L'ARC (Agence du revenu du Canada) envoie-t-elle des SMS ?

Non. L'ARC ne contacte jamais les contribuables par message texte. Les SMS prétendant venir de l'ARC sont toujours des arnaques, sans exception. L'ARC communique par courrier postal, et dans certains cas par téléphone (mais jamais pour demander un paiement immédiat par virement ou cartes-cadeaux). Si vous recevez un SMS de 'l'ARC', supprimez-le immédiatement.

Comment savoir si un SMS de Postes Canada est légitime ?

Postes Canada envoie effectivement des SMS de suivi de colis avec un numéro de suivi réel. La différence : un SMS légitime ne demande JAMAIS de paiement pour débloquer un colis. Le lien va vers canadapost.ca (vérifiez l'URL exacte). En cas de doute, allez directement sur canadapost.ca et entrez votre numéro de suivi — ne cliquez pas sur le lien du SMS.

Que faire si j'ai cliqué sur un lien dans un SMS frauduleux ?

Agissez vite : 1) Ne pas entrer d'informations sur la page qui s'est ouverte. 2) Fermer immédiatement l'onglet. 3) Si vous avez entré des informations bancaires ou un mot de passe, contactez votre banque immédiatement. 4) Changez le mot de passe du compte concerné. 5) Surveillez vos relevés bancaires les 30 prochains jours. 6) Signalez au CAFC (antifraudcentre.ca) et à votre opérateur en transférant le SMS au 7726 (SPAM).

Mon opérateur peut-il bloquer les SMS frauduleux ?

Bell, Rogers, Telus et Vidéotron participent au programme STIR/SHAKEN pour les appels vocaux frauduleux, et commencent à déployer des filtres SMS. Vous pouvez transférer tout SMS suspect au 7726 (SPAM) — votre opérateur l'analyse et met à jour ses filtres. Sur iOS, activez 'Filtrer les messages inconnus' dans Réglages > Messages. Sur Android, activez la protection contre le spam dans l'app Messages de Google.

Le smishing peut-il infecter mon téléphone juste en ouvrant le SMS ?

Ouvrir un SMS texte ne suffit pas à infecter un téléphone. Le risque vient du clic sur un lien, puis du téléchargement d'une app ou de l'entrée d'informations sur un faux site. Sur iOS, l'exploitation de vulnérabilités zéro-clic existe mais est rare et ciblée. Pour la grande majorité des utilisateurs, le danger est comportemental, pas technique : ne pas cliquer, ne pas télécharger, ne pas entrer d'informations.

Arnaques & Phishing

Smishing Canada 2026 : faux SMS ARC, Postes, Bell

1 mars 2026 Mis à jour mars 2026 12 min de lecture 0

Pascal, comptable à Longueuil, a reçu un SMS en février 2026 : “Agence du revenu du Canada — Remboursement de 847,00 $ disponible. Cliquez ici pour réclamer.” C’était le 18 février, en plein cœur de la saison des impôts. Le lien pointait vers arc-canada-remboursement.com. Pascal a hésité deux secondes — il attendait effectivement un remboursement — puis a appelé son comptable. Sage décision. Le site était une réplique parfaite du portail ARC, conçue pour voler ses identifiants Mon Dossier.

Les arnaques par SMS ne sont plus l’apanage des courriels mal écrits des années 2000. Elles sont maintenant personnalisées, contextuelles, et déclenchées au bon moment. La saison des impôts, les périodes de magasinage, les attentes de livraison — les fraudeurs connaissent le calendrier des Canadiens.

L’ampleur du problème au Canada

Le Centre antifraude du Canada (CAFC) a enregistré des pertes liées aux arnaques numériques de plus de 569 millions de dollars en 2023, un record. Les arnaques par texto représentent une proportion croissante de ces signalements.

En 2024, le CAFC a rapporté que le phishing (toutes formes confondues) était la troisième catégorie de fraude la plus signalée. Mais le smishing spécifiquement croît plus vite que le phishing par courriel, pour une raison simple : les gens font plus confiance aux SMS qu’aux emails.

Un sondage Proofpoint de 2024 révèle que 84% des organisations canadiennes ont été ciblées par du smishing. Côté particuliers, les chiffres de l’ARPC (Association canadienne de la paye et des créances) estiment que plus de 60% des Canadiens ont reçu au moins un SMS frauduleux en 2024.

Ce n’est pas une tendance marginale. C’est devenu le vecteur d’attaque dominant sur mobile.

Les quatre grandes catégories de smishing au Canada

1. L’ARC et les remboursements fiscaux

L’Agence du revenu du Canada est la marque la plus usurpée dans les arnaques SMS canadiennes. Deux angles d’attaque principaux :

L’angle remboursement : “Vous avez un remboursement de [montant précis]. Confirmez vos informations bancaires pour recevoir le dépôt direct.” Le montant est souvent crédible — entre 200$ et 1 500$.

L’angle menace : “Dernier avis — dossier fiscal en cours de révision. Sans action dans les 24h, un mandat d’arrêt sera émis.” Ce type joue sur la peur. L’ARC ne menace jamais d’arrestation par SMS — ni par téléphone, d’ailleurs.

Règle absolue : L’ARC n’envoie pas de SMS. Point. Jamais de remboursements par texto, jamais d’alertes d’arrestation par texto, jamais de demandes d’informations par texto. Si vous voulez vérifier votre dossier, allez directement sur canada.ca et accédez à Mon Dossier.

2. Postes Canada et les faux avis de livraison

“Votre colis n’a pas pu être livré. Des frais de 2,99 $ sont requis pour la nouvelle livraison.” Ce modèle est particulièrement efficace parce que la plupart des gens attendent effectivement un colis à un moment donné.

La logique des fraudeurs : si vous envoyez ce SMS à 100 000 personnes, statistiquement 20 000 à 30 000 attendent une livraison. Parmi elles, un pourcentage significatif cliquera.

Le faux site reproduit l’interface de Postes Canada avec le logo, les couleurs, le design. On vous demande 2,99 $ — une somme dérisoire, justement pour baisser votre garde. Mais le formulaire de paiement capture votre numéro de carte complet, date d’expiration, CVV, et parfois nom et adresse. Ces données valent beaucoup plus que 2,99 $ sur le marché noir.

Comment distinguer : Un SMS légitime de Postes Canada inclut votre numéro de suivi réel, commence par un numéro canadien connu (ou un code court officiel), et ne demande jamais de paiement par SMS. En cas de doute, allez sur canadapost.ca directement — pas via le lien du SMS.

3. Bell, Rogers, Telus, Vidéotron — les faux opérateurs

“Votre facture de 127,43 $ est en retard. Évitez la suspension de service en payant maintenant.” Ou l’inverse : “Félicitations — vous avez accumulé 450 points de fidélité. Réclamez votre récompense.”

Ces SMS fonctionnent bien parce que les opérateurs envoient effectivement des rappels de facture par SMS. La différence : votre opérateur connaît votre nom et vos informations de compte — il ne vous demandera pas de “confirmer votre identité” via un lien externe.

Les SMS d’opérateurs frauduleux visent souvent à voler vos identifiants du portail client (ex : Mon Bell, MyRogers), ce qui permet ensuite aux fraudeurs de transférer votre numéro de téléphone dans une attaque de SIM swapping. Notre article sur le SIM swapping et code PIN SIM explique cette menace en détail.

4. La banque et les alertes de fraude

“Alerte sécurité Desjardins — Transaction inhabituelle de 1 247$ détectée. Confirmez ici si c’est vous.” Le comble : une fausse alerte de fraude pour commettre une fraude.

Ces SMS sont particulièrement pernicieux parce qu’ils créent une urgence légitime et imitent exactement ce que votre banque ferait si elle détectait une transaction suspecte.

La règle d’or : votre banque vous demandera peut-être de confirmer une transaction (souvent par un simple “oui/non” dans l’app ou par téléphone), mais ne vous enverra jamais un lien pour entrer votre mot de passe complet, votre NIP, ou vos réponses aux questions de sécurité.

Anatomie d’un SMS frauduleux : les signaux d’alerte

Les arnaques SMS partagent des caractéristiques communes une fois qu’on sait quoi chercher.

L’URL suspecte

C’est le signal le plus fiable. Regardez le domaine complet avant de cliquer :

arc-canada-remboursement.com → faux (le domaine officiel est canada.ca)
canadapost-livraison.net → faux (domaine officiel : canadapost.ca)
bell-facture-renouvellement.info → faux (domaine officiel : bell.ca)

Les fraudeurs utilisent des tactiques de typosquatting : canadapost-ca.com, bell.support-canada.com, desjardins-secure.net. L’URL ressemble, mais n’est pas le bon domaine.

Sur mobile, les URLs sont souvent raccourcies (bit.ly, tinyurl) ou affichées de façon tronquée. Avant de cliquer sur tout lien SMS, appuyez longuement sur le lien pour voir l’URL complète.

L’urgence artificielle

“24 heures avant suspension”, “action requise immédiatement”, “votre compte sera fermé ce soir”. L’urgence est une technique de manipulation cognitive bien documentée — elle court-circuite le jugement rationnel. Les organisations légitimes n’imposent pas des délais de quelques heures dans un SMS.

La demande d’informations sensibles

Aucune organisation gouvernementale canadienne ou institution financière ne vous demande par SMS :

Votre NAS
Votre NIP bancaire
Vos mots de passe
Les réponses à vos questions de sécurité
Vos informations de carte de crédit complètes

Le numéro expéditeur suspect

Notez que les numéros expéditeurs se falsifient facilement (spoofing). Un SMS peut apparaître comme venant d’un numéro connu. Ce n’est donc pas un indicateur fiable — mais un numéro international (commençant par +44, +234, +91) dans un SMS “de Bell” devrait lever un drapeau immédiatement.

Pourquoi le smishing fonctionne mieux que le phishing par courriel

Trois facteurs expliquent l’efficacité supérieure du SMS :

Taux d’ouverture : Les SMS ont un taux d’ouverture d’environ 98% contre 20-25% pour les courriels. Et ils sont lus en moyenne dans les 3 minutes. Le phishing par SMS a une fenêtre d’action beaucoup plus courte — les victimes agissent sous le coup de l’impulsion.

Confiance accrue : Historiquement, les SMS servent pour des communications importantes (codes 2FA, confirmations de rendez-vous, alertes bancaires). Les utilisateurs y sont conditionnés à agir. Cette confiance est exploitée.

Filtres moins efficaces : Les filtres anti-spam email sont très sophistiqués (Gmail, Outlook). Les filtres SMS sont plus récents et moins performants. Beaucoup de SMS frauduleux passent directement dans la boîte de réception principale.

Contexte mobile : Sur mobile, les URLs sont difficiles à inspecter. L’écran est petit, l’URL est souvent tronquée dans les apps de messagerie, et l’habitude est de taper vite. C’est l’environnement idéal pour un faux lien.

Les techniques avancées : A2P, SIM Farming, et SS7

Sans entrer dans le détail technique, quelques méthodes que les criminels utilisent pour envoyer du smishing à grande échelle :

A2P messaging (Application-to-Person) : Les fraudeurs achètent des accès à des plateformes d’envoi de SMS professionnelles — les mêmes que celles utilisées par les entreprises légitimes — avec de faux comptes ou des comptes compromis. Cela leur permet d’envoyer des millions de SMS depuis des numéros apparemment légitimes.

SIM Farming : Des dizaines de SIM cards physiques dans des appareils automatisés qui envoient des SMS en rotation pour contourner les limites par numéro.

SMS spoofing : Falsifier le numéro expéditeur pour qu’il apparaisse comme un numéro de confiance — votre banque, Bell, ou même un proche.

Ces détails importent surtout parce qu’ils expliquent pourquoi bloquer l’expéditeur ne suffit pas. Le prochain SMS frauduleux viendra d’un numéro différent.

Comment signaler : le CAFC et votre opérateur

Signaler les arnaques n’est pas symbolique. Les données du CAFC servent aux enquêtes policières, à la mise à jour des filtres des opérateurs, et à des alertes publiques. Une plainte prend 5 minutes et peut protéger d’autres personnes.

Centre antifraude du Canada (CAFC)

Site : antifraudcentre.ca
Téléphone : 1-888-495-8501
Formulaire en ligne : Disponible 24h/24 — décrivez l’arnaque, joignez une capture d’écran du SMS

Le CAFC est le guichet central pour toutes les arnaques canadiennes. Il travaille avec la GRC, les corps policiers provinciaux, le FBI pour les arnaques transfrontalières, et Interpol.

Votre opérateur : le 7726

Tous les grands opérateurs canadiens (Bell, Rogers, Telus, Vidéotron, Fido, Koodo, Public Mobile) permettent de signaler les SMS frauduleux en transférant le message au 7726 (qui correspond aux lettres SPAM sur un clavier téléphonique). C’est gratuit. Votre opérateur analyse le contenu et met à jour ses filtres.

CRTC

Pour les arnaques par appels téléphoniques frauduleux (complément au smishing), le CRTC maintient une liste nationale de numéros exclus : lnnte.gc.ca. Les signalements y alimentent aussi les enquêtes sur les campagnes de spam téléphonique.

Votre banque

Si vous avez cliqué sur un lien et entré des informations financières, contactez votre institution financière immédiatement — pas dans quelques heures, maintenant. La plupart des banques canadiennes ont des équipes fraude disponibles 24h/24.

Si vous avez déjà cliqué : protocole d’urgence

Pas de panique — l’action rapide limite les dégâts.

Si vous avez seulement cliqué sur le lien sans entrer d’informations :

Sur la plupart des appareils à jour, cliquer sur un lien sans entrer d’informations ne suffit pas à compromettre votre appareil. Fermez l’onglet, ne revenez pas sur le site. Assurez-vous que votre appareil est à jour (les exploits de navigation nécessitent des vulnérabilités non patchées).

Si vous avez entré des informations de carte de crédit :

Appelez votre banque ou émetteur de carte immédiatement : demandez le blocage de la carte et l’émission d’une nouvelle
Signalez la fraude au CAFC
Surveillez vos relevés les 30 prochains jours
Vérifiez si des achats ont déjà été effectués

Si vous avez entré vos identifiants bancaires (username/mot de passe) :

Changez votre mot de passe immédiatement depuis un autre appareil ou réseau
Appelez votre banque pour signaler la compromission potentielle
Vérifiez les transactions récentes et signalez tout ce que vous n’avez pas autorisé
Activez le 2FA si ce n’est pas déjà fait

Si vous avez installé une app depuis un lien SMS : C’est le cas le plus grave. Sur Android notamment, des apps frauduleuses peuvent capturer des SMS (dont les codes 2FA), enregistrer les frappes, et accéder aux contacts.

Désinstallez l’app immédiatement
Changez les mots de passe de tous vos comptes importants depuis un autre appareil
Si le comportement de votre téléphone semble étrange après l’installation, une réinitialisation d’usine peut être nécessaire
Consultez notre article sur comment savoir si votre téléphone est espionné

Protection proactive : réduire votre exposition

Filtrage sur iOS

Dans Réglages > Messages, activez “Filtrer les messages inconnus”. Les SMS de numéros qui ne sont pas dans vos contacts iront dans un onglet séparé. Ça ne les bloque pas, mais ça réduit le risque de cliquer par automatisme.

Filtrage sur Android

L’app Messages de Google (et Samsung Messages sur les téléphones récents) a un filtre anti-spam intégré. Assurez-vous qu’il est activé dans Paramètres > Protection contre le spam.

Ne jamais cliquer sur les liens SMS pour vérifier

Adoptez cette règle : si un SMS vous demande d’agir sur un compte, allez directement sur le site de l’organisation (tapez l’URL dans votre navigateur ou utilisez votre app officielle) plutôt que de cliquer sur le lien. Cette seule habitude neutralise pratiquement tous les smishing.

Réduire la surface d’exposition

Moins de services ont votre numéro de téléphone, moins vous recevez de smishing ciblé. Utilisez votre numéro réel seulement pour les services où c’est nécessaire. Pour les formulaires marketing, une adresse courriel dédiée suffit souvent.

Cas documentés récents au Canada (2024-2025)

Campagne “Postes Canada livraison” — Hiver 2024-2025 Des millions de SMS ont ciblé des Canadiens avec des faux avis de livraison pendant la période des Fêtes. Le CAFC a émis une alerte publique en décembre 2024. Les sites frauduleux utilisaient des domaines comme canadapost-delivery.ca et postescanada-relivraison.com.

Campagne ARC “saison des impôts” — Février-Avril 2025 Chaque année, les signalements d’arnaques ARC par SMS explosent entre février et mai. En 2025, une campagne sophistiquée utilisait des montants personnalisés (extraits de brèches de données pour paraître légitimes) et des numéros d’affichage qui semblaient locaux.

Campagne “Alerte fraude Desjardins” — Mars 2025 Des SMS imitant le système d’alerte fraude de Desjardins ciblaient spécifiquement des membres québécois. L’angle était particulièrement efficace : “Transaction suspecte détectée sur votre compte — confirmez ici si c’est vous.” La cible clique pour “annuler” la transaction frauduleuse et entre ses identifiants sur un faux portail Desjardins.

Liens connexes et ressources officielles

Centre antifraude du Canada : antifraudcentre.ca
Signalement CAFC : 1-888-495-8501
Vérification Postes Canada : canadapost.ca (entrez votre numéro de suivi directement)
Mon Dossier ARC : canada.ca/fr/agence-revenu/services/services-electroniques/services-electroniques-particuliers.html
CRTC — Signalement spam : lnnte.gc.ca

Pour aller plus loin sur la reconnaissance des arnaques en ligne, notre article sur le phishing par courriel bancaire couvre les techniques similaires appliquées aux courriels. Et si vous avez reçu un SMS de type arnaque romantique ou investissement crypto, notre article sur les romance scams et pig butchering au Canada détaille ces variantes plus sophistiquées.

Le smishing progresse parce qu’il exploite deux choses : la confiance qu’on accorde aux SMS et la vitesse à laquelle on réagit sur mobile. La contre-mesure n’est pas technique — elle est comportementale. Une règle simple : toujours vérifier directement, jamais via le lien. Cette seule habitude vous protège contre 95% des arnaques SMS.

Si vous avez été victime d’une arnaque par SMS ou si vous gérez la sécurité d’une PME québécoise, l’équipe Sequr peut vous accompagner.

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5)Québec, Canada

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec