NAS volé au Canada : 7 étapes dans les 48 premières heures

En janvier 2026, Nathalie (52 ans, infirmière à Québec) reçoit un appel de sa banque. « Madame, pouvez-vous confirmer que vous avez ouvert une marge de crédit de 30 000 $ hier chez une institution en Ontario? »

Non, elle n’avait rien ouvert. Quelqu’un d’autre, quelque part, avait utilisé son nom, son adresse, sa date de naissance et son numéro d’assurance sociale pour demander un crédit ailleurs. La demande était sur le point d’être approuvée quand un algorithme anti-fraude a détecté une incohérence géographique.

Son NAS? Volé en 2019 dans la fuite Desjardins. Sept ans plus tard, il circulait toujours, activement utilisé.

Le numéro d’assurance sociale est la clé maîtresse de votre identité au Canada. Contrairement à un numéro de carte de crédit qu’on peut remplacer en 48 heures, le NAS est attaché à vous pour la vie (sauf cas exceptionnels). Il sert à presque tout : impôts, emploi, crédit, banque, pension, RAMQ, assurance chômage.

Si votre NAS est exposé — par une fuite de données, un vol de portefeuille, une arnaque phishing, un papier trouvé dans la poubelle — les 48 heures qui suivent déterminent la suite. Voici la procédure exacte, validée par le Centre antifraude du Canada, le Commissariat à la protection de la vie privée et Service Canada.

Avant tout : NAS exposé ≠ NAS utilisé

Première distinction critique à faire. Beaucoup de gens confondent les deux et paniquent — ou au contraire ignorent complètement le problème.

NAS exposé : votre numéro est potentiellement dans les mains de fraudeurs. Ça arrive quand :

• Vous étiez dans une fuite (Desjardins 2019, LifeLabs 2019, Indigo 2023, certaines brèches RH d’employeurs)
• Vous avez cliqué sur un phishing et entré votre NAS
• Vous avez perdu un document (lettre d’impôt, relevé) contenant votre NAS
• Un ancien employeur a eu une brèche

À ce stade, aucun dommage concret n’est fait. Mais le risque est élevé — les bases de NAS volés se vendent et se re-vendent pendant des années.

NAS utilisé : un fraudeur s’en est servi activement pour :

• Ouvrir un compte bancaire ou une carte de crédit
• Faire une demande de prêt ou d’hypothèque
• Déposer une fausse déclaration d’impôts à votre place pour voler votre remboursement
• Ouvrir un compte cellulaire ou un abonnement Internet
• Postuler à un emploi (travail au noir à votre nom, votre RAMQ bloquée plus tard)
• Demander des prestations (AE, Sécurité de la vieillesse, SV, RRQ)

Les conséquences arrivent ici. Dettes à rembourser, dossier de crédit détruit, retours d’impôts bloqués, contact de l’ARC pour des revenus que vous n’avez jamais eus.

Les étapes qui suivent s’appliquent dans les deux cas, mais avec une urgence supérieure si vous savez que le NAS est activement utilisé.

Étape 1 — Service Canada (dans les 12 premières heures)

Téléphone : 1-866-274-6627 Heures : lundi-vendredi 8 h 30-16 h 30 HE

Premier appel à faire. Service Canada est l’entité qui gère le Régime d’assurance sociale. Ils notent l’incident dans votre dossier. Ce signalement est essentiel si plus tard vous demandez un nouveau NAS.

Ce qu’ils font :

• Flaggent votre dossier comme « potentiellement compromis »
• Vous guident sur les démarches à entreprendre
• Vous envoient une trousse d’information par courrier

Ce qu’ils ne font pas (et que les gens s’attendent souvent à ce qu’ils fassent) :

• Ils ne changent pas automatiquement votre NAS. Le changement est très restreint — lire plus bas.
• Ils ne contactent pas les bureaux de crédit pour vous.
• Ils ne contactent pas l’ARC ni Revenu Québec pour vous.

Important : demandez un numéro de dossier et notez l’heure de l’appel. Ça sert de preuve pour toutes les démarches suivantes.

Peut-on vraiment changer son NAS?

Théoriquement oui, mais Service Canada accorde un nouveau NAS très rarement. Les critères officiels :

• Vous devez prouver que votre NAS a été utilisé frauduleusement (pas simplement exposé)
• Vous devez avoir fourni des preuves documentées (rapport de police, lettres de l’ARC, comptes ouverts à votre nom)
• Vous devez démontrer que les mesures de protection habituelles n’ont pas suffi

Moins de 5 % des demandes de changement de NAS sont approuvées. Et le nouveau NAS n’efface pas l’ancien — toute votre histoire financière pré-changement reste liée à l’ancien, ce qui peut créer des problèmes (pension, historique d’emploi, anciens dossiers).

La plupart des experts recommandent de NE PAS changer le NAS sauf dans les cas extrêmes, et plutôt de geler le crédit et sécuriser les canaux qui pourraient être utilisés.

Étape 2 — Equifax Canada (dans les 24 h)

Site : equifax.ca — option Credit Lock (gratuit)

Comme détaillé dans notre article sur le gel de crédit, Equifax offre un verrouillage gratuit de votre dossier en ligne.

Procédure :

1. Créer un compte myEquifax (si pas déjà fait) — 15 minutes
2. Activer Credit Lock — 1 clic
3. Noter le NIP de dégel dans un gestionnaire de mots de passe sécurisé

Alternative ou complément : placer une alerte de fraude (gratuite, 6 ans de durée). L’alerte demande aux prêteurs de vous appeler avant d’approuver une nouvelle demande. Moins protectrice que le gel, mais utile si vous avez besoin de faire des demandes de crédit dans les prochains jours.

Appel direct Equifax (si incapable en ligne) : 1-866-779-6440

Étape 3 — TransUnion Canada (dans les 24 h)

Téléphone : 1-800-663-9980 Heures : lundi-vendredi 8 h-17 h HE

TransUnion n’a pas de verrouillage en ligne aussi simple qu’Equifax. Il faut passer par téléphone.

Demandez clairement :

• Activation d’un gel de crédit permanent
• Une alerte de fraude en complément (7 ans de durée)

Préparez votre identité (nom, date de naissance, NAS, adresse, anciennes adresses). L’agent vérifie avec des questions basées sur votre dossier.

Confirmation par courrier postal dans 10-14 jours — gardez cette lettre.

Étape 4 — Agence du revenu du Canada (ARC) dans les 24 h

Téléphone : 1-800-959-7383 (particuliers)

L’ARC est une cible privilégiée des fraudeurs. Avec votre NAS, ils peuvent :

• Déposer une fausse déclaration pour récupérer votre remboursement
• Modifier votre adresse postale pour détourner les chèques
• Changer votre compte bancaire de dépôt direct
• Réclamer faussement des prestations (PCU, SSUC, PCRE lors des urgences COVID — encore actif pour certaines prestations)

Demandez à l’agent :

1. Activer un « NIP de protection » sur votre compte. C’est un code supplémentaire requis pour accéder à votre dossier en ligne ou par téléphone. Un fraudeur avec votre NAS mais sans ce NIP sera bloqué.

2. Vérifier qu’aucune modification récente n’a été faite (adresse, dépôt direct, bénéficiaires de prestations).

3. Activer les notifications courriel pour toute modification future.

4. Demander un ‘indicateur de préoccupations liées à la fraude’ sur votre compte. Ça alerte tous les agents de l’ARC qui consultent votre dossier.

Étape 5 — Revenu Québec (dans les 24 h)

Téléphone : 1-800-267-6299 (Montréal/Québec : 514-864-6299 / 418-659-6299)

Au Québec, il y a deux administrations fiscales en parallèle : l’ARC (fédéral) et Revenu Québec (provincial). Les fraudes peuvent cibler les deux indépendamment.

Demandez :

1. Vérification de votre dossier — aucune fausse déclaration récente, aucun changement d’adresse ou de dépôt direct.

2. Signalement d’incident de sécurité — ajout d’une note au dossier.

3. Activation du service de vérification renforcée — tout changement futur nécessitera une vérification additionnelle.

4. Notifications courriel pour toute activité sur le dossier.

Revenu Québec a également un formulaire en ligne pour signaler la fraude : revenuquebec.ca → Nous joindre → Signaler une situation inhabituelle.

Étape 6 — Police locale (dans les 48 h)

Pourquoi porter plainte même sans utilisation avérée du NAS? Trois raisons :

1. Dossier préventif : si votre NAS est utilisé frauduleusement plus tard, vous aurez une plainte antérieure qui prouve que vous étiez au courant de l’exposition.

2. Numéro de dossier police : requis par plusieurs institutions (banque, ARC) avant d’annuler certaines transactions frauduleuses.

3. Statistiques et enquêtes : les services de police utilisent les plaintes pour identifier des réseaux de fraude actifs dans votre région.

Numéros non-urgence (évitez le 911 sauf danger immédiat) :

• SPVM (Montréal) : 514-280-2222
• SPVQ (Ville de Québec) : 418-641-2447
• Sûreté du Québec (reste du Québec) : 310-4141 (sans indicatif)
• GRC (fraude fédérale) : via votre police locale, qui réfère si nécessaire

Ce que vous obtenez : un numéro de dossier et idéalement un contact d’un agent cybercriminalité si votre cas est significatif.

Étape 7 — Banque et institutions financières (dans les 48 h)

Contactez chaque institution où vous avez un compte et demandez :

1. Verrouillage de toute nouvelle demande d’ouverture de compte à votre nom depuis cette institution.

2. Vérification des dernières transactions et des tentatives d’accès à vos comptes existants.

3. Rehaussement de la sécurité : NIP supplémentaire pour accès téléphonique, vérification renforcée au comptoir, alertes SMS pour toute transaction.

4. 2FA sur les accès en ligne — s’assurer que c’est activé et via application (pas SMS si possible).

Institutions à appeler (si concernées) :

• Banque principale
• Banques secondaires (Tangerine, Simplii, Banque Nationale, etc.)
• Coopérative (Desjardins)
• Courtier d’assurance-vie / placements
• Courtier hypothécaire
• Émetteurs de cartes de crédit (Amex, Capital One, MBNA, Canadian Tire Financial si séparés de la banque)

Étapes de suivi — semaines 1 à 4

Semaine 1

Surveiller les courriels et SMS : toute notification inhabituelle (ouverture de compte, demande de crédit, changement de mot de passe) doit déclencher une vérification immédiate.

Vérifier Have I Been Pwned : entrez votre courriel sur haveibeenpwned.com. Notez les fuites dans lesquelles vous étiez. Changez tous les mots de passe concernés.

Activer les alertes de vérification de crédit : Equifax et TransUnion offrent des alertes par courriel à chaque consultation de dossier (payant, environ 20 $/mois chez Equifax Complete — souvent plus utile que le gel seul pour les 12 premiers mois suivant une exposition).

Semaine 2

Demander votre dossier de crédit complet (gratuit une fois par an par la poste chez chaque bureau). Vérifiez ligne par ligne que toutes les adresses, tous les comptes, toutes les requêtes récentes vous appartiennent. Toute anomalie = signalement immédiat.

Vérifier le compte ARC « Mon dossier » en ligne — comptes bancaires liés, adresse, prestations réclamées. Faire de même sur Revenu Québec « Mon dossier citoyen ».

Semaine 3-4

Vérifier le cellulaire : appelez Bell, Rogers, Telus, Vidéotron ou Freedom. Confirmez qu’aucune ligne n’a été ouverte à votre nom. Demandez un NIP de compte pour toute modification future (protection anti-SIM swap).

Vérifier les services publics : Hydro-Québec, Énergir. Ces comptes peuvent parfois être ouverts sans validation forte.

Notifier votre employeur (si NAS exposé via brèche RH ou dans un contexte professionnel). Les RH peuvent alors surveiller les dépôts de paie et les demandes de modification.

La fuite Desjardins 2019 — toujours active en 2026

Desjardins est le cas emblématique au Québec. En juin 2019, un employé a volé et revendu les données de 2,9 millions de membres : NAS, nom complet, date de naissance, adresse, numéro de téléphone, courriel, habitudes bancaires.

Ce que Desjardins a offert :

• 5 ans de surveillance Equifax gratuite (qui a expiré en 2024 pour la plupart des membres)
• Un site d’information
• Des compensations dans le cadre d’un recours collectif (distribuées en 2022-2023)

Ce que ça n’a pas empêché :

• Des centaines de cas documentés de fraude sur les années 2020-2025
• La revente continue des données sur les marchés criminels
• Le ciblage des membres Desjardins par des campagnes de phishing hyper-personnalisées (« Bonjour Marie, votre compte Desjardins… »)

Si vous étiez membre de Desjardins entre 2009 et 2019, considérez que votre NAS est exposé. Les 7 étapes décrites dans cet article s’appliquent à vous, même 7 ans plus tard.

Les fuites majeures qui ont exposé des NAS canadiens (2019-2025)

Pour référence, voici les principales brèches canadiennes qui ont potentiellement exposé des NAS :

• Desjardins 2019 — 2,9 millions (NAS confirmés)
• LifeLabs 2019 — 15 millions de Canadiens (informations de santé, certains NAS)
• Ville de Saint John NB 2020 — ransomware, données RH
• Flair Airlines 2022 — données passagers (certaines incluant NAS pour voyages internationaux)
• Indigo 2023 — ransomware LockBit, données d’employés (NAS)
• Nova Scotia PowerSchool 2024 — données étudiants et enseignants
• Indigo Books & Music 2023 — employés et clients
• Employment and Social Development Canada (divers petits incidents 2020-2024)
• Multiples hôpitaux ontariens 2023 (5 hôpitaux, données patients)

Si vous avez été en contact avec une de ces organisations, considérez votre NAS comme potentiellement exposé.

Checklist imprimable — NAS exposé

• Service Canada 1-866-274-6627 (signaler, obtenir numéro de dossier)
• Equifax Credit Lock sur equifax.ca (gel gratuit)
• TransUnion gel 1-800-663-9980
• ARC 1-800-959-7383 (NIP de protection + alertes)
• Revenu Québec 1-800-267-6299 (signalement + vérification dossier)
• Police locale (numéro de dossier)
• Banque principale (vérification comptes + NIP additionnel)
• Haveibeenpwned.com (vérifier autres fuites liées au courriel)
• Changer tous les mots de passe clés (courriel, banque, ARC, Revenu Québec)
• 2FA par application sur tous les comptes critiques
• Cellulaire : NIP de compte télécom
• Noter tous les NIPs de dégel dans gestionnaire de mots de passe
• Calendrier : revue annuelle des dossiers Equifax + TransUnion

Ce que Sequr fait pour vous

On accompagne les Québécois qui découvrent que leur NAS a été exposé — que ce soit par une notification officielle (brèche employeur, fuite institutionnelle) ou par détection après coup (transaction frauduleuse, appel de banque).

La procédure est longue, il y a 7 numéros à appeler, des comptes à créer, des NIPs à mémoriser. Laissée seul, beaucoup de gens en font 2 ou 3 étapes et abandonnent les autres — ce qui laisse des portes ouvertes.

Avec nous :

• Session complète de 1 h 30 à 2 h où on fait toutes les étapes ensemble en visioconférence ou par téléphone
• Documentation chiffrée de tous vos NIPs et numéros de dossier dans un coffre-fort sécurisé
• Suivi à 1 mois et 3 mois pour vérifier les dossiers de crédit
• Audit complémentaire des appareils si vous suspectez un malware à l’origine de la fuite
• Accompagnement dans la rédaction de plaintes (police, AMF, Commissariat) si nécessaire
• Tarif fixe : 149 $ (1 personne) ou 249 $ pour un couple

Le NAS est l’ADN administratif canadien. Une fois exposé, il faut agir dans les 48 heures pour cadenasser toutes les portes que les fraudeurs peuvent pousser. Chaque heure compte dans les 24 premières — après, c’est du rattrapage.

Et ne comptez pas sur Service Canada pour vous donner un nouveau numéro. Le bon réflexe, c’est de verrouiller tout ce qui peut être verrouillé avant que le NAS serve à quelqu’un d’autre.