHub.
• Activez la 2FA FIDO (voir notre guide YubiKey) ou application d’authentification sur chacun.

2-24 heures

• Déposez un rapport au Centre antifraude du Canada : 1-888-495-8501.
• Rapport de police local (SPVQ à Québec, SPVM à Montréal) : vous aurez besoin du numéro de dossier pour les assurances.
• Contactez Equifax (1-800-465-7166) et TransUnion (1-800-663-9980) pour placer une alerte de fraude ou un gel du crédit. Voir Gel du crédit : guide Equifax TransUnion Canada.
• Signalez à la CAI du Québec si vous êtes un commerçant ou si des données d’autrui ont fuité à cause de cette compromission.

24-72 heures

• Faites l’inventaire complet : tous les services où votre numéro est enregistré comme méthode de récupération (Apple, Google, Facebook, votre employeur, les outils de travail).
• Remplacez partout le SMS par une application d’authentification ou mieux, une clé FIDO.
• Demandez à votre opérateur un rapport de l’incident par écrit (utile pour une plainte CRTC si l’opérateur a failli).

1-4 semaines

• Déposez une plainte formelle auprès de la Commission des plaintes relatives aux services de télécommunications (CCTS) : ccts-cprst.ca. La CCTS peut forcer l’opérateur à vous rembourser les frais directs (temps de blocage, frais de nouvelle SIM).
• Si les pertes financières sont importantes, consultez un avocat spécialisé en droit des technologies. Au Québec, les opérateurs ont une obligation de moyens et de diligence raisonnable.

Cas concret : Martin, Trois-Rivières

Martin, entrepreneur en plomberie, me contacte en juillet 2025. Son numéro Bell a été transféré à 4h du matin un dimanche. À 6h, son arnaqueur avait vidé :

• 3 800 $ du compte de l’entreprise (via virement Interac)
• 1 200 $ de son compte personnel
• tenté sans succès d’accéder à son compte Amazon Business
• modifié le mot de passe de son Gmail (récupéré dans la journée avec le code de récupération)

Ce qui l’a sauvé partiellement :

• Desjardins a détecté un pattern anormal et bloqué après 5 000 $
• Gmail a envoyé un courriel d’alerte à sa conjointe (adresse de récupération)
• Bell a confirmé le transfert frauduleux dans les 2 heures

Ce qu’il aurait dû faire avant :

• activer le code de transfert Bell (il ne savait pas que ça existait)
• mettre la 2FA par application (pas SMS) sur Gmail et Desjardins
• limiter les virements Interac sortants à 1 000 $/jour par défaut

Après l’incident, on a :

• mis deux YubiKey sur Gmail, Apple ID, Amazon Business, GitHub
• activé la 2FA par application sur Desjardins
• activé le NIP de transfert Bell
• imprimé tous les codes de récupération dans un coffret à la maison
• gel du crédit Equifax + TransUnion

Montant total remboursé par les institutions (après 5 mois) : 4 100 $ sur 5 000 $. Les 900 $ sont restés à sa charge parce qu’il avait cliqué sur un lien de phishing un mois avant (traçabilité dans les logs qui a permis à l’arnaqueur de cibler).

Les limites du NIP opérateur

Un NIP opérateur n’est pas une protection absolue.

• Un agent formé peut contourner (override) le NIP avec « autorité managériale » si convaincu par un faux récit.
• Un employé corrompu peut contourner sans problème.
• Si votre opérateur utilise des centres d’appel externes, la discipline sur le NIP varie énormément.
• Un SIM swap via portabilité vers un autre opérateur (« port out ») peut bypasser les protections internes : vous transférez de Bell à Rogers, et si l’authentification côté Rogers est faible, le NIP Bell ne sert à rien.

Pour vraiment protéger les comptes les plus critiques :

1. Sortez le numéro de téléphone des méthodes de récupération. Utilisez une adresse courriel sécurisée + codes imprimés + 2FA FIDO.
2. Utilisez un numéro dédié qui n’est connu de personne (Google Voice, Fongo) uniquement pour la 2FA SMS des services qui ne supportent rien d’autre. Voir aussi Compartimentalisation des identités numériques.
3. Activez le « advanced protection » sur Google si disponible. Bloque toute récupération par téléphone.
4. Pour Apple ID, activez « Protection avancée des données » + clés de sécurité FIDO.

eSIM vs SIM physique : le tableau change

Les eSIM (SIM embarquées, activées par QR code) changent légèrement l’équation.

Points forts :

• pas de carte physique à voler
• transfert requiert une authentification serveur plus forte
• les nouveaux iPhone (US depuis iPhone 14) et certains Android n’ont que eSIM

Points faibles :

• l’envoi du QR code d’activation par courriel = cible pour le phishing
• si le courriel est compromis, le QR peut être récupéré
• le support opérateur pour les eSIM reste moins mature, plus d’erreurs humaines

Recommandation : eSIM est légèrement plus sécuritaire, mais ne vous dispense pas du NIP opérateur et des autres couches.

À lire aussi

• SMS pour la 2FA : insuffisant contre le SIM swapping
• YubiKey et clés FIDO : le guide complet 2026
• Gel du crédit Equifax TransUnion Canada
• NAS volé : que faire, étape par étape
• Compartimentalisation des identités numériques

Verdict : 15 minutes ce soir, zéro panique plus tard

Activer un NIP de transfert chez votre opérateur prend 15 minutes. C’est gratuit. Et ça vous protège contre la catégorie d’attaque la plus dévastatrice pour un client bancaire québécois en 2026.

La vraie protection n’est pas un seul réglage, c’est une chaîne :

1. NIP opérateur activé
2. 2FA FIDO sur les comptes critiques
3. Numéro de téléphone retiré des méthodes de récupération sensibles
4. Courriel principal bulletproof (2FA FIDO + aucune récupération par téléphone)
5. Virements Interac plafonnés bas par défaut
6. Gel du crédit chez Equifax et TransUnion

Chez Sequr, on prend un client par la main pour faire cette chaîne complète en une séance de 90 minutes. La plupart ressortent avec un sentiment de soulagement difficile à décrire, surtout les gens qui ont déjà vécu un incident avant.

Besoin d’aide pour configurer votre protection SIM swap et migrer la 2FA vers FIDO? ou écrivez via sequr.ca/contact. On travaille à distance avec des clients partout au Québec — Montréal, Québec, Sherbrooke, Saguenay, Trois-Rivières, Gatineau.