Sophie de Sherbrooke avait reçu des tas de courriels de phishing dans sa vie. Elle savait les reconnaître — les fautes d’orthographe, les logos flous, les adresses suspectes. Elle pensait être immunisée.
Le courriel qu’elle a reçu un mardi soir ne ressemblait à rien de ce qu’elle avait vu avant.
Logo Desjardins parfait. Mise en page identique à celle de l’application. Son prénom en haut. Son numéro de membre partiel, masqué : ***-***-4821. L’objet : « Action requise — activité inhabituelle détectée sur votre compte AccèsD. »
Le message expliquait qu’une tentative de connexion depuis Vancouver avait été bloquée. Pour confirmer son identité et sécuriser son compte, elle devait cliquer et s’identifier dans les 24 heures, sans quoi son accès serait suspendu.
Sophie a cliqué. Elle a entré son code d’accès et son NIP sur ce qui ressemblait exactement au portail AccèsD. La page a affiché « Vérification en cours… » puis l’a redirigée vers le vrai site de Desjardins, comme si elle venait de se connecter normalement.
Trois minutes plus tard, un virement de 1 400 $ était initié vers un compte inconnu.
Le courriel venait de no-reply@desjardins-accesd-securite.com. Pas de desjardins.com. Un domaine enregistré 11 jours avant l’attaque.
Ce que les chiffres disent en 2026
Le Centre antifraude du Canada a enregistré plus de 554 millions de dollars en pertes pour 2023. Le hameçonnage — phishing par courriel et smishing par SMS — est la méthode d’entrée la plus courante dans ces fraudes. Au Québec, les institutions financières traitent des milliers de signalements de phishing par mois. Desjardins, la plus grande coopérative financière au pays, a confirmé recevoir des milliers de faux courriels imitant sa marque chaque semaine.
Ce qui a changé : la qualité des attaques a bondi. En 2022, un courriel de phishing avait encore des indices visibles. En 2026, les meilleures attaques sont indétectables à l’œil nu. La seule défense est de ne jamais cliquer les liens bancaires dans les courriels — peu importe leur apparence.
Pourquoi vous ne pouvez plus faire confiance à l’apparence
En 2026, créer un email de phishing parfait prend moins d’une heure avec les outils d’IA disponibles. Les fautes d’orthographe ? Éliminées. La mise en page approximative ? Remplacée par des copies pixel-parfaites des vrais courriels bancaires. Les logos ? Téléchargés directement depuis les sites officiels. Le ton maladroit ? Remplacé par un langage professionnel calibré qui correspond exactement à ce que Desjardins ou TD enverrait.
Ce qui reste détectable, ce sont des éléments techniques que vous ne voyez pas directement. Les attaquants peuvent copier l’apparence — ils ne peuvent pas copier l’infrastructure légitime.
Les 10 signaux qui ne mentent jamais
1. Le domaine de l’expéditeur — pas le nom affiché
C’est la vérification la plus importante et la plus souvent ignorée. Le nom affiché (Desjardins Sécurité) peut être n’importe quoi — il ne coûte rien à falsifier. Ce qui compte, c’est le domaine technique de l’adresse courriel.
Dans Gmail : cliquez sur les trois points à droite du courriel → « Afficher l’original ». Cherchez From:. Dans Outlook : clic droit sur le message → « Afficher la source ».
Les domaines officiels des banques québécoises et canadiennes — référence à garder
| Institution | Domaine officiel | Variantes légitimes |
|---|---|---|
| Desjardins / AccèsD | @desjardins.com | @notifications.desjardins.com |
| TD Banque | @td.com | @tdbank.com |
| BMO Banque de Montréal | @bmo.com | @bmo-notifications.com |
| Banque Nationale | @bnc.ca | @banquenationale.ca |
| RBC Banque Royale | @rbc.com | @rbcmail.com |
| CIBC | @cibc.com | @e.cibc.com |
| Banque Laurentienne | @laurentianbank.ca | @banquelaurentienne.ca |
| Scotiabank | @scotiabank.com | @scotiabankalerts.com |
| Revenu Québec | @revenuquebec.ca | — |
| ARC / CRA | @cra-arc.gc.ca | — |
Tout domaine qui ressemble à ces noms sans être exactement ces domaines = fraude. @desjardins-securite.com, @td-canada.com, @bmo.secure-alerts.ca — tous frauduleux, peu importe l’apparence du courriel.
Comment vérifier rapidement : regardez ce qui suit le @ et ce qui suit le dernier point. desjardins.com → domaine = desjardins, extension = com. Si c’est accesd-desjardins.com → domaine = accesd-desjardins, pas Desjardins.
2. L’URL avant de cliquer — survolez, ne cliquez pas
Avant de cliquer sur n’importe quel lien dans un courriel, survolez-le avec votre souris. L’URL réelle apparaît en bas de votre navigateur ou dans une bulle d’information. C’est là où vous irez vraiment.
Les attaquants utilisent des techniques précises pour tromper l’œil :
desjardins.accesd-securite.com— le domaine réel estaccesd-securite.com, pasdesjardinsaccesd.desjardins.com.verify.net— le domaine réel estverify.net- Des URLs raccourcies (
bit.ly/xxx) qui cachent la destination réelle
Si l’URL ne se termine pas exactement par desjardins.com, td.com, ou le domaine officiel de votre banque — ne cliquez pas.
3. La demande d’information confidentielle
Aucune banque canadienne légitime ne vous demandera jamais, par courriel ou par SMS :
- Votre NIP
- Votre mot de passe complet
- Votre numéro de carte complet
- Votre code de sécurité (CVV)
- Vos réponses aux questions secrètes
Si un courriel demande l’une de ces informations — même sur une page qui ressemble parfaitement au site de votre banque — c’est une fraude. La vraie Desjardins n’en a jamais besoin par courriel.
4. L’urgence fabriquée
« Votre compte sera suspendu dans 24 heures. » « Action requise immédiatement. » « Répondez avant ce soir pour éviter la fermeture de votre compte. »
L’urgence est une technique de manipulation. Elle court-circuite votre réflexion critique. Quand vous êtes pressé et inquiet, vous vérifiez moins.
Les vraies banques envoient des notifications — elles ne créent pas de panique artificielle avec des délais serrés. Un délai de 24 heures pour « sécuriser votre compte » avant suspension permanente ne correspond à aucune politique bancaire réelle.
5. Le canal de contact dans le courriel
Si le courriel contient un numéro de téléphone à appeler pour résoudre le problème, ce numéro est potentiellement faux aussi. Appelez toujours le numéro au dos de votre carte bancaire, pas celui dans le courriel.
6. La personnalisation partielle ou générique
Les vrais courriels de votre banque utilisent votre prénom complet et parfois votre numéro de client partiel. Les faux utilisent souvent « Cher client » ou « Bonjour membre ». Mais attention — comme l’exemple de Sophie le montre, les attaquants ont accès à des bases de données qui incluent parfois votre nom et des informations partielles.
Une personnalisation correcte ne prouve pas qu’un courriel est légitime. C’est un élément parmi d’autres — jamais suffisant seul.
7. Les liens et boutons qui mènent ailleurs
Dans certains clients de messagerie, vous pouvez voir l’URL d’un bouton ou lien sans survoler — elle s’affiche dans la barre de statut en bas. Si le bouton dit « Accéder à mon compte AccèsD » mais l’URL pointe vers quelque chose d’autre, c’est un signe clair.
8. Les pièces jointes non sollicitées
Votre banque ne vous envoie jamais de document à ouvrir de façon non sollicitée. Si un courriel contient un fichier .pdf, .docx, .zip ou tout autre document que vous n’avez pas demandé, ne l’ouvrez pas. Ces fichiers contiennent souvent des logiciels malveillants.
9. L’adresse de retour différente de l’expéditeur
Dans les en-têtes techniques, From: et Reply-To: peuvent être différents. Si vous répondez au courriel, votre réponse va à l’adresse Reply-To — qui peut appartenir à l’attaquant même si l’adresse From: semble légitime.
10. La règle du canal différent — la plus efficace
Vous recevez un courriel urgent de votre banque. Peu importe à quel point il semble authentique : fermez le courriel, ouvrez un nouvel onglet, tapez l’adresse de votre banque manuellement, connectez-vous.
Si l’alerte est réelle, elle sera visible dans votre compte en ligne. Si elle n’y est pas, le courriel était faux. Cette règle seule élimine 99 % des risques de phishing bancaire. Elle ne demande que 30 secondes supplémentaires.
Les nouvelles techniques 2025-2026 que vous n’avez pas encore vues
Les attaques de phishing évoluent. Voici ce qui devient courant maintenant.
Le phishing IA — des courriels parfaits
Les attaquants utilisent ChatGPT et des outils similaires pour générer des courriels sans la moindre faute d’orthographe, dans un français québécois naturel, avec un ton qui correspond exactement à celui de votre banque. Les signaux visuels classiques — fautes, formulations bizarres, traductions approximatives — ont disparu.
La seule défense fiable face à un phishing IA parfait est de ne jamais utiliser les liens dans les courriels bancaires, peu importe leur apparence.
Le quishing — le QR code dans le courriel
Un courriel vous demande de scanner un QR code pour « vérifier votre identité » ou « accéder à votre relevé ». L’idée : les filtres antiphishing analysent les liens textuels, pas les images. Un QR code cache l’URL derrière une image — les filtres automatiques ne la voient pas.
Règle : ne scannez jamais un QR code dans un courriel non sollicité. Si votre banque doit vraiment vous envoyer un QR code, elle vous le mentionne d’abord par un autre canal.
Le phishing vocal IA — vous recevez un appel de « votre banque »
Un robot avec une voix parfaitement humaine vous appelle. Il cite votre nom, le nom de votre banque, et vous explique qu’une transaction suspecte a été détectée. Il vous demande de « confirmer votre identité » en entrant votre NIP sur votre clavier téléphonique, ou en lui dictant votre numéro de carte.
Les voix générées par IA sont aujourd’hui indiscernables d’un humain. La règle est simple : raccrochez, appelez le numéro au dos de votre carte.
J’ai cliqué — quoi faire dans les 10 premières minutes
Sophie a compris ce qui s’était passé 20 minutes après avoir cliqué. Voici quoi faire si vous êtes dans la même situation — chaque minute compte.
Minute 1-2 : Déconnectez-vous d’Internet
Passez en mode avion ou débranchez le WiFi. Si un logiciel malveillant s’est installé via le lien, couper la connexion peut limiter les dégâts.
Minute 2-5 : Changez votre mot de passe depuis un autre appareil
Prenez votre téléphone (si c’est votre ordinateur qui a cliqué), connectez-vous à votre forfait mobile (pas le même réseau WiFi), et changez immédiatement le mot de passe du compte concerné. Si vous avez entré votre NIP bancaire, appelez votre banque au numéro au dos de votre carte.
Minute 5-8 : Appelez votre banque
Pas le numéro dans le courriel. Le numéro au dos de votre carte. Expliquez que vous avez peut-être été victime d’un phishing. Demandez-leur de surveiller votre compte et de bloquer tout virement suspect. Ils peuvent temporairement bloquer votre accès en ligne le temps d’investiguer.
Minute 8-10 : Activez la double authentification
Si votre banque offre la double authentification (et elle le devrait), activez-la immédiatement. Même si l’attaquant a votre mot de passe, il ne peut pas se connecter sans le code à usage unique envoyé à votre téléphone.
Dans les heures suivantes :
- Changez le mot de passe de votre email principal (surtout si c’est le même que votre banque, ou si vous avez entré votre email dans la fausse page)
- Signalez la fraude au Centre antifraude du Canada : 1-888-495-8501
- Transférez le courriel frauduleux à votre banque (voir ci-dessous)
- Faites un rapport à votre corps policier local si vous avez perdu de l’argent — vous aurez besoin d’un numéro de dossier pour les démarches de remboursement
Les banques québécoises ne vous demanderont JAMAIS…
Imprimez cette liste et collez-la quelque part visible.
- Jamais votre NIP — ni par courriel, ni par SMS, ni par téléphone
- Jamais votre mot de passe complet AccèsD ou équivalent
- Jamais votre code de sécurité de carte (CVV — les 3 chiffres au dos)
- Jamais de transférer de l’argent vers un « compte sécurisé temporaire » pour vous protéger
- Jamais d’installer un logiciel sur votre ordinateur pour « sécuriser votre compte »
- Jamais de répondre à un courriel avec vos informations bancaires complètes
Si quelqu’un vous demande l’une de ces choses — peu importe à quel point il semble officiel — c’est une fraude.
Comment signaler un phishing
Signaler à Desjardins
Transférez le courriel suspect à securite@desjardins.com. Desjardins a une équipe dédiée qui analyse ces signalements et prend des mesures pour faire retirer les domaines frauduleux.
Signaler à TD, BMO, Banque Nationale
Chaque grande banque canadienne a une adresse de signalement. Cherchez « signaler phishing » + le nom de votre banque pour trouver l’adresse exacte, ou appelez leur service à la clientèle.
Signaler au Centre antifraude du Canada
Téléphone : 1-888-495-8501 (lundi au vendredi, 9h à 16h45 HE)
En ligne : antifraudcentre-centreantifraude.ca
Le Centre antifraude du Canada compile les signalements, alerte les autres Canadiens via ses bulletins, et coordonne avec les forces de l’ordre pour les fraudes de grande envergure. Même si vous n’avez pas perdu d’argent, signalez — votre rapport aide à protéger les prochaines victimes potentielles.
Ce qui est arrivé à Sophie
Sophie a appelé Desjardins dans les 20 minutes. Les 1 400 $ avaient déjà été virés, mais la banque a pu lancer une procédure de rappel. Après six semaines de démarches, elle a récupéré 1 100 $ — 300 $ irrécupérables car le virement avait déjà été retiré en espèces.
Elle a maintenant la double authentification activée sur tous ses comptes. Elle ne clique plus jamais sur les liens dans les courriels bancaires. Elle tape les URLs manuellement, chaque fois, même si c’est plus lent.
30 secondes de plus. C’est tout ce que ça prend.
En 2026, les attaques de phishing ont changé de nature — l’IA génère maintenant des courriels personnalisés quasi indétectables. Pour comprendre les nouvelles techniques, lisez comment le phishing IA fonctionne en 2026.
Vous avez des doutes sur un courriel suspect? Vous voulez configurer la double authentification correctement? Notre équipe peut vous aider.
À lire aussi :
