Sylvie a reçu un email ce matin.
L’expéditeur connaissait son prénom, son ancien employeur, et le mot de passe qu’elle utilisait sur un forum de discussion en 2017. Elle n’avait pas utilisé ce mot de passe depuis des années. Elle ne savait même plus qu’elle avait ce compte.
L’email lui demandait de payer 800 $ en Bitcoin, sinon il allait « partager ses activités en ligne » avec ses contacts.
C’est une arnaque automatisée — mais les données utilisées sont vraies. Le mot de passe, le prénom, l’employeur : tout ça vient d’une fuite de données quelque part entre 2015 et 2020.
Ce que Sylvie ne savait pas, c’est que ses informations circulent sur le dark web depuis des années. Et elle n’est pas seule. Statistiquement, si vous avez une adresse email active depuis plus de cinq ans, vos données ont presque certainement fuité quelque part.
Voici ce que ça veut dire concrètement, et quoi faire.
D’où viennent ces données ?
Chaque grande fuite de données alimente une base mondiale qui grossit chaque année. Ce ne sont pas des fuites marginales d’entreprises obscures — ce sont des plateformes que vous utilisez (ou avez utilisées) tous les jours.
LinkedIn 2021 : 700 millions de comptes. Nom complet, adresse email, employeur actuel, numéro de téléphone, localisation. Presque le profil LinkedIn complet de la moitié de la planète professionnelle.
Facebook 2019 : 533 millions de comptes. Noms, emails, numéros de téléphone, dates de naissance, localisations. La donnée la plus dangereuse ici : le numéro de téléphone, qui permet des attaques de SIM swapping.
Desjardins 2019 : 4,2 millions de membres québécois. C’est la fuite la plus grave pour le Québec, et de loin. Un employé interne a copié et vendu des dossiers complets : nom, prénom, date de naissance, adresse, NAS, informations bancaires, habitudes de transactions. Le genre de données qu’on ne change pas.
Bell Canada : plusieurs incidents depuis 2014. Noms, adresses email, numéros de compte clients.
Adobe 2013 : 153 millions de comptes — encore dans les bases de données aujourd’hui.
Yahoo 2013-2014 : 3 milliards de comptes. Probablement la plus grande fuite de l’histoire.
Ces données sont achetées et vendues pour quelques dollars sur des forums privés. Pas des milliers de dollars — quelques dollars. Un fichier de 10 millions d’emails avec mots de passe se négocie souvent à moins de 100 $. C’est pour ça que les criminels ont accès à des volumes industriels.
Ce qui se passe avec vos données sur le dark web
La plupart des gens imaginent le dark web comme un endroit mystérieux et difficile d’accès. La réalité est plus banale et plus inquiétante.
Les bases de données volées sont revendues sur des forums semi-publics, des canaux Telegram, et des marchés spécialisés. Elles sont compilées, fusionnées et enrichies au fil du temps. Une personne qui a eu un compte LinkedIn en 2018, Facebook en 2019, et était cliente Desjardins — ses données de ces trois sources sont maintenant probablement combinées dans un seul profil.
Ce profil vaut beaucoup plus que la somme de ses parties.
Les acheteurs les utilisent pour :
Credential stuffing : tester automatiquement les combinaisons email/mot de passe sur des centaines de sites en même temps. Si vous utilisez le même mot de passe sur Gmail, Netflix, et votre banque, et que ce mot de passe a fuité sur un forum obscur en 2018, un bot peut tester ces trois sites cette nuit pendant que vous dormez. C’est la principale raison pour laquelle les comptes se font pirater — pas du hacking sophistiqué, juste de la réutilisation de mots de passe.
Spear phishing ciblé : un email de phishing générique est facile à repérer. Mais un email qui mentionne votre nom, votre employeur actuel, votre ville, et fait référence à une vraie transaction récente — beaucoup plus difficile. Les données de LinkedIn et Facebook permettent exactement ça.
Usurpation d’identité : avec le NAS, la date de naissance et l’adresse (comme dans la fuite Desjardins), il est possible d’ouvrir des comptes bancaires, des cartes de crédit, des prêts. La victime ne le découvre généralement que des mois plus tard, quand le bureau de crédit sonne.
Chantage automatisé : exactement ce que Sylvie a vécu. Le script envoie des milliers d’emails personnalisés. Avec un mot de passe réel et quelques détails personnels, même 1 % de conversion sur 100 000 emails représente 1 000 victimes qui paient 800 $.
Comment vérifier si vos données ont fuité
Have I Been Pwned (haveibeenpwned.com) — la référence absolue. Le site a été fondé par Troy Hunt, un chercheur en sécurité australien reconnu par Microsoft et plusieurs gouvernements. Il référence plus de 13 milliards de comptes compromis.
Comment l’utiliser :
- Allez sur
haveibeenpwned.com - Entrez votre adresse email principale
- Le site vous indique dans quelles fuites connues elle apparaît, et quelles données ont été exposées
Répétez l’opération pour chaque email que vous utilisez ou avez utilisé. L’email de l’école secondaire que vous avez abandonné en 2010 — vérifiez-le aussi.
Résultat typique : la majorité des adresses email actives depuis plus de cinq ans apparaissent dans au moins une fuite. Souvent cinq ou six. Ce n’est pas une catastrophe — c’est la réalité d’internet. L’important, c’est de savoir et d’agir.
Le site propose aussi de vérifier si un mot de passe spécifique a fuité (sans jamais stocker le mot de passe lui-même — technologie k-anonymity). Si vous voulez vérifier si votre mot de passe habituel circule quelque part, c’est l’endroit.
Ce que vous faites avec cette information
Si votre email apparaît dans une fuite de service ordinaire (forum, app, boutique en ligne)
- Changez le mot de passe de ce service — immédiatement. Même si vous n’utilisez plus ce compte.
- Vérifiez si vous utilisez le même mot de passe ailleurs — si oui, changez-le partout. C’est la priorité absolue.
- Activez le 2FA sur ce compte si disponible.
La vraie protection à long terme : un gestionnaire de mots de passe (Bitwarden est gratuit et open source) avec un mot de passe unique par site. Une fuite n’expose alors qu’un seul compte, jamais une chaîne.
Si votre email apparaît dans une fuite bancaire ou avec données sensibles (Desjardins, Bell, etc.)
C’est plus sérieux. Les données bancaires et les informations personnelles complètes permettent du vol d’identité.
Gel de crédit chez Equifax et TransUnion Canada : cette démarche bloque l’ouverture de nouveaux comptes de crédit à votre nom. Aucun prêteur ne peut accéder à votre dossier tant que vous n’avez pas levé le gel. C’est gratuit au Canada (contrairement aux États-Unis où c’était payant avant 2018).
Pour le faire :
- Equifax Canada : equifax.ca → section Sécurité → Gel de sécurité
- TransUnion Canada : transunion.ca → même procédure
Gardez les codes PIN qu’ils vous donnent — vous en aurez besoin pour lever le gel quand vous ferez une vraie demande de crédit.
Surveillez votre dossier de crédit pendant 12 à 24 mois. Des ouvertures de compte frauduleuses peuvent apparaître des mois après la fuite initiale — les criminels ne sont pas toujours pressés.
Avertissez votre institution financière qu’une fuite vous concerne. Certaines banques ont des protections supplémentaires qu’elles peuvent activer sur votre compte.
Si votre numéro de téléphone a fuité (Facebook, LinkedIn)
Le risque principal : SIM swapping. Un criminel contacte votre fournisseur de téléphonie, se fait passer pour vous avec vos vraies données personnelles, et transfère votre numéro sur une carte SIM qu’il contrôle. Il reçoit alors tous vos SMS — y compris les codes 2FA de votre banque et de votre email.
Ce que vous faites :
- Activez un code PIN SIM chez votre fournisseur (Telus, Bell, Videotron — tous le proposent). Aucun transfert de numéro ne peut se faire sans ce code.
- Migrez votre 2FA des SMS vers une application d’authentification (Authy, Google Authenticator). Un SMS intercepté ne suffit plus.
Les conséquences concrètes d’une fuite ignorée
La raison pour laquelle je prends ça au sérieux avec mes clients à Québec, c’est parce que les conséquences ne sont pas abstraites.
J’ai vu des cas où des années après la fuite Desjardins, quelqu’un découvre une ligne de crédit ouverte à son nom chez un prêteur alternatif. Des milliers de dollars de dettes contractées par quelqu’un d’autre, avec ses informations. La résolution prend des mois, parfois plus d’un an.
J’ai vu des comptes Netflix, Spotify, Amazon pris en charge par des inconnus — pas parce qu’ils ont été hackés, mais parce que le même mot de passe avait fuité sur un forum de jeux vidéo en 2016.
J’ai vu des arnaques par téléphone ultra-ciblées où l’appelant connaissait le nom de la conjointe, le nom de la banque, le montant approximatif du prêt hypothécaire. Tout ça compilé à partir de plusieurs fuites publiques.
Le credential stuffing est industrialisé. Des botnets testent des millions de combinaisons par jour. Si votre mot de passe a fuité une fois et que vous l’utilisez encore quelque part, ce n’est pas une question de si — c’est une question de quand.
Outils de surveillance à long terme
HIBP est un excellent point de départ, mais c’est une photo à un moment précis. Les fuites continuent d’arriver.
HIBP Notifications : sur le même site, vous pouvez vous inscrire pour recevoir une alerte automatique si votre email apparaît dans une nouvelle fuite. Gratuit, pas de compte requis. C’est la surveillance minimale que tout le monde devrait avoir.
Firefox Monitor : intégré dans Firefox, basé sur les données HIBP. Si vous utilisez Firefox, c’est déjà disponible.
Vos relevés bancaires : la vérification la plus directe pour les données financières. Activez les notifications par SMS ou email pour chaque transaction sur vos comptes. Une transaction non reconnue doit être signalée immédiatement.
Votre dossier de crédit : Equifax et TransUnion offrent tous deux un accès gratuit à votre rapport de crédit une fois par an. Vérifiez-le — pas pour le score, mais pour la liste des comptes. Un compte que vous ne reconnaissez pas est un signal d’alarme immédiat.
Le cas particulier de la fuite Desjardins — pourquoi elle ne disparaît pas
Je veux insister sur ce point parce que je vois encore beaucoup de gens qui pensent que c’est du passé.
La fuite Desjardins de juin 2019 a exposé les données de 4,2 millions de membres au Québec et en Ontario. Ce n’était pas un hack externe sophistiqué — c’était un employé interne, Sébastien Boulanger-Dorval, qui avait accès aux systèmes et qui vendait les données depuis plusieurs mois avant d’être découvert.
Le dommage : nom, prénom, date de naissance, numéro d’assurance sociale, adresse, numéro de téléphone, adresse email, informations sur les habitudes de transaction. Le profil complet.
Ces données sont permanentes. Vous ne pouvez pas changer votre NAS (dans la plupart des cas), votre date de naissance, votre nom. Les personnes affectées restent vulnérables au vol d’identité de façon permanente.
Desjardins a offert une protection d’identité via Equifax — beaucoup de personnes ne l’ont jamais activée, ou le service a expiré. Si vous étiez membre Desjardins en 2019 et que vous n’avez pas fait le gel de crédit ni la surveillance active, faites-le maintenant. Pas dans six mois. Maintenant.
Ne paniquez pas face aux emails de chantage
Je veux revenir sur le cas de Sylvie parce que c’est une arnaque très répandue en ce moment.
L’email arrive avec un vrai mot de passe que vous avez utilisé. Il prétend que le criminel a accès à votre ordinateur, a enregistré votre écran pendant que vous regardiez du contenu adulte, et va envoyer la vidéo à tous vos contacts si vous ne payez pas dans 48 heures.
C’est entièrement faux. Il n’y a pas de vidéo. Il n’y a pas d’accès à votre ordinateur. Il y a seulement votre vieille adresse email et un vieux mot de passe, achetés pour quelques dollars dans une base de données.
Ne payez pas. Ne répondez pas. Ne cliquez sur rien dans l’email.
Ce que vous faites : vérifiez sur HIBP d’où vient ce mot de passe. Changez-le partout où vous l’utilisez encore. Et ignorez l’email.
Si vous avez déjà payé, signalez-le au Centre antifraude du Canada (antifraudcentre-centreantifraude.ca) et à votre service de police local. Il y a peu de chances de récupérer l’argent, mais ça aide à documenter l’arnaque.
Ce que je recommande à mes clients québécois
Quand quelqu’un vient me voir après avoir reçu un email de chantage ou découvert que ses données ont fuité, voici exactement ce que je leur dis de faire dans l’ordre :
Semaine 1 — Triage urgent :
- HIBP pour toutes vos adresses email
- Changez les mots de passe de tous les services affectés
- Activez le 2FA sur l’email principal et la banque en priorité
- Si Desjardins ou données bancaires impliqués : gel de crédit immédiat
Mois 1 — Hygiène de base : 5. Installez Bitwarden (gratuit) et commencez à migrer vers des mots de passe uniques 6. Activez les notifications de transaction sur vos comptes bancaires 7. Inscrivez-vous aux alertes HIBP pour vos emails
Annuellement : 8. Vérifiez votre dossier de crédit chez Equifax et TransUnion 9. Refaites une vérification HIBP
Ce n’est pas compliqué. Ça prend quelques heures une fois, puis quelques minutes par an. Et ça fait une différence réelle.
Est-ce que vous avez déjà vérifié si votre email figure dans une de ces bases de données ? Faites le test sur haveibeenpwned.com — vous serez probablement surpris du résultat.
À lire aussi :
