Martin, 52 ans, comptable indépendant à Québec, a reçu en mars 2025 un appel d’un numéro qui affichait “Agence du revenu du Canada — Ottawa”. La voix à l’autre bout était calme, professionnelle. Elle l’informait qu’un audit avait révélé une irrégularité dans ses déclarations de 2021-2022, que des accusations criminelles avaient été déposées, et qu’un agent viendrait l’arrêter dans les deux heures à moins qu’un paiement immédiat de 6 200 $ ne règle le dossier. Pour “protéger ses fonds pendant l’enquête”, il devait transférer l’argent vers un compte spécifique.
Martin a raccroché. Il avait entendu parler de ce type d’arnaque. Mais il me confiera plus tard : “La voix était tellement crédible que j’ai eu un moment de doute. Cinq secondes de panique pure.”
Ces cinq secondes de doute, c’est exactement ce que les escrocs cultivent. Le vishing — hameçonnage par téléphone — est une discipline.
Qu’est-ce que le vishing et pourquoi ça fonctionne encore en 2026
Le terme vishing combine “voice” et “phishing”. Concrètement : utiliser un appel téléphonique pour manipuler une cible et lui soutirer de l’argent ou des informations. La technique a trente ans. Elle fonctionne encore parce qu’elle exploite des mécanismes psychologiques que la technologie ne peut pas corriger.
Le téléphone crée une relation de présence immédiate différente d’un courriel. Raccrocher sur quelqu’un qui se présente comme un agent gouvernemental demande un effort mental — on a été conditionné à répondre poliment, à écouter, à ne pas sembler paranoïaque. Les escrocs exploitent précisément ce malaise social.
Le Center for Identity de l’Université du Texas à Austin a documenté que les victimes de vishing prennent en moyenne moins de 90 secondes pour décider de coopérer ou de résister — une fois que la fenêtre de 90 secondes est passée sans résistance, la probabilité de perte financière grimpe fortement.
Au Canada, le CAFC a reçu plus de 24 000 signalements de vishing en 2024, représentant des pertes déclarées de plus de 57 millions de dollars. Ces chiffres sont sous-estimés : la grande majorité des victimes ne signalent pas.
Les quatre grandes variantes canadiennes
1. L’arnaque ARC (Agence du revenu du Canada)
C’est la plus connue et paradoxalement toujours active. Le script de base : vous devez de l’impôt non payé, vous avez commis une fraude fiscale, des accusations criminelles sont imminentes. Le paiement doit se faire immédiatement par Bitcoin, cartes-cadeaux, ou virement.
Les variantes récentes ont évolué. L’escroc dit parfois être “de l’ARC mais du département de sécurité interne” ou “du bureau des affaires criminelles de l’ARC” — des entités qui n’existent pas. Ces formulations moins connues réduisent la probabilité que la cible ait lu un article spécifique sur l’arnaque.
L’ARC a publié une liste exhaustive de ce qu’elle ne fait jamais : demander un paiement par virement Interac, Bitcoin ou cartes-cadeaux ; menacer d’arrestation immédiate ; refuser de vous laisser consulter un comptable ou un avocat ; vous demander de garder l’appel confidentiel.
Pourtant, en 2024, l’ARC a reçu plus de 17 000 signalements d’appels qui usurpaient son identité — soit environ 47 par jour.
2. Les arnaques bancaires (Desjardins, BMO, TD, RBC, Banque Nationale)
Ces appels imitent le service antifraude de votre banque. Le script typique : “Nous avons détecté une transaction suspecte sur votre compte. Pour sécuriser vos fonds, nous devons vérifier votre identité et potentiellement déplacer l’argent vers un compte de protection temporaire.”
Cette variante est particulièrement dangereuse pour deux raisons. D’abord, les vraies banques appellent parfois leurs clients pour des vérifications de fraude — la ligne entre l’appel légitime et l’arnaque est floue pour beaucoup. Ensuite, les escrocs ont souvent des données partielles (nom, dernier solde approximatif, parfois les quatre derniers chiffres de la carte) achetées sur des forums de cybercriminalité.
Desjardins, dont la fuite de données de 2019 a exposé les informations de 4,2 millions de membres, a été particulièrement ciblée dans les années suivantes. Des escrocs se présentant comme des agents Desjardins connaissaient parfois le numéro de membre de la cible — ce qui donnait une crédibilité troublante à l’appel.
La règle absolue : aucune banque canadienne ne vous demandera jamais votre NIP complet par téléphone, ni de transférer de l’argent vers un “compte sécurisé”.
3. Les arnaques GRC et immigration
“Je suis le sergent [nom] de la GRC, nous avons un mandat d’arrestation en votre nom lié à une fraude d’immigration / blanchiment d’argent / trafic de stupéfiants.” Cette variante cible notamment les nouveaux arrivants au Canada — des personnes qui connaissent moins leurs droits et qui craignent davantage les conséquences d’un problème avec les autorités.
Les escrocs vont parfois jusqu’à “transférer” la cible vers un faux procureur ou un faux agent de l’Agence des services frontaliers (ASFC). La sophistication du script peut inclure des numéros de dossier fictifs, des dates d’audience inventées, et des références à de vraies procédures légales pour donner l’apparence du sérieux.
La GRC ne demande jamais de paiement par téléphone pour “éviter une arrestation”. Aucun système judiciaire canadien ne fonctionne ainsi.
4. Les arnaques au support technique (Microsoft, Bell, Vidéotron)
Moins orientées vers la peur légale, ces arnaques jouent sur la peur technique. “Votre ordinateur envoie des alertes de virus à nos serveurs.” Ou : “Nous avons détecté que votre connexion Internet est utilisée pour des activités illégales.”
Ces appels invitent la cible à donner accès à son ordinateur via des outils de contrôle à distance (TeamViewer, AnyDesk) — permettant aux escrocs d’installer des logiciels malveillants, de transférer des fichiers, ou de voir les informations bancaires si la cible navigue vers son site de banque “pour vérifier le problème”.
Bell et Vidéotron, comme toutes les entreprises de télécommunications canadiennes légitimes, ne vous appelleront jamais pour un “problème réseau” nécessitant un accès à votre ordinateur.
Un script d’arnaque ARC annoté
Pour vous aider à reconnaître les mécanismes en temps réel, voici un script d’arnaque ARC typique avec les tactiques psychologiques annotées.
“Bonjour, je vous appelle de l’Agence du revenu du Canada, département des affaires criminelles, mon badge est 4471. Votre appel est enregistré.” [Établissement d’autorité + illusion de traçabilité]
“Un audit de vos déclarations 2021-2023 a révélé des irrégularités importantes. Un mandat d’arrestation a été déposé hier au palais de justice de votre région.” [Fausse spécificité + peur]
“Avant que les agents se déplacent, notre protocole nous oblige à vous contacter pour vous donner l’opportunité de régulariser votre situation. Mais je dois vous avertir : si vous raccrochez ou tentez de contacter un tiers, cela sera interprété comme un aveu de culpabilité.” [Isolement + pression à ne pas vérifier]
“Le montant total est de 8 400 $ en taxes impayées et pénalités. Pour éviter l’arrestation aujourd’hui, vous devez effectuer un paiement immédiat. Avez-vous accès à un guichet Bitcoin ? Sinon, nous pouvons accepter des cartes-cadeaux Google Play.” [Demande de paiement irréversible]
Chaque phrase remplit une fonction tactique précise. “Votre appel est enregistré” crée une fausse impression de formalité officielle. L’instruction de ne pas contacter de tiers bloque la vérification. La demande de paiement irréversible (Bitcoin, cartes-cadeaux) garantit que la transaction ne peut pas être annulée.
Pourquoi le spoofing rend l’identification d’appelant inutile
Une question revient souvent : “Mais si le numéro qui s’affiche est vraiment celui de l’ARC ou de ma banque, comment savoir ?”
La réponse est inconfortable : le numéro affiché ne prouve rien. Le spoofing téléphonique permet à n’importe qui de faire afficher n’importe quel numéro comme identifiant d’appelant. Des services en ligne permettent de faire cela pour quelques centimes par appel. Des escrocs opérant depuis l’Inde, les Philippines ou l’Afrique du Ouest peuvent afficher le numéro du bureau de l’ARC à Ottawa.
Le CRTC canadien travaille à déployer des protocoles d’authentification des appels (STIR/SHAKEN) depuis 2021, mais leur déploiement est partiel et les appels internationaux restent souvent non authentifiés. En pratique, en 2026, le numéro affiché reste facilement falsifiable.
La règle opérationnelle : le numéro affiché ne vous dit pas qui appelle réellement. L’authenticité se vérifie en raccrochant et en rappelant le numéro officiel que vous trouvez vous-même (sur le site web officiel, au dos de votre carte, dans l’annuaire).
Profil de la victime typique : tout le monde
Il est tentant de penser que seules les personnes peu éduquées ou technologiquement vulnérables tombent dans ces pièges. C’est faux.
Des études de la FTC américaine et du CAFC montrent que les victimes de vishing sont distribuées à travers toutes les classes socio-économiques et tous les niveaux d’éducation. Les professionnels — comptables, avocats, médecins — tombent dans le piège ARC précisément parce qu’ils interagissent avec des questions fiscales complexes et que la peur d’une “irrégularité” résonne différemment chez eux.
Les femmes de 40-60 ans sont surreprésentées dans les cas d’arnaques bancaires, selon les données du CAFC. Les hommes de 20-35 ans sont davantage ciblés par les arnaques au “support technique”. Les personnes nées hors du Canada, particulièrement les nouveaux arrivants des cinq dernières années, sont disproportionnellement victimes des arnaques GRC/immigration.
Un facteur commun dans presque tous les cas : la victime était dans un état de stress ou de distraction au moment de l’appel. Les escrocs le savent — leurs centres d’appel tournent souvent 24h/24 pour maximiser les chances d’attraper quelqu’un dans un moment de vulnérabilité.
Ce que l’IA ajoute au vishing en 2025-2026
Le clonage vocal et les agents conversationnels IA transforment le vishing à grande vitesse.
Automatisation à l’échelle. Des systèmes de vishing entièrement automatisés utilisent des voix synthétiques convaincantes pour passer des milliers d’appels simultanément. Si quelqu’un décroche et montre de l’intérêt, le système transfère automatiquement vers un humain. Le coût par appel s’effondre.
Personnalisation. En combinant des données issues de fuites (noms, adresses, employeurs, numéros partiels de comptes) avec des modèles de langage, les scripts peuvent inclure des détails personnels qui augmentent la crédibilité. Un escroc qui sait votre nom, votre employeur, et le nom de votre caisse populaire locale est plus convaincant qu’un script générique.
Réponses adaptatives. Les agents IA les plus sophistiqués peuvent gérer des objections courantes — “Je pensais que l’ARC envoyait des lettres d’abord” — avec des réponses préparées qui maintiennent la pression. Ces systèmes existent et ont été documentés par des chercheurs en sécurité dès 2024.
Protocole de réponse : que faire pendant et après l’appel
Pendant l’appel
Ralentissez délibérément. L’urgence est une construction — aucune vraie urgence légale ou bancaire ne se résout en 20 minutes par téléphone. Prenez le temps de penser.
Demandez un numéro de dossier et raccrochez. “Très bien, donnez-moi votre numéro de dossier et je rappelle le service directement.” Un escroc résistera ou inventera quelque chose. Raccrochez dans tous les cas.
Ne donnez jamais : NIP, mot de passe, codes de sécurité, numéros complets de carte, numéros d’assurance sociale, réponses à vos questions de sécurité.
Dites-le à voix haute. Si vous sentez la pression monter, verbalisez : “Je ne peux pas prendre cette décision sans vérifier d’abord.” Ça brise l’emprise de l’urgence.
Après un appel suspect
Rappel sur le numéro officiel :
- ARC : 1-800-959-8281 (particuliers) ou 1-800-959-5525 (entreprises)
- Desjardins : numéro au dos de votre carte ou sur desjardins.com
- BMO : 1-800-363-9992
- GRC : votre détachement local (trouvable sur le site de la GRC)
Si vous avez transféré de l’argent
- Appelez votre banque immédiatement — certains virements peuvent être bloqués dans les premières heures.
- Signalez au CAFC : 1-888-495-8501.
- Déposez une plainte à la police locale.
- Si des cartes-cadeaux ont été achetées, contactez l’émetteur (Google, Apple, Amazon) — dans de rares cas, ils peuvent bloquer l’utilisation des codes.
Signalement : pourquoi c’est utile même si vous n’avez pas perdu d’argent
Beaucoup de gens pensent que signaler un appel qu’ils ont simplement refusé ne sert à rien. C’est une erreur.
Chaque signalement au CAFC alimente une base de données qui permet d’identifier les campagnes actives, les numéros utilisés, et les schémas récurrents. Ces données sont partagées avec les corps policiers provinciaux et fédéraux, et avec des partenaires internationaux (FBI, Interpol, RCMP). Des démantèlements de centres d’appel frauduleux ont été rendus possibles grâce à l’accumulation de signalements de victimes qui n’avaient pas perdu d’argent.
La plateforme de signalement en ligne du CAFC : antifraudcentre-centreantifraude.ca — accessible en français, prend environ 10 minutes à compléter.
Si l’appel ciblait spécifiquement votre numéro de façon répétée, ou si vous avez des raisons de croire que vos informations ont été compromises, consultez nos articles sur la protection du numéro d’assurance sociale et sur que faire si votre compte a été compromis.
Le rôle des opérateurs téléphoniques et des autorités : où en est-on ?
Une question légitime : pourquoi les opérateurs téléphoniques et les autorités ne bloquent-ils pas ces appels à la source ?
La réponse courte : c’est plus compliqué que ça en a l’air.
STIR/SHAKEN au Canada : Le CRTC a imposé aux grands transporteurs canadiens (Bell, Rogers, Telus et leurs filiales) d’implémenter les protocoles STIR/SHAKEN depuis 2021. Ces protocoles permettent d’authentifier l’identité de l’appelant pour les appels passant entièrement sur des réseaux certifiés. Quand ça fonctionne, un indicateur “appel vérifié” peut apparaître sur votre téléphone.
Le problème : les appels internationaux transitent souvent par des réseaux qui n’implémentent pas ces protocoles. Un escroc qui appelle depuis l’Inde ou le Ghana via un fournisseur VoIP bon marché peut contourner le système. Et les petits opérateurs régionaux ont eu des délais d’implantation accordés par le CRTC.
En pratique, en 2026, STIR/SHAKEN réduit certains spoofings locaux mais n’élimine pas le problème. Vous ne pouvez pas vous fier au fait qu’aucun indicateur d’alerte n’apparaît pour conclure que l’appel est légitime.
Les limites de la coopération internationale : La grande majorité des centres de vishing ciblant les Canadiens opèrent depuis l’Asie du Sud et l’Afrique de l’Ouest, selon les données du CAFC et de la GRC. Les poursuites nécessitent une coopération judiciaire internationale — lente, complexe, et souvent limitée par des traités d’extradition inexistants avec certains pays.
Des opérations coordonnées ont permis des arrestations — notamment “Operation First Light” d’Interpol en 2023, qui a résulté en plus de 2 000 arrestations liées aux fraudes téléphoniques — mais ces opérations restent ponctuelles face à un phénomène structurel.
Applications de filtrage : Des applications comme Hiya, RoboKiller, ou la fonctionnalité intégrée de filtrage de spam sur iOS et Android bloquent certains appels automatisés identifiés dans des bases de données de numéros frauduleux connus. Elles sont utiles mais pas infaillibles — les numéros changent, le spoofing les contourne, et les appels manuels d’escrocs ne sont pas toujours dans les bases.
Ces outils sont des couches de défense supplémentaires, pas des solutions. La vigilance humaine reste la première ligne.
Les populations spécifiquement ciblées au Québec
Quelques groupes méritent une attention particulière dans le contexte québécois.
Les travailleurs autonomes et entrepreneurs. La variante ARC cible particulièrement les personnes qui ont des revenus irréguliers ou qui travaillent en sous-traitance — des gens qui pourraient légitimement avoir des “irrégularités” fiscales à régulariser et qui connaissent la complexité du système. L’anxiété liée à une possible erreur de déclaration est un levier puissant.
Les nouveaux arrivants. Les personnes immigrées récemment au Canada font face à un double facteur de vulnérabilité : moins familières avec les institutions canadiennes, et parfois plus craintives des conséquences d’un problème avec les autorités sur leur statut. Les escrocs qui ciblent cette population adaptent leurs scripts en conséquence — “votre dossier d’immigration est lié à cette enquête”.
Les personnes ayant subi des fuites de données. Si votre adresse courriel et votre numéro de téléphone figurent dans une fuite de données récente, vous recevrez probablement plus d’appels frauduleux. Ces informations se vendent sur des marchés du dark web. Vérifiez votre exposition sur HaveIBeenPwned.
Éduquer son entourage : le multiplicateur de protection
La sensibilisation personnelle ne suffit pas si votre réseau immédiat reste vulnérable. Les escrocs téléphoniques font souvent des recherches sur leurs cibles via les réseaux sociaux pour identifier des proches moins informés — et les utilisent comme levier.
Partagez ces informations avec les personnes autour de vous, particulièrement :
- Les aînés de votre famille (voir notre article sur l’arnaque des grands-parents au Québec)
- Les nouveaux arrivants qui connaissent moins les institutions canadiennes
- Ceux qui ne savent pas comment fonctionne une vraie communication de l’ARC — consultez notre guide sur les faux appels CRA pour tous les détails
- Les personnes qui ont subi des fuites de données récentes (cherchez votre adresse sur HaveIBeenPwned — si vous êtes dans une fuite, votre adresse et parfois votre téléphone circulent)
Une conversation préventive de cinq minutes peut éviter une perte de milliers de dollars.
Le vishing n’est pas sophistiqué sur le plan technologique. Il est sophistiqué sur le plan humain — il exploite la peur, l’autorité, l’urgence, et la politesse sociale. La technologie (spoofing, voix IA, automatisation) réduit les coûts des escrocs et augmente l’échelle, mais le mécanisme de base reste le même depuis trente ans : créer de la pression pour court-circuiter le jugement.
La meilleure réponse à cette pression : ralentir. Raccrocher. Vérifier. Toujours.
Pour en savoir plus sur la protection de votre identité et de vos finances numériques, contactez Sequr ou visitez sequr.ca/contact.
Articles connexes :
