Martin, 44 ans, comptable à Laval, m’a envoyé un message la semaine dernière : « J’ai reçu un texto de ma banque qui disait que mon compte était suspendu. J’ai failli cliquer. C’était tellement crédible. »
Ce que Martin ne savait pas — et ce que la plupart des Canadiens ignorent encore — c’est que certains de ces textos ne viennent pas d’internet. Ils viennent d’une voiture garée au coin de la rue.
Le 23 avril 2026, le Service de police de Toronto a annoncé les premières arrestations au Canada liées à l’utilisation d’un SMS blaster mobile — une technologie de guerre électronique utilisée ici, dans nos rues, pour cibler des dizaines de milliers de téléphones canadiens.
Ce qui s’est passé : le Projet Lighthouse
Tout commence en novembre 2025. Un partenaire en cybersécurité signale aux autorités la présence d’un SMS blaster actif dans le centre-ville de Toronto. La police lance une enquête baptisée Projet Lighthouse — la première du genre au pays.
Pendant plusieurs mois, les enquêteurs surveillent les déplacements du dispositif en collaboration avec :
- Le Centre national de coordination en cybercriminalité de la GRC (CNC3)
- La Police fédérale de la GRC — Région centrale
- La Police régionale de York et le Service de police de Hamilton
- TELUS et plusieurs institutions financières canadiennes
Ce qu’ils découvrent est alarmant : des dizaines de milliers d’appareils mobiles se sont connectés au faux réseau, et plus de 13 millions de perturbations réseau ont été enregistrées. Le dispositif était opéré depuis un véhicule qui circulait dans des zones densément peuplées.
Le 31 mars 2026, des perquisitions simultanées à Markham et à Hamilton permettent d’arrêter deux hommes et de saisir plusieurs SMS blasters. Le 21 avril, un troisième suspect se livre aux autorités.
Qu’est-ce qu’un SMS blaster? La technologie expliquée
Un SMS blaster — aussi appelé IMSI catcher ou stingray dans d’autres contextes — est un appareil qui imite une tour cellulaire légitime.
Voici comment ça fonctionne :
- Le dispositif émet un signal qui se fait passer pour une antenne Bell, Rogers ou TELUS
- Les téléphones à proximité s’y connectent automatiquement (c’est le comportement normal des téléphones, qui cherchent toujours le signal le plus fort)
- Une fois connectés, les téléphones peuvent recevoir des textos envoyés par le blaster — qui semblent provenir d’organismes de confiance
- Entre-temps, ils sont déconnectés du vrai réseau
Cette technologie existe depuis des années — utilisée légalement par certaines forces de l’ordre dans un cadre balisé, et illégalement par des groupes criminels en Europe, en Asie et maintenant au Canada.
Les 44 accusations et les 3 suspects
Les trois hommes arrêtés sont :
- Dafeng Lin, 27 ans, Hamilton
- Junmin Shi, 25 ans, Markham
- Weitong Hu, 21 ans, Markham
Ensemble, ils font face à 44 accusations :
- Fraude
- Méfait relatif à des données informatiques
- Possession non autorisée de données de cartes de crédit
- Possession de biens volés
- Fraude d’identité
- Mise en danger de la sécurité publique
Ce dernier chef est le plus grave symboliquement. Le chef adjoint Robert Johnson a été direct lors de la conférence de presse : « Quand les appareils sont déviés des réseaux légitimes, même brièvement, les gens ne peuvent pas accéder aux services d’urgence comme le 911. »
Les perturbations duraient de quelques secondes à plusieurs minutes. Pour quelqu’un en train de composer le 911 lors d’un infarctus ou d’une agression, quelques secondes peuvent tout changer.
Les textos frauduleux : ce que les victimes ont reçu
Les messages envoyés depuis le SMS blaster imitaient des organismes officiels ou financiers. Parmi les sujets identifiés :
- Fausses amendes de stationnement — avec un lien de paiement
- Fausses factures de l’autoroute 407 — avec un lien de règlement
- Fausses alertes de sécurité bancaire — « Votre compte a été suspendu »
Le mécanisme est classique du smishing (hameçonnage par SMS) — mais avec une différence fondamentale : au lieu d’envoyer en masse via des plateformes internet, les suspects se déplaçaient physiquement dans les quartiers les plus fréquentés pour maximiser le nombre de téléphones à portée.
Le résultat : les messages semblent encore plus légitimes, car votre téléphone les reçoit « directement » comme un SMS normal, pas comme un courriel ou une notification.
Pourquoi ça concerne les Québécois directement
Le Projet Lighthouse s’est passé à Toronto, mais la technologie n’a pas de frontières provinciales.
Un SMS blaster peut fonctionner à Montréal, Québec, Sherbrooke, Gatineau ou Chicoutimi. La seule limite est la portée du dispositif (quelques centaines de mètres) et l’audace de ses opérateurs. Les cibles idéales sont les mêmes partout : centres commerciaux, stations de métro, événements publics, centres-villes — partout où la densité de téléphones est élevée.
En cybersécurité, les techniques qui émergent dans une grande ville canadienne arrivent généralement dans les centres urbains du Québec dans les mois qui suivent. Le Projet Lighthouse n’est pas une anomalie torontoise — c’est un signal d’alarme national.
Ce que vous pouvez faire concrètement
Vous ne pouvez pas empêcher votre téléphone de se connecter à un SMS blaster si vous passez à proximité. C’est une limite du protocole cellulaire lui-même. Mais vous pouvez empêcher que ça se transforme en fraude :
1. Ne jamais cliquer sur un lien dans un texto Même si le message semble venir de votre banque ou de Service Canada. Tapez l’adresse directement dans votre navigateur. Toujours.
2. Activer le Wi-Fi Calling Sur iOS : Réglages → Téléphone → Wi-Fi Calling. Sur Android : Paramètres → Réseau → Wi-Fi Calling. Cette fonctionnalité permet de passer des appels (incluant le 911) via votre réseau Wi-Fi si votre signal cellulaire est coupé ou bloqué.
3. Signaler au 7726 Transférez n’importe quel texto suspect au 7726 (SPAM) — gratuit chez tous les grands opérateurs canadiens. Ça alimente les bases de données de détection et protège les autres.
4. Activer la double authentification (2FA) sur vos comptes bancaires Même si vos identifiants sont captés, un fraudeur ne peut pas entrer dans votre compte sans le second facteur. Privilégiez une application d’authentification plutôt que le SMS — pour les raisons exactes que cet article illustre.
5. Activer les alertes de transaction Votre banque envoie une alerte pour chaque transaction? Activez-la. Une fraude détectée en 30 secondes est beaucoup plus facile à inverser qu’une fraude détectée trois semaines plus tard.
Ce que dit un expert en cybersécurité
Jean-Philippe Décarie-Mathieu, expert en cybersécurité cité par Radio-Canada, résume bien la situation : « Les forces de l’ordre ont malheureusement du retard sur les cybercriminels. Cette technique existe depuis des années. »
Ce retard n’est pas une critique — c’est une réalité structurelle. Les criminels ont un avantage sur les forces de l’ordre : ils n’ont besoin de réussir qu’une fois. La police doit réussir à chaque fois.
Ce qui est encourageant dans le Projet Lighthouse, c’est la collaboration : police, GRC, TELUS, institutions financières. Ce modèle de partenariat est exactement ce qu’il faut pour détecter des menaces émergentes comme les SMS blasters.
Le Projet Lighthouse marque un tournant. Pour la première fois, une enquête canadienne a documenté l’usage criminel d’un SMS blaster sur notre territoire. Ce ne sera pas la dernière. La question n’est pas si cette technologie sera utilisée au Québec — c’est quand.
Si vous avez reçu un texto suspect et souhaitez vérifier si vos données ont été compromises, consultez notre guide de sécurité ou contactez-nous directement.
