Sophie et Arnaud, un couple de Laval, achetaient leur première maison à l’automne 2024. Après des mois de recherche, une offre acceptée, une inspection, des négociations, ils étaient à deux semaines de la signature chez le notaire. Il ne restait qu’une étape : virer leur mise de fonds de 67 000 $ au notaire avant la signature.
Ils ont reçu un courriel de l’adresse du notaire — la même qu’ils utilisaient depuis deux mois — avec les coordonnées bancaires pour le virement. L’adresse était correcte, le ton familier, la signature identique aux autres courriels. Ils ont viré les 67 000 $.
Le notaire n’a jamais reçu l’argent. Trois jours avant la signature, il les a appelés pour demander où était la mise de fonds.
L’argent était parti vers un compte aux Émirats arabes unis. Il n’a jamais été récupéré.
Qu’est-ce que la fraude immobilière Man-in-the-Middle
Cette arnaque porte plusieurs noms : fraude BEC (Business Email Compromise) dans le contexte immobilier, attaque de l’homme du milieu (Man-in-the-Middle ou MitM) appliquée aux transactions immobilières, ou encore “wire fraud” dans la terminologie américaine.
Le principe est simple mais l’exécution est chirurgicale. Un escroc compromet le compte courriel d’un des intermédiaires dans la chaîne de transaction immobilière — courtier, notaire, agent, parfois même l’institution financière. Ou, plus souvent, il usurpe l’identité de cet intermédiaire sans nécessairement compromettre son compte (en créant une adresse presque identique : sophie.tremblay@etude-notariale.ca devient sophie.tremblay@etude-notariale-ca.com).
L’escroc surveille ensuite les échanges de courriels pendant des semaines, apprenant les noms, les montants, les détails de la transaction. Au moment le plus opportun — juste avant que le virement doit être effectué — il envoie de fausses instructions de virement avec ses propres coordonnées bancaires.
La victime, qui échange depuis des mois avec cet intermédiaire, fait confiance au courriel. Elle vire.
Les chiffres au Canada et aux États-Unis
Aux États-Unis, le FBI a documenté que la fraude immobilière BEC représentait plus de 446 millions de dollars de pertes en 2022, faisant des transactions immobilières la cible BEC la plus lucrative après les transferts d’entreprise. La fraude a augmenté de 72 % entre 2020 et 2022.
Au Canada, les données sont plus fragmentées. Le CAFC ne ventile pas les pertes BEC par secteur, mais l’OACIQ (l’organisme régulateur des courtiers immobiliers québécois) a émis plusieurs alertes aux professionnels du secteur entre 2021 et 2024. Des cas ont été documentés en Ontario, en Colombie-Britannique et au Québec.
La raison pour laquelle cette fraude est si lucrative : les montants en jeu sont énormes par rapport à la plupart des arnaques. Une transaction immobilière typique à Montréal implique des mises de fonds de 50 000 $ à 150 000 $ — parfois plus. Un seul coup réussi rapporte plus qu’une centaine d’arnaques téléphoniques ordinaires.
Comment les escrocs accèdent à vos courriels immobiliers
Il existe plusieurs points d’entrée dans la chaîne de communication d’une transaction immobilière.
Compromission du compte courriel d’un intermédiaire
La méthode la plus puissante : pirater le vrai compte courriel du courtier ou du notaire. Cela se fait typiquement par :
Hameçonnage (phishing) ciblé. Le courtier reçoit un courriel qui ressemble à une notification de son service courriel (“Votre compte a été compromis, reconnectez-vous”) ou à une demande de document d’une “autre transaction”. Il clique, entre ses identifiants, et l’escroc a accès.
Credential stuffing. Si le courtier utilise le même mot de passe pour son courriel professionnel et d’autres services, et que l’un de ces services a subi une fuite de données, l’escroc peut essayer ces identifiants sur d’autres plateformes. Des millions de combinaisons email/mot de passe circulent sur le dark web — vérifiables sur HaveIBeenPwned.
Attaque sur l’infrastructure. Dans certains cas documentés, des studios de notaires ou des agences immobilières plus petites avec des systèmes IT peu sécurisés ont été compromis via des vulnérabilités dans leurs serveurs de messagerie.
Usurpation d’identité sans compromission du compte
Plus simple : l’escroc ne pirate pas le vrai compte, il en crée un qui ressemble. Des domaines quasi-identiques : notaire-martin.qc.ca devient notaire-martin.qc.ca.co, ou notairemartinqc.com. Ces domaines sont achetés pour quelques dollars et configurés en quelques heures.
La différence est souvent invisible à la lecture rapide d’un courriel, surtout sur mobile où l’adresse complète n’est pas toujours affichée.
Dans ce cas, l’escroc n’a pas accès aux vrais échanges — il doit deviner le bon moment pour frapper. Il le fait souvent en cherchant des informations publiques (annonces immobilières, registres fonciers, réseaux sociaux) pour identifier des transactions en cours.
Le scénario étape par étape
Pour comprendre pourquoi cette fraude est si efficace, voici la chronologie typique d’une attaque réussie.
Semaine 1-2 après la compromission : L’escroc lit les échanges en silence. Il apprend les noms de toutes les parties, le montant de la transaction, le nom du notaire, la date de signature prévue, les numéros de compte bancaire déjà échangés. Il ne fait rien — il observe.
3-4 semaines avant la signature : L’escroc prépare sa fausse adresse courriel ou ses faux documents. Il configure un compte bancaire intermédiaire (souvent dans un pays à contrôles moins stricts) vers lequel les fonds seront redirigés avant d’être transférés ailleurs.
1-2 semaines avant la signature : Le moment de frapper. L’escroc envoie un courriel depuis l’adresse compromise ou l’adresse usurpée, en se faisant passer pour le notaire ou le courtier. Le courriel indique un “changement de coordonnées bancaires pour des raisons administratives” ou donne simplement les coordonnées comme si c’était la première fois. Il peut aussi envoyer un PDF qui ressemble à un formulaire officiel.
Le jour du virement : La victime, en confiance, vire la mise de fonds. L’escroc reçoit l’alerte de dépôt, transfère immédiatement les fonds vers d’autres comptes dans d’autres pays (parfois en crypto pour brouiller les pistes), et disparaît.
Jour J : la signature chez le notaire. Le notaire constate que la mise de fonds n’est pas arrivée. Les acheteurs, stupéfaits, réalisent ce qui s’est passé.
La fenêtre de récupération est typiquement de 24 à 72 heures maximum. Après ça, les fonds sont dispersés dans des juridictions multiples et pratiquement irrécupérables.
Cas réels documentés au Québec et au Canada
Le cas de la famille Nguyen à Brossard (2023)
Rapporté par Radio-Canada en 2023, une famille de Brossard a perdu 92 000 $ lors d’une fraude qui ciblait leur transaction immobilière. Un courriel avec des coordonnées bancaires modifiées avait été envoyé depuis une adresse quasi-identique à celle de leur courtier. La Sûreté du Québec a ouvert une enquête. Les fonds n’ont pas été récupérés.
Les avertissements de la Chambre des notaires (2022-2024)
La Chambre des notaires du Québec a émis deux bulletins d’alerte formels en 2022 et 2024, informant ses membres de l’augmentation des tentatives de fraude ciblant les transactions immobilières. Elle recommande explicitement aux notaires d’établir des protocoles de vérification téléphonique pour tous les virements importants.
Le rapport de l’OACIQ (2023)
L’OACIQ (Organisme d’autoréglementation du courtage immobilier du Québec) a intégré des modules de formation sur la fraude BEC dans ses programmes de formation continue pour courtiers, en réponse à une augmentation documentée des tentatives signalées par ses membres.
Protocoles de protection : ce que vous devez exiger
Voici les mesures concrètes à mettre en place avant tout virement important lié à une transaction immobilière.
1. Vérification téléphonique obligatoire des coordonnées bancaires
Avant de virer la moindre somme, appelez votre notaire ou courtier sur un numéro que vous avez trouvé vous-même — pas un numéro dans le courriel qui vous a envoyé les coordonnées. Cherchez le numéro sur le site officiel de l’étude notariale ou sur la fiche de l’OACIQ.
Confirmez verbalement, chiffre par chiffre : numéro de transit, numéro d’institution, numéro de compte. Ne vous contentez pas d’un “oui, c’est correct” — lisez les chiffres à voix haute et demandez confirmation.
Cette étape prend cinq minutes. Elle peut vous éviter de perdre votre mise de fonds.
2. Code de vérification hors courriel
Établissez avec votre notaire dès le début de la relation un protocole de vérification : toute instruction de virement sera confirmée par un appel téléphonique ou un SMS depuis un numéro pré-établi, avant d’être exécutée. Certaines études notariales offrent maintenant ce service ; si le vôtre ne le propose pas, demandez-le explicitement.
3. Méfiance systématique envers tout changement de coordonnées
Si vous recevez un courriel indiquant que les coordonnées bancaires ont changé — pour quelque raison que ce soit — traitez-le comme une alerte rouge. Les vrais notaires et institutions financières ne changent pas leurs coordonnées bancaires à la dernière minute via courriel. Vérifiez par téléphone avant toute action.
4. Vérification du domaine courriel
Avant de répondre ou d’agir sur un courriel important, vérifiez l’adresse complète de l’expéditeur — pas juste le nom affiché. Sur mobile, appuyez sur le nom de l’expéditeur pour voir l’adresse complète. Comparez-la aux courriels précédents caractère par caractère.
Des outils comme VirusTotal permettent de vérifier si un domaine est suspect.
5. Authentification à deux facteurs sur votre courriel
Si votre compte courriel est compromis, l’escroc peut accéder à tous vos échanges immobiliers. Activez l’authentification à deux facteurs sur votre compte courriel — Gmail, Outlook, ou autre. Voir notre guide sur la sécurité des comptes 2FA.
Ce que les professionnels immobiliers doivent faire
La responsabilité de prévention ne repose pas uniquement sur les acheteurs. Les courtiers et notaires sont des cibles primaires dans ces fraudes, et leur niveau de sécurité affecte directement leurs clients.
Pour les notaires :
- Activer l’authentification à deux facteurs sur tous les comptes courriel professionnels
- Utiliser un gestionnaire de mots de passe (voir notre guide sur les gestionnaires de mots de passe)
- Établir un protocole écrit de vérification téléphonique pour tous les virements
- Informer les clients dès le premier contact de la procédure de vérification
- Utiliser des plateformes de communication sécurisées pour l’échange de coordonnées bancaires sensibles
Pour les courtiers :
- Former les équipes à reconnaître les tentatives de phishing ciblé
- Vérifier régulièrement si les domaines de l’agence sont usurpés (cherche ton domaine sur des sites de monitoring de domaines similaires)
- Signaler immédiatement à l’OACIQ tout incident de sécurité
La Chambre des notaires du Québec dispose d’un fonds d’assurance responsabilité qui peut couvrir des clients dans certains cas de fraude impliquant une faute professionnelle. La consultation d’un avocat est nécessaire pour évaluer les recours.
Recours après une fraude immobilière
Si vous avez été victime malgré les précautions, agissez dans les premières heures.
Immédiatement :
- Appelez votre banque — demandez un recall du virement si les fonds n’ont pas encore été retirés du compte destinataire
- Signalez à la GRC : 1-800-387-0020 (centre de fraude national)
- Portez plainte à votre service de police local — une plainte formelle est nécessaire pour toute poursuite
- Signalez au CAFC : 1-888-495-8501
Dans les 48 heures : 5. Consultez un avocat spécialisé en droit immobilier ou en cybercriminalité 6. Si un courtier est impliqué, signalez à l’OACIQ : 1-800-440-5805 7. Si un notaire est impliqué, contactez la Chambre des notaires du Québec : 1-800-668-2473 8. Contactez votre assureur — certaines polices d’assurance habitation ou de titre couvrent des pertes liées à la fraude immobilière
Les chances de récupérer les fonds diminuent exponentiellement avec le temps. Une action dans les deux premières heures donne les meilleures chances — même minces.
Assurance titre et protection contre la fraude
Un instrument peu connu des acheteurs québécois : l’assurance titre. Populaire depuis des décennies aux États-Unis, elle arrive progressivement au Canada. Elle couvre certaines pertes liées à des problèmes de titre de propriété, et certaines politiques incluent maintenant des couvertures liées à la fraude dans les transactions.
Des compagnies comme FCT (First Canadian Title) et Stewart Title offrent des polices disponibles au Québec. Le coût est relativement modeste par rapport à la valeur de la transaction. Parlez-en avec votre notaire avant la signature.
Pourquoi le marché immobilier québécois est particulièrement attractif pour les escrocs
Les escrocs ne choisissent pas le Québec par hasard. Plusieurs facteurs structurels du marché immobilier local créent une concentration de vulnérabilités.
La forte hausse des prix depuis 2020. La mise de fonds médiane pour une propriété à Montréal dépasse maintenant 80 000 $ pour les acheteurs de première maison — un montant qui justifie, du point de vue des escrocs, plusieurs semaines de préparation pour une seule attaque réussie.
Le système notarial québécois. Contrairement à d’autres provinces canadiennes où les avocats gèrent les transactions, le Québec utilise un système de notaires civils. Cette spécificité québécoise signifie que la chaîne de communication (acheteur → courtier → notaire) est légèrement différente des attentes des protocoles de sécurité développés pour d’autres marchés. Les notaires québécois ont des obligations professionnelles strictes, mais les pratiques de sécurité numérique varient considérablement entre les études.
La proportion de premières transactions. Les primo-accédants — personnes qui achètent pour la première fois — sont surreprésentés dans les victimes de fraude immobilière. Ils connaissent moins les processus standards, ont moins de points de référence pour identifier ce qui est normal ou anormal dans les communications, et sont émotionnellement investis dans la transaction (ce qui rend la vigilance plus difficile).
Les transactions rapides dans un marché tendu. Dans certaines périodes du marché immobilier québécois (2021-2022 particulièrement, et de nouveau depuis 2024 dans certains segments), les acheteurs doivent agir vite. La pression de temps réduit les opportunités de vérification — exactement ce que les escrocs veulent.
Ce que font (et ne font pas) les institutions financières
Une question légitime : pourquoi votre banque ne vous prévient-elle pas avant d’exécuter un virement immobilier vers un compte inconnu ?
Les banques canadiennes ont des systèmes de détection de fraude — des algorithmes qui signalent les virements inhabituels. Mais ces systèmes sont calibrés pour les patterns de transaction normaux. Un virement unique de 70 000 $ vers un compte inconnu, initié par un client sans historique de transactions similaires, peut déclencher une alerte — ou pas, selon la banque et le montant spécifique.
Desjardins, TD, RBC et BMO ont tous renforcé leurs protocoles de vérification pour les virements immobiliers depuis 2022. Certains ajoutent un délai de 24-48 heures pour les virements importants vers de nouveaux bénéficiaires. D’autres ont mis en place des appels de vérification pour les montants dépassant certains seuils.
Ces mesures aident mais ne sont pas infaillibles. L’escroc qui a préparé son attaque pendant des semaines a souvent anticipé ces délais — il aura configuré le compte destinataire pour qu’il paraisse plus “établi”, ou il aura convaincu la victime d’initier le virement quelques jours avant la date limite pour “laisser le temps au traitement”.
La protection la plus robuste reste la vérification téléphonique indépendante — une étape que la banque ne peut pas faire à votre place.
La fraude immobilière dans le contexte plus large de la cybercriminalité
La fraude immobilière BEC fait partie d’un phénomène plus large : la compromission de courriels d’affaires (Business Email Compromise). Selon le rapport 2024 du Verizon Data Breach Investigations Report, le BEC représente plus de 9 milliards de dollars de pertes mondiales annuelles — le type de fraude en ligne le plus coûteux au monde, devant les ransomwares.
Ce qui rend le BEC immobilier particulièrement dévastateur : les victimes ont souvent investi toutes leurs économies dans la mise de fonds. Pour un jeune couple qui achète sa première maison, perdre 70 000 $ peut signifier perdre des années de sacrifices financiers, l’opportunité d’accéder à la propriété, et parfois la transaction elle-même si les fonds ne peuvent pas être reconstitués à temps.
La fraude BEC qui cible les PME (virement vers un fournisseur frauduleux) suit des mécanismes similaires — si vous dirigez une entreprise, consultez notre article sur la fraude BEC vers les fournisseurs au Québec.
La transaction immobilière est souvent la plus grande décision financière d’une vie. Elle implique des montants qui concentrent les économies d’années de travail dans un seul virement. Ça en fait une cible parfaite pour des criminels qui investissent des semaines à préparer une attaque chirurgicale.
La protection est simple en théorie, compliquée à maintenir dans le stress d’une transaction : vérifier les coordonnées bancaires par téléphone, systématiquement, avant tout virement. Cinq minutes qui peuvent tout changer.
Pour une évaluation de la posture de sécurité de votre étude ou de votre entreprise, ou pour former votre équipe à reconnaître les tentatives BEC, contactez Sequr ou visitez sequr.ca/contact.
Articles connexes :
