Marianne, de Québec, a reçu un SMS en mars 2025 l’avertissant qu’une tentative de connexion à son compte Desjardins avait été bloquée. Elle n’avait rien fait d’inhabituel. En fouillant, elle a découvert sur Have I Been Pwned que son adresse courriel avait été exposée dans la brèche LinkedIn de 2021 — 700 millions de comptes — et que son mot de passe, réutilisé depuis des années, circulait librement sur des forums criminels. Elle n’avait jamais été avertie.
C’est le scénario le plus courant : des millions de Québécois ont des données qui traînent sur le dark web sans le savoir. Pas parce qu’ils ont mal agi, mais parce que des services qu’ils utilisaient ont été piratés, parfois il y a des années.
Ce guide vous montre comment vérifier, que faire quand c’est positif, et comment surveiller en continu.
Ce que le dark web contient vraiment
Le “dark web” fait peur, et l’image qu’en donnent les médias — caverne obscure de criminels — n’est pas fausse, mais incomplète. Pour la majorité des gens ordinaires, la menace concrète du dark web, c’est la revente de données volées lors de brèches.
Quand une entreprise est piratée, les criminels extraient les bases de données utilisateurs et les revendent : d’abord à prix élevé sur des forums privés, puis à prix réduit sur des marchés semi-publics, et finalement gratuitement sur des forums ouverts accessibles même sans Tor. Ces données incluent :
- Adresses courriel
- Mots de passe (parfois en clair, souvent hashés mais craquables)
- Noms, prénoms, dates de naissance
- Numéros de téléphone
- Adresses postales
- Parfois numéros de carte de crédit (moins fréquent — les processeurs de paiement chiffrent)
- Parfois numéros d’assurance sociale (NAS)
En 2024, le service Have I Been Pwned indexait plus de 14 milliards de comptes compromis provenant de plus de 800 brèches distinctes. Ce n’est pas une niche — c’est une probabilité statistique que vos données y soient.
Have I Been Pwned : le standard de l’industrie
Qui est derrière
Troy Hunt est un chercheur en sécurité australien, Microsoft Regional Director, conférencier régulier à des événements comme DEF CON. En 2013, il a créé Have I Been Pwned (HIBP) après la méga-brèche Adobe — 153 millions de comptes. L’idée : créer un endroit centralisé et fiable pour vérifier si ses données ont été compromises.
Le site traite aujourd’hui des dizaines de milliards de requêtes par an. Des gouvernements (Royaume-Uni, Australie, États-Unis via CISA) utilisent son API pour alerter leurs citoyens. En 2023, le FBI et Europol lui ont fourni directement des données de l’opération Genesis Market pour les intégrer au service.
Comment ça fonctionne techniquement
Quand vous entrez votre adresse courriel sur HIBP, elle est comparée à une base de données de brèches connues. Si elle y figure, vous voyez quelles brèches, quelles données étaient incluses, et quand.
Pour les mots de passe, le mécanisme est plus sophistiqué : vous entrez votre mot de passe, il est hashé en SHA-1, et seuls les 5 premiers caractères du hash sont envoyés au serveur. Le serveur retourne tous les hashes qui commencent par ces 5 caractères, et la comparaison se fait localement sur votre appareil. Ni vous ni le serveur ne connaît le mot de passe — c’est l’architecture k-anonymity. Vous pouvez vérifier sans risque.
Utiliser HIBP : mode d’emploi
Vérifier un email :
- Allez sur haveibeenpwned.com
- Entrez votre adresse courriel
- Résultat en vert = pas de brèche connue / Rouge = brèches listées
Vérifiez toutes vos adresses : personnelle, professionnelle, ancienne adresse Hotmail des années 2000, compte gaming. Chacune peut être dans des brèches différentes.
Vérifier un mot de passe :
- Allez sur haveibeenpwned.com/passwords
- Entrez un mot de passe (sans l’associer à votre email — testez-les séparément)
- Si le résultat montre un chiffre > 0, ce mot de passe est connu des criminels. Changez-le partout.
Activer les notifications :
- Sur HIBP, entrez votre email et cochez “Notify me”
- Vous recevrez un courriel automatique si votre adresse apparaît dans une future brèche
C’est gratuit. Configurez-le pour toutes vos adresses importantes.
Firefox Monitor : l’alternative intégrée Mozilla
Firefox Monitor (maintenant rebaptisé Mozilla Monitor à partir de 2024) est bâti sur les données de Have I Been Pwned, mais avec une interface plus accessible et quelques fonctionnalités supplémentaires pour les utilisateurs ordinaires.
Ce qu’il offre
- Vérification d’email identique à HIBP (même base de données)
- Surveillance continue avec notifications par courriel
- Version gratuite : alertes pour brèches futures
- Version payante (Mozilla Monitor Plus, ~14$/mois US) : scan de sites de courtiers de données et demandes de suppression automatisées
Pertinence pour le Québec
La version payante qui supprime vos données des courtiers (data brokers) est surtout efficace pour les résidents américains — les courtiers ciblés opèrent principalement aux États-Unis. Pour les Québécois, la valeur principale reste la surveillance des brèches, qui elle, est universelle.
L’interface est disponible en français et s’intègre directement au navigateur Firefox via le menu des paramètres.
Google One Dark Web Report : pratique mais limité
Google a lancé son dark web report d’abord pour les abonnés Google One, puis l’a rendu disponible gratuitement à tous les utilisateurs Google en 2024.
Ce qu’il surveille
- Votre adresse Gmail principale
- Les adresses courriel associées à votre compte Google
- Votre numéro de téléphone (si enregistré)
- Votre nom
- Votre date de naissance
Accéder au rapport
- Ouvrez myaccount.google.com
- Section “Sécurité” → “Dark web report”
- Ou dans l’app Google One sur mobile
Le rapport liste les brèches trouvées et donne des recommandations contextuelles (changer tel mot de passe, activer la vérification en deux étapes sur tel service).
Limitation principale
Google ne dit pas explicitement quelles bases de données il analyse. La couverture semble inférieure à HIBP pour les brèches plus anciennes ou spécialisées (forums gaming, sites adultes, applications nichées). C’est un outil pratique comme point de départ, mais ne le considérez pas comme complet.
Déchiffrer un résultat positif : que signifient les brèches listées
Quand vous voyez des brèches sur HIBP, chaque entrée vous dit :
- Nom du service : LinkedIn, Adobe, Dubsmash, etc.
- Date de la brèche : pas forcément la date à laquelle vous en entendez parler — les brèches sont souvent découvertes des mois ou années après le vol
- Données compromises : email, mots de passe, numéros de téléphone, adresses, etc.
- Description : contexte de la brèche
Exemples de brèches majeures touchant des Canadiens
Collection #1 (2019) — 773 millions d’adresses email et 21 millions de mots de passe uniques agrégés de centaines de brèches plus petites. Si vous êtes en ligne depuis 2010, votre adresse y est probablement.
LinkedIn (2021) — 700 millions de profils scraped, incluant noms, emails, numéros de téléphone, adresses, revenus estimés, profils LinkedIn. Utilisé pour des attaques de phishing ciblées.
Desjardins (2019) — 4,2 millions de membres québécois. Données de la caisse, dont NAS pour une partie. Brèche interne — un employé.
Bell Canada (2017) — 1,9 million d’adresses email, noms, numéros de téléphone. Brèche de la base de données clients.
Yahoo (2013-2014) — 3 milliards de comptes. Si vous avez un compte Yahoo (ou Ymail, Rocketmail), il est presque certainement dans cette brèche.
Plan d’action selon ce que vous trouvez
Brèche avec mot de passe exposé
C’est l’urgence maximale.
- Identifiez le service concerné et changez immédiatement le mot de passe de ce compte
- Cherchez la réutilisation : si ce même mot de passe (ou une variante — “MonMotDePasse1” → “MonMotDePasse2”) est utilisé ailleurs, changez-le sur chaque service
- Activez l’authentification à deux facteurs (2FA) sur le compte compromis — de préférence via une application (Authy, Google Authenticator) plutôt que par SMS
- Vérifiez les sessions actives : sur la plupart des services, vous pouvez voir et fermer les connexions actives depuis Paramètres → Sécurité
Sur le plan des mots de passe, c’est le moment idéal pour adopter un gestionnaire. Bitwarden est gratuit, open source, et génère des mots de passe uniques de 20+ caractères pour chaque compte. Vous n’avez plus à retenir quoi que ce soit. Lisez notre article sur les gestionnaires de mots de passe comparatif Québec 2026 pour un comparatif complet.
Brèche avec email seulement (pas de mot de passe)
Moins urgent, mais à ne pas ignorer.
- Votre adresse est maintenant sur des listes de spam et de phishing ciblé — attendez-vous à plus de courriels indésirables
- Si la brèche inclut votre nom ou numéro de téléphone, le risque de phishing personnalisé augmente
- Considérez activer un filtre anti-spam plus agressif
- Si c’est un service que vous n’utilisez plus, supprimez le compte
Brèche avec numéro de téléphone
- Contactez votre opérateur (Bell, Rogers, Telus, Vidéotron) et demandez un verrouillage de port SIM — personne ne peut transférer votre numéro sans un code ou en personne
- Méfiez-vous des SMS avec liens, même s’ils semblent provenir de services légitimes
- Configurez un code PIN sur votre compte de téléphonie
Pour comprendre pourquoi le SIM swapping est dangereux, consultez notre article sur le SIM swapping et code PIN SIM.
Brèche incluant des données financières
- Vérifiez immédiatement vos relevés bancaires et de carte de crédit
- Si vous suspectez que votre NAS a été exposé, envisagez un gel de crédit chez Equifax et TransUnion Canada — notre guide sur le gel de crédit Equifax TransUnion Canada explique comment.
- Inscrivez-vous aux alertes de transaction de votre banque
Surveillance continue : ne pas vérifier une fois et oublier
Le problème des brèches, c’est leur étalement dans le temps. Une brèche de 2022 peut n’apparaître sur HIBP qu’en 2024 quand un chercheur la découvre. Et de nouvelles brèches surviennent constamment.
Stratégie de surveillance minimale
Mensuel :
- Revérifiez vos adresses principales sur HIBP (30 secondes)
Automatique :
- Notifications HIBP activées sur toutes vos adresses
- Alertes Google sur votre nom (google.com/alerts) pour détecter si vos données apparaissent dans des articles sur des brèches
Annuel :
- Auditez votre gestionnaire de mots de passe pour les mots de passe réutilisés ou faibles (Bitwarden a un rapport de santé des mots de passe intégré)
- Vérifiez les comptes que vous n’utilisez plus et supprimez-les — un compte mort est une cible facile
Services de surveillance payants : en valent-ils la peine ?
Des services comme Identity Guard, LifeLock, ou le monitoring inclus dans certaines cartes Visa Infinite/Mastercard World Elite offrent une surveillance plus large : dark web forums, numéros de carte, NAS, adresses postales.
Pour la majorité des particuliers québécois, la combinaison HIBP gratuit + notifications + gel de crédit en cas de besoin couvre 90% des risques à zéro coût. Les services payants ajoutent surtout de la tranquillité d’esprit et une réponse plus rapide — pas forcément une protection radicalement supérieure.
Si vous avez déjà été victime de vol d’identité, le monitoring payant peut valoir l’investissement pendant 12-24 mois.
Les brèches spécifiques au Québec que vous devriez connaître
Desjardins 2019 : la plus grande brèche financière canadienne
En juin 2019, Desjardins a annoncé qu’un employé malveillant avait exfiltré les données de 4,2 millions de membres (sur 7 millions). Les données volées incluaient :
- Nom, date de naissance, adresse
- Numéro d’assurance sociale
- Habitudes transactionnelles
- Informations de compte
Desjardins a offert une protection gratuite via Equifax pour les membres affectés. Si vous êtes membre Desjardins et n’avez jamais vérifié si vous étiez dans le lot, contactez Desjardins directement.
Airbnb, Netflix, Spotify — les comptes partagés
Des millions de combinaisons email/mot de passe circulent sur le dark web, testées automatiquement contre des dizaines de services. Cette technique — le credential stuffing — fonctionne parce que les gens réutilisent leurs mots de passe. Quand votre compte Netflix est “piraté”, c’est rarement Netflix qui a été breché : c’est vos identifiants d’un autre service qui ont été testés chez Netflix avec succès.
Solution unique : un mot de passe unique par service. Ce n’est humainement faisable qu’avec un gestionnaire de mots de passe.
Ce que la Loi 25 change pour les Québécois
Depuis septembre 2022, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose aux entreprises québécoises des obligations strictes en cas de brèche.
Obligations des entreprises :
- Aviser la Commission d’accès à l’information (CAI) de toute brèche présentant un “risque sérieux de préjudice”
- Aviser les personnes concernées dans les meilleurs délais
- Tenir un registre des incidents de confidentialité
Ce que ça signifie pour vous :
- Si une entreprise québécoise détient vos données et est piratée, elle a légalement l’obligation de vous le dire
- Si vous n’avez pas reçu d’avis mais que vos données apparaissent dans une brèche liée à une entreprise québécoise, vous pouvez déposer une plainte à la CAI (cai.gouv.qc.ca)
En pratique, la loi ne couvre que les entreprises opérant au Québec. Pour les brèches de services étrangers (LinkedIn, Adobe, Yahoo), les recours sont limités.
Pour une vue d’ensemble de vos droits, notre article sur la Loi 25 et vos droits en tant que citoyen québécois détaille les démarches.
Réinitialisation post-brèche : checklist complète
Si vous découvrez que plusieurs de vos comptes sont dans des brèches, voici la séquence optimale :
Heure 0-2 (urgent) :
- Changer le mot de passe de votre compte courriel principal (tout passe par là)
- Activer le 2FA sur votre compte courriel
- Changer les mots de passe des comptes financiers (banque, Desjardins, PayPal)
- Activer le 2FA sur les comptes financiers
Jour 1 :
- Installer un gestionnaire de mots de passe (Bitwarden recommandé)
- Générer des mots de passe uniques pour vos 10 comptes les plus utilisés
- Activer les notifications HIBP pour toutes vos adresses
Semaine 1 :
- Migrer tous vos comptes vers des mots de passe uniques
- Supprimer les comptes que vous n’utilisez plus (justdeleteMe.com liste les procédures)
- Vérifier les sessions actives suspectes sur vos comptes principaux
Mois 1 :
- Si NAS exposé : contacter Equifax et TransUnion pour un gel de crédit
- Activer les alertes de transaction bancaire
- Revoir vos paramètres de récupération de compte (numéro de téléphone de backup, questions secrètes)
Les mythes à déconstruire
“Je n’ai rien à cacher, ça ne me concerne pas.”
Le vol de données n’est pas une question de secret. Votre nom et date de naissance combinés à votre adresse permettent d’ouvrir des comptes à votre nom. Votre email et mot de passe permettent d’accéder à votre banque. Ce n’est pas votre intimité qui est en jeu — c’est votre identité financière.
“Ma banque me protège, je récupérerai mon argent.”
Les banques canadiennes remboursent généralement les fraudes, mais le processus est long (semaines, parfois mois), stressant, et il y a des exceptions. Les transferts Interac sont souvent non remboursables. Prévenir reste infiniment préférable à récupérer.
“Les hackers s’intéressent aux grandes entreprises, pas à moi.”
Les attaques contre des particuliers sont en grande majorité automatisées. Un script qui teste 10 millions de combinaisons email/mot de passe ne sait pas que vous existez — il trouve juste que votre combinaison fonctionne. C’est industriel, pas ciblé.
“Mon antivirus me protège de ça.”
Les brèches de données se produisent chez des tiers — le serveur de LinkedIn, pas votre ordinateur. Votre antivirus ne peut pas intercepter une brèche chez un service externe. C’est une couche de protection différente.
Quand appeler un professionnel
La plupart des situations de brèche se gèrent soi-même avec les étapes ci-dessus. Mais certains scénarios méritent un accompagnement :
- Votre NAS a été exposé et vous constatez des tentatives d’ouverture de crédit à votre nom
- Quelqu’un a déjà utilisé votre identité (vol d’identité avéré)
- Vous gérez des données d’employés ou de clients dans votre entreprise
Dans ces cas, les équipes de Sequr accompagnent les particuliers et les PME québécois dans la gestion post-brèche : analyse d’exposition, plan de remédiation, obligations légales (Loi 25 pour les entreprises).
Vérifier si vos données sont sur le dark web prend deux minutes. Configurez les notifications Have I Been Pwned sur toutes vos adresses aujourd’hui — c’est la mesure la plus simple avec le meilleur rapport effort/protection qui existe. Le reste peut attendre ce soir. Ça, non.
