Sextorsion et chantage webcam : quoi faire au Canada

Un lundi matin, à Lévis, Louis (42 ans, gestionnaire comptable) ouvre son courriel. L’objet : « Votre mot de passe est Motdepasse1989! — lisez avant qu’il soit trop tard ».

Il reconnaît ce mot de passe. C’était celui de son ancien compte Hotmail, il y a des années. Le message continue : « J’ai piraté votre caméra il y a 3 mois. J’ai enregistré une vidéo de vous pendant que vous regardiez un site adulte. Si vous ne me payez pas 1 500 $ en Bitcoin dans 48 heures, je l’envoie à tous vos contacts. »

Louis panique. Il ne se souvient pas si cette vidéo pourrait exister. Il ne regarde pas de sites adultes — ou presque jamais — mais qui sait ce qu’il y avait en arrière-plan pendant un appel Zoom? Et si ses enfants voyaient quelque chose? Sa femme? Son patron?

Il est à un clic de payer.

Ce scénario est vécu par environ 800 Canadiens par jour selon les estimations du Centre antifraude du Canada. En 2024, la sextorsion par courriel a généré plus de 45 millions $ de pertes au Canada, et ce chiffre est largement sous-estimé parce que les victimes signalent rarement (honte, peur, confusion).

Voici ce que Louis aurait dû savoir avant de paniquer.

Les deux types de sextorsion — ne pas les confondre

Il y a deux scénarios complètement différents, avec des niveaux de gravité opposés :

Type 1 — Sextorsion par courriel automatisé (le cas de Louis) : 99 % bluff. Aucune vidéo n’existe. Le mot de passe provient d’une fuite de données. Il suffit d’ignorer, supprimer, changer le mot de passe.

Type 2 — Sextorsion après webcam réelle ou échange d’images : scénario rare mais très grave, surtout chez les adolescents et jeunes adultes. L’arnaqueur a effectivement des images compromettantes. L’approche est radicalement différente.

La première chose à faire : identifier lequel des deux vous concerne.

Type 1 — Le courriel avec mot de passe volé (bluff à 99,8 %)

Comment ça marche

Un fraudeur achète une base de données fuitée sur le dark web. Ces bases contiennent des millions de couples email/mot de passe récupérés des grandes fuites historiques : LinkedIn 2012 (165 millions), Adobe 2013 (153 millions), MySpace 2008 (360 millions), Dropbox 2012, Yahoo 2013-2014 (3 milliards), Collection #1 en 2019 (770 millions), plus toutes les fuites plus récentes.

Il configure un envoi automatisé de courriels à tous ces emails. Dans le message, il insère votre vrai mot de passe (celui fuité) pour prouver qu’il « a quelque chose sur vous ». Puis il menace de publier une vidéo compromettante si vous ne payez pas en Bitcoin.

Le volume est énorme — des millions de courriels par campagne. Si 0,01 % paient, à 1 500 $ l’unité, ça fait 15 000 $ par tranche de 10 millions de victimes contactées. Et l’opération est quasi gratuite pour le fraudeur.

Pourquoi c’est presque toujours du bluff

1. Le fraudeur n’a jamais accédé à votre ordinateur. Il a juste votre mot de passe d’un vieux compte.
2. Il n’a pas piraté votre webcam. Les malwares qui font ça sont rares, chers, et réservés à des cibles de grande valeur (dirigeants, journalistes, dissidents politiques).
3. Il ne connaît rien d’autre sur vous. Pas votre vraie adresse, pas votre employeur, pas vos contacts. Si le courriel mentionne « votre employeur » ou « votre femme Marie » sans nommer, c’est une formule générique.
4. Si le fraudeur avait vraiment une vidéo, il l’enverrait comme preuve. Il ne l’envoie jamais.

Signaux qui confirment le bluff

• Le courriel est mal formulé, traduit automatiquement
• Le mot de passe cité correspond à un compte que vous n’utilisez plus depuis 5-10 ans
• Aucune preuve (capture d’écran, extrait vidéo, contacts spécifiques)
• L’adresse Bitcoin fournie a été signalée dans des bases publiques (vérifiez sur bitcoinabuse.com)
• Le texte est identique à des milliers d’autres cas (cherchez une phrase exacte dans Google)

Que faire — procédure en 4 étapes

1. Ne pas paniquer, ne pas payer. Aucune preuve = aucun risque réel.

2. Vérifier la fuite. Allez sur haveibeenpwned.com, entrez votre courriel. Le site vous dira dans quelles fuites vos données ont été exposées. Vous verrez probablement LinkedIn, Adobe, ou une autre brèche historique qui explique d’où vient le mot de passe cité.

3. Changer le mot de passe. Si le mot de passe cité est encore utilisé quelque part (même partiellement), changez-le immédiatement partout. Utilisez un gestionnaire de mots de passe (Bitwarden gratuit, Proton Pass, 1Password) pour générer des mots de passe uniques pour chaque service.

4. Activer le 2FA partout où c’est possible. Courriel d’abord (priorité 1), puis banque, médias sociaux, infonuagique. Application authenticator (Aegis, 2FAS, Authy) plutôt que SMS.

5. Supprimer le courriel. Ne répondez pas, ne cliquez sur rien, ne téléchargez aucune pièce jointe. Marquez comme spam pour aider le filtrage.

6. Signaler (optionnel mais utile). Transférez le courriel complet (avec en-têtes) au Centre antifraude du Canada à info@antifraudcentre.ca. Ça alimente les statistiques nationales et les enquêtes.

Ce qu’il ne faut PAS faire

• Payer. Jamais. Payer une rançon à un arnaqueur qui bluffe vous met sur sa liste de cibles rentables. Les demandes reprennent dans 2-4 semaines.
• Répondre, même pour insulter ou menacer. Ça confirme que l’adresse est active.
• Cliquer sur un lien dans le courriel, même pour « se désabonner ».
• Télécharger une pièce jointe.
• En parler publiquement sur les réseaux avec des détails (ça attire d’autres fraudeurs).

Type 2 — La sextorsion après échange réel (scénario grave)

C’est la version la plus dangereuse, et tragiquement, la plus fréquente chez les mineurs.

Comment ça commence

Un adolescent (garçon, le plus souvent, entre 13 et 17 ans) reçoit un message sur Snapchat, Instagram DM, Discord, Kik, ou via un jeu (Fortnite, Roblox, Warzone). Une fille en apparence du même âge. Jolie. Intéressée.

Après quelques jours — parfois quelques heures — elle propose des échanges d’images intimes. Elle envoie d’abord. Lui envoie en réponse. Cinq minutes plus tard, le ton change complètement.

« J’ai tes photos. J’ai tes contacts Instagram, ton école, ta famille. Si tu ne me paies pas 500 $ dans 2 heures, j’envoie tout à ta mère, ton père, tes amis, ton école. »

Souvent suivi de captures d’écran montrant que l’arnaqueur a effectivement scraped les contacts du jeune. Il envoie parfois des messages à un ou deux contacts pour prouver sa capacité. La menace est réelle.

Ce scénario — appelé « financial sextortion » — a explosé au Canada depuis 2023. Cybertip.ca a traité 4 833 cas de sextorsion en 2024, en hausse de 150 % par rapport à 2022. La grande majorité des victimes sont des garçons adolescents. Au moins 9 suicides ont été documentés au Canada en 2023-2024 chez des jeunes victimes.

Les arnaqueurs opèrent principalement depuis le Nigeria, la Côte d’Ivoire et les Philippines, dans le cadre de réseaux organisés.

Si c’est vous ou un proche — procédure d’urgence

Dans les 30 premières minutes, c’est critique. Voici exactement quoi faire :

1. Ne pas payer. Jamais. Payer = signal de vulnérabilité = continuation du chantage. Dans tous les cas documentés par Cybertip, les arnaqueurs continuent même après paiement.

2. Ne pas supprimer les conversations. Même si l’envie est énorme. Ces messages sont des preuves pour la police et Cybertip. Prenez des captures d’écran de tout (conversations, profils, menaces, images reçues).

3. Bloquer l’arnaqueur. Snapchat, Instagram, Discord — utilisez la fonction « Bloquer et signaler ». Les plateformes ont des équipes dédiées qui suppriment les comptes en minutes si signalé via les voies officielles.

4. Signaler à Cybertip.ca — priorité absolue si mineur concerné.

Cybertip.ca — 1-866-658-9022 ou formulaire en ligne 24/7 sur cybertip.ca

Cybertip.ca est opéré par le Centre canadien de protection de l’enfance, partenaire officiel de la GRC. Ils ont des outils (NCMEC Take It Down, StopNCII.org) pour faire supprimer les images des plateformes et empêcher leur rediffusion. Ils travaillent avec Meta, Snapchat, Google, TikTok directement.

5. Signaler à la police locale. Appelez le numéro non-urgence de votre service (SPVM : 514-280-2222 / SPVQ : 418-641-2447 / SQ : 310-4141 ou 911 si urgence immédiate). Demandez un numéro de dossier et un agent spécialisé en cybercriminalité.

6. Soutenir psychologiquement.

• Jeunesse J’écoute (jeunes 5-29 ans) : 1-800-668-6868 ou texter TALK au 686868
• Tel-jeunes (QC, 24/7) : 1-800-263-2266 ou texter au 514-600-1002
• Info-Social 811 (option 2) : intervention psychosociale, gratuit, 24/7
• Prévention suicide Québec : 1-866-APPELLE (277-3553)

La détresse est réelle et intense. L’enfant ou l’adolescent doit savoir qu’il n’est PAS fautif, que les parents ne sont pas en colère, que la vie continue. Les études montrent que le soutien immédiat et non-jugeant réduit dramatiquement le risque d’issue tragique.

Take It Down et StopNCII — faire retirer les images avant qu’elles circulent

Deux outils gratuits et anonymes existent pour empêcher la diffusion d’images intimes :

Take It Down (pour mineurs — takeitdown.ncmec.org) — Opéré par le NCMEC américain, en partenariat avec Cybertip.ca au Canada. Le jeune crée une empreinte (hash) de l’image à partir de son appareil — l’image elle-même ne quitte jamais le téléphone. Le hash est partagé avec les grandes plateformes (Instagram, Facebook, TikTok, Snapchat, OnlyFans, Pornhub, etc.) qui bloquent automatiquement toute tentative d’upload de cette image.

StopNCII.org (pour adultes 18+) — Même principe, même technologie, pour les personnes majeures victimes de revenge porn ou de sextorsion.

Ces outils ne suppriment pas les images déjà publiées, mais empêchent leur repost. À utiliser en complément du signalement Cybertip.

Que se passe-t-il après le signalement

Cybertip.ca accuse réception sous 24 heures. Ils analysent la situation, contactent les plateformes concernées, collaborent avec la GRC pour les enquêtes internationales. La suppression des comptes arnaqueurs se fait souvent en 48-72 heures.

La police locale enquête sur les aspects canadiens. Dans la pratique, les arnaqueurs étant à l’étranger, les arrestations sont rares — mais les signalements contribuent à démanteler des réseaux et à construire des dossiers.

L’important : l’enfant ou le jeune adulte ne doit pas porter la honte de cet événement. Les statistiques sont claires : 70 % des garçons de 15-17 ans ont reçu au moins une tentative de sollicitation en ligne selon une étude de Cybertip.ca de 2023. Ce n’est pas une faiblesse personnelle, c’est une cible industrielle.

Prévention — la conversation à avoir avec un ado maintenant

Les parents qui ont une conversation ouverte avec leurs ados sur la sextorsion avant qu’elle arrive divisent par 4 le risque de paiement et par 10 le risque d’issue tragique selon les données de Cybertip.

Les 5 points à couvrir (sans diaboliser, sans juger) :

1. « Si jamais quelqu’un te demande des photos intimes, même une personne que tu penses connaître, arrête. Pose-toi la question : qui est vraiment derrière cet écran? »

2. « Si ça arrive et que tu tombes dans le panneau, ce n’est pas grave. Viens me voir. Je ne serai pas fâché. La seule erreur, c’est de payer ou de faire ça tout seul. »

3. « Ne paie jamais. Ne supprime pas les messages. Bloque, fais une capture, viens me voir. »

4. « Il y a des ressources : Cybertip.ca, Jeunesse J’écoute. Tu peux les contacter anonymement si tu ne veux pas en parler directement avec moi au début. »

5. « Les photos peuvent être retirées du net. Ce n’est pas irréversible. »

Cette conversation est plus utile à 12-13 ans qu’à 17 ans. À 17 ans, ça sera déjà arrivé au moins une fois à un camarade de classe.

Prévention technique — les réglages à faire

Sur Snapchat : Paramètres → Vie privée → « Me contacter » = Mes amis seulement. « Voir ma story » = Mes amis seulement. « Me voir sur la carte » = Mode fantôme.

Sur Instagram : Paramètres → Vie privée → Compte privé activé. Message DM = Fans seulement. Désactiver « Autoriser les captures d’écran de disparition ».

Sur Discord : Paramètres utilisateur → Confidentialité → « Autoriser les messages privés d’amis d’amis » = Désactivé.

Sur TikTok : Paramètres → Confidentialité → Compte privé. Commentaires = Amis. Duos/collages = Amis.

Sur tous appareils : cache physique sur la webcam. Couvrir la caméra du laptop avec un slider ou un morceau de tape quand pas utilisée.

Ressources rapides — à garder sous la main

Signalement :

• Cybertip.ca — 1-866-658-9022 — 24/7 bilingue
• Centre antifraude du Canada — 1-888-495-8501
• 911 si urgence immédiate (risque suicidaire, menace physique)

Soutien psychologique :

• Jeunesse J’écoute — 1-800-668-6868 ou texter TALK au 686868
• Tel-jeunes — 1-800-263-2266 ou texter 514-600-1002
• Info-Social 811 — option 2
• Prévention suicide — 1-866-APPELLE (277-3553)

Retrait d’images :

• Mineurs — takeitdown.ncmec.org
• Adultes — stopncii.org

Vérification fuite :

• haveibeenpwned.com

Ce que Sequr fait pour vous

On travaille régulièrement avec des parents et des adultes qui ont subi une sextorsion, que ce soit du Type 1 (bluff par courriel) ou Type 2 (chantage réel).

Pour le Type 1 : audit complet des comptes compromis, changement de tous les mots de passe, activation du 2FA partout, explication calme du contexte pour réduire l’anxiété.

Pour le Type 2 : accompagnement dans le signalement Cybertip/police, aide au retrait des images via Take It Down/StopNCII, documentation des preuves, soutien technique pour sécuriser les appareils de l’ado (nettoyage de l’appareil si partage malveillant, vérification qu’aucun malware n’est installé), et conseils pour la conversation familiale.

Tout est confidentiel. Aucun jugement. Service à distance, partout au Québec. ou écrivez via le formulaire sur sequr.ca.

La sextorsion est conçue pour paralyser. La peur, la honte, l’urgence, tout est calibré pour empêcher la victime de réfléchir et de demander de l’aide. La seule réponse rationnelle, c’est exactement l’inverse : ralentir, ne pas payer, parler à quelqu’un, signaler. Les arnaqueurs comptent sur votre silence. C’est leur seul levier.