Guy, 71 ans, de Trois-Rivières, a reçu un appel un mercredi après-midi en novembre 2024. L’afficheur de son téléphone indiquait clairement : “Desjardins — 1-800-CAISSES”. La dame au bout du fil lui a expliqué que son compte avait été compromis et qu’il fallait transférer ses économies vers un “compte sécurisé temporaire” pendant que l’enquête avait lieu. Elle connaissait ses quatre derniers chiffres de carte. Elle lui a demandé de confirmer son NIP pour “sécuriser le compte”.
Guy a raccroché — il avait entendu parler de ce type d’arnaque à la radio. Sa fille, qui était présente, a immédiatement rappelé Desjardins via le numéro au dos de sa carte. Personne n’avait signalé d’activité suspecte sur son compte. Il n’avait jamais été contacté par la vraie Desjardins.
Tout était du spoofing. Le numéro affiché était vrai. L’appel, lui, était une fraude.
Qu’est-ce que le spoofing téléphonique — et pourquoi c’est si facile
Le spoofing (usurpation de numéro) exploite une faille fondamentale dans le fonctionnement du réseau téléphonique mondial. Quand vous passez un appel, vous transmettez non seulement votre voix, mais aussi un identifiant — votre numéro de téléphone. Ce qu’on appelle le CLI (Calling Line Identification), ou l’afficheur côté destinataire.
Le problème : ce CLI peut être modifié par l’appelant. Le réseau téléphonique classique (le PSTN — Public Switched Telephone Network) a été conçu dans les années 1960-70, à une époque où personne n’imaginait que cette information serait manipulée à des fins frauduleuses. Il n’y avait aucun mécanisme d’authentification intégré.
Résultat : aujourd’hui, avec des services VoIP (Voice over IP) disponibles en ligne pour quelques dollars par mois, n’importe qui peut configurer l’afficheur qu’il souhaite afficher lors d’un appel sortant. Y compris le numéro du service fraude de votre banque. Y compris le numéro de la GRC. Y compris le numéro de la SAAQ ou d’Hydro-Québec.
C’est légal dans certains contextes — un médecin qui appelle depuis le numéro de sa clinique plutôt que son cellulaire personnel, par exemple. Ce qui est illégal, c’est d’utiliser cette technique pour tromper ou frauder.
Pourquoi votre afficheur ne peut pas vous protéger seul
Quand votre téléphone sonne et affiche “TD Canada Trust — 1-866-222-3456”, votre cerveau fait une association rapide : numéro connu = appelant légitime. C’est un raccourci cognitif parfaitement naturel. Les fraudeurs le savent et l’exploitent.
Ce que votre téléphone fait réellement : il affiche l’information CLI reçue avec l’appel entrant. Il ne vérifie pas si cette information est vraie. Il ne peut pas savoir si l’appel provient réellement de ce numéro ou s’il a été usurpé.
Certains opérateurs et téléphones plus récents affichent maintenant des indicateurs de vérification (STIR/SHAKEN — on y revient), mais cette technologie a des limites importantes.
Le paradoxe du spoofing bancaire : Les fraudeurs choisissent souvent des numéros que vous connaissez précisément parce que vous leur faites confiance. C’est exactement l’inverse du réflexe qu’on aurait tendance à avoir — les numéros reconnus devraient théoriquement être moins suspects. Cette inversion de la logique habituelle est ce qui rend le spoofing particulièrement efficace.
Les variantes les plus courantes au Québec et au Canada
L’arnaque “compte compromis” (bancaire)
La plus répandue. Un appelant se faisant passer pour votre banque (Desjardins, TD, BMO, RBC, Banque Nationale) vous informe d’une activité suspecte sur votre compte. Pour “sécuriser” vos fonds, on vous demande de :
- Confirmer votre NIP
- Transférer vos fonds vers un “compte sécurisé temporaire”
- Remettre votre carte à un “agent” qui viendra chez vous
Aucune banque canadienne ne fait ça. Jamais. Le “compte sécurisé temporaire” ne revient jamais.
En 2024, ce type de fraude a causé des pertes de plus de 40 millions de dollars aux Canadiens, selon le CAFC.
L’arnaque gouvernementale (ARC, immigration, police)
L’appelant se présente comme un agent de l’Agence du revenu du Canada, de l’IRCC (immigration), ou même de la GRC. Le message : vous avez une dette, un mandat d’arrêt est émis contre vous, ou votre numéro d’assurance sociale a été “utilisé pour des activités criminelles”. Pour régler la situation, vous devez payer immédiatement — souvent en cartes-cadeaux (iTunes, Amazon, Google Play) ou en crypto.
L’ARC n’appelle jamais pour demander un paiement immédiat. Elle n’accepte pas les cartes-cadeaux. Les mandats d’arrêt ne se règlent pas par téléphone.
L’arnaque “assistance technique” (Bell, Microsoft, Vidéotron)
Votre afficheur montre Bell, Vidéotron ou Telus. Un technicien vous informe que votre connexion Internet ou votre routeur a été compromis. Il vous demande d’installer un logiciel d’accès à distance (TeamViewer, AnyDesk) pour “réparer” le problème. Une fois l’accès accordé, il vide vos comptes bancaires ouverts dans votre navigateur.
Le “faux Amazon” — livraison et commande frauduleuse
Un appel automatisé (robocall) vous informe d’une commande importante passée sur Amazon — un iPhone à 1 200$, une télévision à 3 000$. Pour l’annuler, pressez le 1. Vous êtes alors transféré à un “agent” qui tente d’accéder à votre compte Amazon et vos informations de paiement.
Comment fonctionne STIR/SHAKEN — et ses limites
Face à l’ampleur du problème, le CRTC a imposé en 2021 à tous les grands fournisseurs de services téléphoniques canadiens d’implémenter le cadre STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs).
Sans entrer dans les détails techniques : STIR/SHAKEN permet à l’opérateur de départ de signer numériquement l’appel pour attester que le numéro affiché correspond bien à l’abonné qui appelle. L’opérateur de destination peut alors vérifier cette signature.
Ce que vous voyez sur votre téléphone :
- Un badge ou indicateur “Vérifié” / “V” sur certains iPhone et Android récents pour les appels authentifiés
- Rien (ou un indicateur d’avertissement) pour les appels non vérifiés
Les limites importantes :
- Les appels provenant de l’étranger (la majorité des fraudes) ne passent pas par le même système et ne peuvent souvent pas être vérifiés
- Les petits opérateurs VoIP ne sont pas tous conformes
- La présence d’un badge “vérifié” ne garantit pas que l’appel n’est pas malveillant — un fraudeur peut avoir un compte VoIP légitime avec un numéro spoofé techniquement vérifié pour ce compte (mais pas le numéro de votre banque)
- L’absence de badge ne signifie pas automatiquement fraude — de nombreux appels légitimes ne sont pas encore authentifiés
Les signaux qui distinguent un appel réel d’une arnaque
Voici les éléments qu’aucune institution financière ou gouvernementale canadienne légitime ne fera jamais par téléphone :
Votre banque NE VOUS DEMANDERA JAMAIS :
- Votre NIP au complet
- Votre mot de passe de banque en ligne
- De transférer des fonds vers un autre compte “pour sécuriser” votre argent
- De remettre votre carte de débit à un “agent”
- De rester en ligne pendant que vous effectuez des transactions
- De ne pas parler à vos proches de cette situation
Le gouvernement canadien NE VOUS CONTACTERA JAMAIS pour :
- Exiger un paiement immédiat par téléphone pour éviter une arrestation
- Accepter des paiements en cartes-cadeaux ou en crypto
- Menacer d’une déportation immédiate sans procédure légale
Les signaux d’alarme universels :
- Urgence extrême et pression pour agir maintenant
- Demande de garder l’appel confidentiel
- Instruction de ne pas raccrocher
- Toute demande de paiement par des méthodes inhabituelles
Le protocole anti-spoofing — ce que vous devez faire systématiquement
La seule protection fiable est comportementale. Les technologies aident à la marge, mais votre réaction détermine si vous perdez de l’argent ou non.
Règle 1 : Raccrochez. Rappellez vous-même.
Si vous avez le moindre doute, raccrochez. Attendez quelques minutes (certains fraudeurs gardent la ligne ouverte de leur côté). Puis appelez l’institution via le numéro official que vous connaissez :
- Le numéro au dos de votre carte bancaire
- Le numéro sur le site officiel de l’institution (trouvé via Google, pas fourni par l’appelant)
- Le numéro sur votre relevé de compte papier
Règle 2 : Ne confirmez aucune information personnelle à un appelant entrant.
Votre banque n’a pas besoin que vous lui confirmiez votre NIP pour vérifier votre identité — elle a déjà toutes vos informations. Si quelqu’un vous demande de “confirmer” votre NIP, votre numéro de sécurité sociale, ou votre mot de passe, c’est une fraude.
Règle 3 : Impliquez un proche.
Si vous ressentez de la pression et de la confusion, impliquez immédiatement un proche — un enfant, un voisin, n’importe qui. Le simple fait de dire “laissez-moi vérifier avec ma fille” fait fuir la majorité des fraudeurs. Les arnaques fonctionnent sur l’isolement de la victime.
Règle 4 : Aucune urgence ne justifie un virement immédiat.
“Votre compte sera bloqué dans 30 minutes si vous n’agissez pas.” C’est une manipulation. Votre banque ne bloque pas les comptes avec 30 minutes de préavis téléphonique. Aucune situation financière légitime n’exige un virement dans les heures qui suivent un appel non sollicité.
Le cas particulier des aînés
Guy de Trois-Rivières s’en est sorti — mais il fait partie d’une minorité. Les aînés québécois sont disproportionnellement ciblés par le spoofing bancaire, pour plusieurs raisons :
- Moins de familiarité avec la technologie et ses failles
- Plus susceptibles de détenir des économies importantes en compte courant ou épargne
- Souvent moins à l’aise pour remettre en question une autorité perçue (banque, gouvernement)
- Réseau social plus restreint pour valider rapidement une situation suspecte
Si vous avez des parents ou grands-parents âgés, une conversation directe sur le spoofing vaut plus que n’importe quel logiciel de protection. Expliquez-leur : “Si quelqu’un t’appelle en disant être la banque, raccroche et rappelle-moi ou appelle le numéro au dos de ta carte. Peu importe ce que l’afficheur indique.”
Notre guide sur la cybersécurité pour les aînés au Québec aborde ce sujet plus en profondeur, avec des explications adaptées à transmettre à vos proches.
Si vous avez répondu et fourni des informations — que faire
La panique est compréhensible. Voici les étapes concrètes.
Si vous avez donné des informations bancaires ou votre NIP
- Appelez votre banque immédiatement — utilisez le numéro au dos de votre carte, pas le numéro qui vous a appelé
- Demandez le blocage temporaire de votre compte et de vos cartes
- Demandez à vérifier si des transactions non autorisées ont eu lieu
- Demandez à changer votre NIP et vos mots de passe en ligne
Si vous avez transféré des fonds
- Appelez votre banque dans la minute — certains virements peuvent être rappelés dans les premières heures
- Notez l’heure exacte du virement, le montant, et la destination si connue
- Signalez au CAFC (Centre antifraude du Canada) : 1-888-495-8501
Si vous avez donné votre NAS
Signalez à Service Canada (1-800-206-7218) et à l’ARC. Placez des alertes de fraude chez Equifax et TransUnion. Notre guide sur le vol d’identité au Canada détaille les étapes.
Signaler au CRTC — comment et pourquoi
Le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes) gère les plaintes liées aux appels non sollicités et au spoofing.
Portail de signalement : securiteconsommateurs.ca
Liste nationale de numéros de télécommunication exclus (LNNTE) : lnnte.gc.ca — inscrivez votre numéro pour réduire les appels non sollicités (note : les fraudeurs ne respectent pas la liste, mais ça aide à filtrer les appels commerciaux légitimes)
Vous pouvez aussi signaler les appels frauduleux à :
- Votre opérateur téléphonique directement (Bell, Vidéotron, Telus, Rogers ont des procédures de signalement)
- Le Centre antifraude du Canada (antifraudcentre-centreantifraude.ca)
Chaque signalement alimente les bases de données qui permettent aux opérateurs de bloquer les numéros frauduleux connus.
Technologies complémentaires qui peuvent aider
Ces outils ne remplacent pas la vigilance, mais peuvent réduire l’exposition.
Applications de filtrage d’appels :
- Hiya — détecte et marque les appels suspects avant que vous répondiez
- Nomorobo — bloque les robocalls connus (disponible au Canada)
- Truecaller — base de données collaborative d’identification des appelants
Fonctions intégrées sur iPhone :
- Paramètres > Téléphone > Silencer les appelants inconnus — les appels de numéros absents de vos contacts, récents ou Siri sont silencés et vont en messagerie vocale
Sur Android :
- Paramètres > Applications Téléphone > Identification de l’appelant et protection anti-spam (activation variable selon le fabricant)
Ces outils ont une utilité réelle pour réduire le volume d’appels indésirables, mais rappellez-vous : un fraudeur qui connaît déjà votre nom et certaines de vos informations (achetées dans des fuites de données) sera souvent plus convaincant qu’un robocall générique.
Vérifiez si votre courriel ou numéro de téléphone figure dans des fuites avec notre guide dark web et surveillance des fuites — savoir que vos données circulent peut vous mettre en état d’alerte accrue.
La vérité sur le phishing par SMS (smishing)
Le spoofing ne se limite pas aux appels — les SMS peuvent aussi afficher de faux expéditeurs. Un message qui semble venir de “DESJARDINS” ou “CANADA POST” peut être un smishing (phishing par SMS).
Les mêmes règles s’appliquent : ne cliquez jamais sur un lien dans un SMS non sollicité, même si l’expéditeur semble légitime. Rendez-vous directement sur le site officiel. Notre guide sur le smishing au Canada couvre ce vecteur en détail.
Besoin d’aide pour sécuriser votre téléphone ou former votre équipe?
Le spoofing touche autant les particuliers que les entreprises. Un employé trompé par un appel semblant venir de la direction peut déclencher un virement frauduleux de dizaines de milliers de dollars — c’est ce qu’on appelle le BEC (Business Email Compromise) adapté au téléphone.
Si vous voulez former votre équipe à reconnaître et à réagir correctement à ce type d’arnaque, ou si vous avez été victime et avez besoin d’aide pour sécuriser vos comptes après coup — notre équipe chez Sequr peut vous accompagner.
