Comment vérifier si tes données ont fuité — guide pas à pas
Les fuites de données sont devenues si fréquentes qu’elles font à peine la une des journaux. LinkedIn, Facebook, Bell, Desjardins — des millions de Canadiens ont eu leurs informations personnelles exposées sans le savoir. La vraie question n’est plus “est-ce que ça va m’arriver” mais “est-ce que ça m’est déjà arrivé”. Ce guide te montre comment vérifier si tes données ont fuité, et surtout quoi faire ensuite — selon le type exact de données exposées.
Ce qu’une fuite de données peut exposer
Avant de vérifier, il faut comprendre ce qui peut être compromis. Selon le type de service piraté, une fuite peut inclure :
- Adresse email et mot de passe (le duo le plus courant)
- Numéro de téléphone
- Adresse postale
- Date de naissance
- Numéro de carte de crédit (rare, mais ça arrive)
- Numéro d’assurance sociale (NAS) — dans les cas les plus graves
- Données médicales ou financières
Ces informations se retrouvent sur des forums de hackers, vendues sur le dark web, ou parfois publiées gratuitement pour nuire à une entreprise. Le problème : une adresse email et un mot de passe exposés permettent souvent d’accéder à plusieurs comptes si tu réutilises le même mot de passe partout.
Outil #1 : Have I Been Pwned
Have I Been Pwned est le standard. Fondé par Troy Hunt, expert en sécurité australien, le site agrège les bases de données de fuites connues — plus de 14 milliards de comptes compromis répertoriés à ce jour.
Comment l’utiliser :
- Va sur haveibeenpwned.com
- Entre ton adresse email
- Clique sur “pwned?”
Si ton email apparaît dans une fuite, tu verras :
- Le nom du service qui a été piraté
- La date approximative de la fuite
- Les types de données exposées
Fais ce test pour toutes tes adresses email — personnelle, professionnelle, vieilles adresses Hotmail que tu n’utilises plus.
Important : ce site ne montre que les fuites publiques. Des fuites peuvent circuler en privé sans avoir encore été cataloguées.
Outil #2 : Vérifie tes mots de passe directement
Have I Been Pwned offre aussi un outil pour vérifier si un mot de passe spécifique a été exposé : haveibeenpwned.com/Passwords
Note technique importante : tu n’entres pas ton mot de passe en clair. L’outil utilise une méthode appelée k-Anonymity — il envoie seulement les 5 premiers caractères du hash SHA-1 de ton mot de passe, pas le mot de passe lui-même. Tes données ne quittent jamais ton appareil en format lisible.
Si ton mot de passe est marqué comme “pwned”, change-le immédiatement sur tous les sites où tu l’utilises.
Outil #3 : Firefox Monitor
Firefox Monitor (gratuit, de Mozilla) utilise les mêmes données que Have I Been Pwned mais avec une interface plus conviviale. En plus, il te permet d’activer des alertes automatiques : si ton email apparaît dans une nouvelle fuite, tu reçois une notification.
C’est utile parce que les fuites sont découvertes des mois, parfois des années, après qu’elles ont eu lieu.
Outil #4 : Ton gestionnaire de mots de passe
Si tu utilises 1Password, Bitwarden ou Apple Keychain, ces outils ont des fonctions intégrées de détection de fuites :
- 1Password Watchtower : scanne en temps réel tes mots de passe contre les bases de fuites connues
- Bitwarden Reports : onglet dédié dans l’interface web
- Apple (iOS/macOS) : Paramètres → Mots de passe → Recommandations de sécurité
Si tu n’utilises pas encore de gestionnaire de mots de passe, c’est le moment d’y penser — c’est l’outil numéro un pour éviter les dommages d’une fuite.
Après avoir découvert une fuite : quoi faire
Étape 1 : Change le mot de passe du service piraté
En premier. Même si le mot de passe exposé date de 3 ans et que tu penses ne plus l’utiliser — change-le.
Étape 2 : Vérifie la réutilisation
Est-ce que tu utilisais ce même mot de passe ailleurs ? Sur ton email ? Ton compte bancaire ? Ta boîte de courrier électronique est souvent la clé principale — si quelqu’un y accède, il peut réinitialiser tous tes autres comptes.
Cherche dans ton historique les sites où tu as ce même mot de passe et change-les tous.
Étape 3 : Active le 2FA sur les comptes importants
L’authentification à deux facteurs (2FA) rend un mot de passe volé pratiquement inutile. Même si quelqu’un a ton mot de passe, il ne peut pas se connecter sans le deuxième facteur (code par SMS ou app d’authentification).
Active-le sur : email, comptes bancaires, réseaux sociaux, tout service qui stocke des informations sensibles.
Étape 4 : Surveille tes relevés bancaires et de crédit
Si la fuite incluait des informations financières, surveille tes transactions pendant les semaines qui suivent. Une fuite d’email et de mot de passe peut servir à acheter des choses avec tes informations de paiement sauvegardées.
Au Canada, tu peux obtenir ton dossier de crédit gratuitement auprès d’Equifax et de TransUnion. Vérifie qu’aucune ouverture de compte ou demande de crédit non autorisée n’y figure.
Étape 5 : Mets en place une surveillance continue
Ne fais pas ce test une seule fois. Les fuites arrivent en permanence. Configure des alertes sur Firefox Monitor ou Have I Been Pwned (version premium) pour être notifié automatiquement.
Les fuites que tu ne peux pas voir
Have I Been Pwned ne répertorie que les fuites publiques. Une quantité significative de données circule en privé sur des marchés du dark web sans jamais être publiée. Pour une surveillance plus complète, des services comme BreachWatch (1Password) ou Identity Guard font une surveillance active du dark web.
Ce n’est pas paranoïa — c’est une réalité documentée. Le Centre canadien pour la cybersécurité publie régulièrement des rapports sur les types de données canadiennes qui se retrouvent sur ces marchés.
Les grandes fuites canadiennes récentes
Je vois régulièrement des clients qui pensent que les fuites, “c’est pour les Américains”. La réalité, c’est que le Canada est frappé de plein fouet — et le Québec en particulier. Voici les cas les plus importants des dernières années, avec ce que ça voulait concrètement dire pour les gens touchés.
Desjardins 2019 — 4,2 millions de membres
La fuite la plus grave de l’histoire bancaire canadienne. Un employé interne a exfiltré les données de 4,2 millions de membres — NAS, revenus, habitudes de transaction, informations personnelles complètes. Ce qui rend cette fuite particulièrement dangereuse : les données incluaient suffisamment d’informations pour ouvrir des lignes de crédit au nom des victimes.
Des années après, des victimes continuent de trouver des comptes frauduleux à leur nom. Si tu étais membre Desjardins avant juin 2019, considère que tes données sont potentiellement entre de mauvaises mains — même si tu n’as jamais reçu de notification directe.
Desjardins a mis en place un service de surveillance du crédit gratuit via Equifax pour les membres affectés. Si tu ne l’as pas activé, c’est encore possible — contacte directement Desjardins.
Bell Canada 2022 — 1,9 million de clients
En janvier 2022, un groupe nommé “Kaotix” a revendiqué le vol de données de 1,9 million de clients actuels et anciens de Bell Canada. Les informations exposées comprenaient : noms, adresses email, numéros de téléphone et identifiants de compte. Pas de mots de passe ni de numéros de carte de crédit dans ce lot — mais les numéros de téléphone combinés aux noms complets sont suffisants pour monter des attaques de SIM swapping.
Bell a envoyé des notifications, mais beaucoup de clients n’ont pas fait le lien avec les tentatives d’hameçonnage qu’ils ont reçues dans les semaines suivantes. Si tu as reçu un email ou un texto bizarre de “Bell” au début de 2022, c’était probablement relié.
Tim Hortons 2022 — géolocalisation d’abonnés
Pas une fuite classique, mais une histoire qui mérite d’être mentionnée. En 2022, le Commissariat à la protection de la vie privée du Canada a conclu que l’application Tim Hortons collectait la géolocalisation des utilisateurs en permanence, même quand l’app était fermée — sans consentement valable. Des millions d’utilisateurs canadiens ont eu leurs déplacements quotidiens enregistrés pendant des mois.
Techniquement, les données n’ont pas été “volées” — elles ont été collectées illégalement par l’entreprise elle-même. La distinction est mince pour la vie privée des utilisateurs.
Rogers Communications 2022 — panne + exposition
La grande panne Rogers de juillet 2022 a touché 12 millions de Canadiens et mis hors ligne les services d’urgence dans plusieurs provinces. Ce qui est moins connu : l’incident a aussi exposé des données internes et de clients dans la période de confusion qui a suivi. Les informations de facturation et de compte de clients ont été accessibles pendant une fenêtre temporaire.
Freedom Mobile / CANTEL — données de crédit
Freedom Mobile (anciennement WIND, anciennement CANTEL) a subi une fuite en 2019 qui a exposé les données de 1,5 million de clients, incluant des informations de carte de crédit. La base de données était accessible sans authentification pendant une période indéterminée. Les clients affectés n’ont pas tous été notifiés dans les délais requis.
Pourquoi c’est important pour toi, même si tu ne te souviens plus
Le problème avec ces fuites, c’est que les données ne disparaissent pas. Elles circulent, se combinent, se revendent. Une adresse email exposée chez Bell + un mot de passe exposé dans une fuite LinkedIn de 2021 + une date de naissance trouvée ailleurs = un profil complet utilisable pour usurper ton identité.
Selon le Commissariat à la protection de la vie privée du Canada, plus de 28 millions de Canadiens ont été affectés par des atteintes à la vie privée signalées entre 2020 et 2023. Ce n’est pas un risque hypothétique.
Par type de données exposées : quoi faire exactement
C’est la section la plus utile, alors je vais être précis. Quand tu vois qu’une fuite a exposé tes données, voici quoi faire selon ce qui a été compromis — pas des généralités, des actions concrètes.
Email + mot de passe exposés
Action immédiate :
- Change le mot de passe sur le service piraté
- Cherche tous les autres sites où tu utilisais ce même mot de passe — change-les tous
- Active le 2FA sur ton adresse email (c’est la priorité absolue — c’est la clé de tout le reste)
- Utilise un gestionnaire de mots de passe (1Password, Bitwarden) pour générer des mots de passe uniques partout
Ce que tu risques si tu ne fais rien : credential stuffing — des bots automatisés testent tes identifiants sur des centaines de sites en quelques minutes.
Numéro de téléphone exposé
Action immédiate :
- Appelle ton opérateur pour activer le verrouillage de SIM (aussi appelé “SIM lock” ou “port freeze”) — cette option empêche quelqu’un de transférer ton numéro vers une autre carte SIM sans vérification supplémentaire
- Bell : 1-866-310-2355 → demande le “SIM lock” ou “port protection”
- Rogers : 1-888-764-3771 → demande le “number lock”
- Telus : 1-866-558-2273 → demande le “SIM swap protection”
- Vidéotron : 1-888-433-8682 → demande le “verrouillage de SIM”
- Méfie-toi des appels ou textos suspects dans les semaines suivantes — ton numéro va être utilisé pour des tentatives de phishing ciblées
Ce que tu risques si tu ne fais rien : SIM swapping — quelqu’un convainc ton opérateur de transférer ton numéro vers sa propre SIM, intercepte tous tes SMS de vérification 2FA et prend le contrôle de tes comptes. C’est une attaque courante et dévastatrice.
Numéro de carte de crédit exposé
Action immédiate :
- Appelle la ligne au dos de ta carte maintenant — demande l’annulation et le remplacement de la carte
- Demande l’envoi d’un relevé de toutes les transactions des 90 derniers jours et conteste tout ce que tu ne reconnais pas
- Active les notifications de transaction en temps réel sur l’app de ta banque si ce n’est pas déjà fait
- Si la fuite date de plusieurs mois, vérifie aussi tes relevés passés
Ce que tu risques si tu ne fais rien : des achats frauduleux, souvent des petits montants d’abord pour “tester” la carte, puis des montants plus importants. Les banques remboursent généralement la fraude, mais ça prend du temps et des démarches.
Numéro d’assurance sociale (NAS) exposé
C’est le scénario le plus sérieux. Un NAS exposé peut être utilisé pour ouvrir des comptes de crédit, des comptes bancaires, faire des demandes de prêt, voire des fraudes fiscales — des années après la fuite initiale.
Action immédiate :
- Gel de crédit chez Equifax Canada : equifax.ca → “Gel de sécurité” — gratuit et réversible. Bloque toute nouvelle demande de crédit à ton nom
- Gel de crédit chez TransUnion Canada : transunion.ca → “Gel de crédit” — même chose, faire les deux
- Alerte à Service Canada : appelle le 1-800-206-7218 pour signaler que ton NAS a été compromis — ils peuvent noter un drapeau sur ton dossier
- Surveille ton avis de cotisation (ARC) — si quelqu’un produit une déclaration en ton nom, tu le vois là
- Contacte le Centre antifraude du Canada : 1-888-495-8501 pour ouvrir un dossier
Le gel de crédit ne protège pas contre la fraude fiscale, mais il bloque l’essentiel : les nouvelles lignes de crédit frauduleuses.
Données médicales exposées
Moins fréquent, mais ça arrive — cliniques, pharmacies, applications de santé. Les données médicales sont particulièrement sensibles parce qu’elles ne changent pas (contrairement à un mot de passe).
Action immédiate :
- Contacte ton assureur santé pour les informer — ils peuvent mettre une note d’alerte sur ton dossier pour détecter des réclamations inhabituelles
- Contacte la Régie de l’assurance maladie du Québec (RAMQ) si les données incluent ton numéro de carte d’assurance maladie
- Documente tout — garde une copie de toute communication avec le service qui a été piraté
- Si c’est une entreprise canadienne qui a subi la fuite, tu peux déposer une plainte auprès du Commissariat à la protection de la vie privée — c’est gratuit et ça compte
Les arnaques de notification de fuite
Voici quelque chose qu’on ne dit pas assez : les fuites de données créent un terrain fertile pour des arnaques secondaires. Et ces arnaques sont souvent plus dangereuses que la fuite elle-même.
Comment ça fonctionne
Quand une grande fuite fait la une — Bell, Desjardins, peu importe — les criminels lancent immédiatement des campagnes de phishing qui imitent les notifications légitimes. Le raisonnement est simple : si des millions de personnes savent qu’il y a eu une fuite, elles sont psychologiquement prêtes à recevoir un email de notification. Leur garde est baissée.
Ces faux emails imitent :
- Have I Been Pwned (ou un service similaire)
- Ta banque qui “confirme” que tu es affecté
- Le gouvernement canadien qui t’offre une “protection”
- L’entreprise piratée elle-même
Les signaux d’alerte
Un vrai service de notification de fuite ne va jamais :
- Te demander de cliquer un lien pour “confirmer ton identité”
- Te demander ton mot de passe actuel pour “vérifier” si tu es affecté
- T’offrir une protection contre la fuite moyennant un paiement immédiat
- Créer une urgence artificielle (“tu as 24 heures pour agir”)
La règle simple
Tu ne cliques jamais un lien dans un email de breach. Jamais.
Si tu reçois une notification de fuite, tu fermes l’email et tu vas directement sur le site officiel en tapant l’URL dans ton navigateur. Pour Have I Been Pwned : tu tapes haveibeenpwned.com toi-même. Pour ta banque : tu appelles le numéro au dos de ta carte. Pour Desjardins : tu appelles le numéro sur ton relevé.
C’est tout. Ce réflexe simple te protège contre 90% des arnaques de phishing liées aux fuites.
L’aliasing email comme protection proactive
Il y a une approche que la plupart des gens ne connaissent pas encore mais qui change vraiment la donne : utiliser des alias d’email plutôt que ton vraie adresse partout.
Comment ça fonctionne
Des services comme SimpleLogin (racheté par Proton, gratuit avec plan de base) ou addy.io (anciennement AnonAddy) te permettent de créer des adresses email temporaires qui redirigent vers ta vraie boîte.
Par exemple :
- Tu t’inscris sur un forum : tu donnes
achats-forum2024@simplelogin.com - Tu commandes en ligne : tu donnes
boutique-xyz@simplelogin.com - Chaque service a son alias unique
Quand cette boutique en ligne se fait pirater, seul l’alias boutique-xyz@simplelogin.com est exposé — pas ta vraie adresse. Tu coupes l’alias en un clic depuis le tableau de bord SimpleLogin. Fini. La vraie adresse n’est jamais exposée.
L’avantage concret
Si tu commences à recevoir du spam sur un alias spécifique, tu sais exactement quel service a vendu ou perdu tes données. Et tu règles le problème en désactivant l’alias — sans avoir à changer tous tes comptes.
C’est une protection proactive. Plutôt que de réagir après une fuite, tu t’organises pour que les fuites futures aient un impact minimal.
SimpleLogin s’intègre directement avec Proton Mail et fonctionne aussi avec n’importe quelle autre boîte email. Le plan gratuit permet 10 alias — largement suffisant pour commencer.
Pour une explication complète de l’aliasing et comment le mettre en place, consulte notre guide : Email alias avec SimpleLogin et addy.io
Résumé : ta checklist complète
Vérification de base (à faire maintenant) :
- Tester toutes tes adresses email sur haveibeenpwned.com
- Tester tes mots de passe les plus importants sur haveibeenpwned.com/Passwords
- Activer les alertes Firefox Monitor
- Changer tout mot de passe marqué comme exposé
- Activer le 2FA sur email et comptes bancaires
Si ton email + mot de passe ont été exposés :
- Changer le mot de passe sur le service piraté
- Identifier et changer tous les comptes avec le même mot de passe
- Activer le 2FA sur ton adresse email en priorité
Si ton numéro de téléphone a été exposé :
- Activer le verrouillage SIM chez ton opérateur (Bell / Rogers / Telus / Vidéotron)
- Méfiance accrue envers les appels et textos inconnus
Si ton numéro de carte de crédit a été exposé :
- Appeler ta banque pour annuler et remplacer la carte
- Contester les transactions suspectes
Si ton NAS a été exposé :
- Gel de crédit chez Equifax Canada
- Gel de crédit chez TransUnion Canada
- Signalement à Service Canada (1-800-206-7218)
- Surveiller l’avis de cotisation ARC
Si des données médicales ont été exposées :
- Alerter ton assureur santé
- Contacter la RAMQ si ton numéro de carte d’assurance maladie est impliqué
Protection proactive :
- Consulter son dossier de crédit si des données financières ont été exposées
- Adopter un gestionnaire de mots de passe (Bitwarden gratuit, 1Password payant)
- Commencer à utiliser des alias email (SimpleLogin ou addy.io) pour les nouvelles inscriptions
- Ne jamais cliquer un lien dans un email de notification de fuite — aller directement sur le site
Tu as trouvé une fuite sérieuse et tu ne sais pas quoi faire ? Je peux t’aider à évaluer l’impact et à définir les prochaines étapes concrètes. Appelle directement au (888) 418-4932 ou écris à page contact — j’aide les particuliers et les petites entreprises au Québec à reprendre le contrôle après une fuite.
Voir aussi : Comment savoir si ton téléphone est espionné — Vol d’identité au Canada : quoi faire dans les 48 premières heures — Dark web et Have I Been Pwned : guide complet de surveillance
