Est-ce possible de se faire voler son argent en ligne même avec la double authentification activée ?

Oui. Les attaquants utilisent des techniques comme le phishing proxy (AiTM), le vishing, le SIM swap et les malwares bancaires pour intercepter les codes 2FA en temps réel. Le SMS OTP est particulièrement vulnérable car le pirate peut obtenir le code avant même que vous le lisiez, ou vous manipuler pour que vous le saisissiez sur un faux site bancaire.

Qu'est-ce qu'une attaque AiTM (Adversary-in-the-Middle) sur un compte bancaire ?

Une attaque AiTM utilise un serveur proxy entre vous et votre vraie banque. Vous pensez vous connecter à votre banque, mais vous êtes sur un faux site identique qui transmet vos identifiants ET votre code 2FA à la vraie banque en temps réel. L'attaquant récupère votre session authentifiée et peut virer des fonds avant que vous réalisiez ce qui se passe.

Qu'est-ce qu'un SIM swap et comment ça fonctionne au Canada ?

Le SIM swap (ou transfert de numéro frauduleux) consiste à convaincre votre opérateur téléphonique (Bell, Telus, Rogers, Vidéotron) de transférer votre numéro vers une carte SIM contrôlée par le pirate. Une fois fait, toutes vos SMS — y compris les codes d'authentification de votre banque — arrivent chez l'attaquant. La banque envoie le code 2FA sur 'votre' numéro, mais c'est le pirate qui le reçoit.

Qu'est-ce que le vishing et comment les fraudeurs imitent votre banque ?

Le vishing (voice phishing) est une arnaque téléphonique où un fraudeur se fait passer pour un agent de la banque. Il connaît souvent vos informations personnelles (obtenues par des fuites de données ou les réseaux sociaux) pour paraître crédible. Il vous signale une activité suspecte et vous demande de 'confirmer' votre identité en donnant votre mot de passe ou en lisant le code SMS que vous recevez — code que c'est lui-même qui vient de déclencher en essayant de se connecter à votre compte.

Que faire immédiatement si on a perdu de l'argent à cause d'une fraude bancaire en ligne ?

1. Appelez votre banque immédiatement (numéro au dos de votre carte) pour bloquer les virements et geler le compte. 2. Changez TOUS vos mots de passe depuis un appareil sûr (pas le même que celui potentiellement compromis). 3. Contactez le Centre antifraude du Canada : 1-888-495-8501. 4. Signalez à la police locale pour obtenir un numéro de dossier. 5. Demandez à votre banque les logs de connexion avec les adresses IP. 6. Contactez un spécialiste en cybersécurité comme SEQUR pour documenter l'incident.

Quelle est la méthode 2FA la plus sécurisée pour protéger un compte bancaire ?

Par ordre de sécurité croissante : SMS (le plus faible — vulnérable au SIM swap et au phishing proxy), application d'authentification comme Google Authenticator ou Authy (bien meilleur — lié à l'appareil), clé de sécurité physique FIDO2/WebAuthn comme YubiKey (le plus fort — résistant au phishing par conception). Malheureusement, la plupart des banques canadiennes n'offrent que le SMS. Activez au minimum la double authentification par application si votre banque le supporte.

Les banques canadiennes (Desjardins, TD, RBC, BMO, Banque Nationale) remboursent-elles en cas de fraude ?

Généralement oui, si vous n'avez pas commis de négligence. Les banques canadiennes ont des politiques de responsabilité zéro pour les transactions non autorisées. Cependant, si la banque prouve que vous avez volontairement partagé vos identifiants ou un code OTP avec un tiers (même sans savoir que c'était une fraude), le remboursement peut être contesté. Documenter l'incident et agir rapidement augmente vos chances. Un rapport de police est fortement recommandé.

Comment SEQUR peut-il aider en cas de fraude bancaire en ligne ?

SEQUR intervient pour : analyser l'appareil de la victime à la recherche de malwares bancaires, récupérer les logs d'activité, documenter techniquement l'incident pour la banque et la police, identifier le vecteur d'attaque (phishing, SIM swap, vishing), et préparer un rapport forensique qui soutient la demande de remboursement. Consultation initiale disponible sous 24h. Appelez le (581) 748-8348.

Fraude Bancaire en Ligne : Comment les Pirates Volent Votre Argent Malgré le 2FA

$4,5M Coût moyen d'une violation de données au Canada (IBM 2024)

+61% Hausse des fraudes bancaires en ligne au Canada depuis 2021

72h Fenêtre critique pour récupérer des fonds virés frauduleusement

Le cas qui nous a été soumis

Un particulier nous a contactés via notre service de consultation en cybersécurité sur Sequr.ca. Il avait la double authentification activée sur son compte bancaire — comme le recommandent toutes les banques canadiennes. Malgré ça, 25 000 $ avaient été virés depuis son compte en une seule nuit vers un bénéficiaire qu'il ne connaissait pas.

Le scénario qu'il nous a décrit était troublant par sa précision : en pleine nuit, il a reçu une notification de sa banque l'informant qu'un nouveau bénéficiaire était ajouté à son compte pour effectuer un virement. Paniqué, il s'est précipité pour se connecter. Sa banque lui a demandé, comme d'habitude, un code par SMS. Il l'a reçu, l'a saisi, et s'est connecté — pensant avoir déjoué la tentative.

L'erreur fatale : Ce code SMS n'était pas pour son propre login. C'était le code d'autorisation que la banque exigeait pour valider l'ajout du bénéficiaire frauduleux. Le pirate avait déjà les identifiants du client. Il était en train d'ajouter le destinataire du virement. En saisissant le code, la victime a elle-même autorisé l'opération frauduleuse — sans le savoir.

C'est l'une des formes de fraude bancaire les plus sophistiquées et les plus difficiles à détecter pour une victime, parce qu'elle se produit en temps réel, qu'elle imite parfaitement le comportement normal d'une banque, et qu'elle exploite le réflexe naturel de panique face à une alerte de sécurité.

Pourquoi la double authentification ne suffit plus — et ne l'a jamais vraiment suffit pour le SMS

La double authentification (2FA — two-factor authentication) est un mécanisme de sécurité conçu pour ajouter une couche de protection au-delà du mot de passe. L'idée est simple : même si quelqu'un vole votre mot de passe, il n'a pas accès à votre téléphone pour recevoir le deuxième facteur d'authentification.

En théorie, c'est solide. En pratique, quand le deuxième facteur est un code SMS (OTP — One-Time Password), il existe quatre vecteurs d'attaque bien documentés qui permettent aux pirates de le contourner ou de l'intercepter sans jamais toucher physiquement à votre téléphone.

Ce n'est pas un bug dans les systèmes bancaires à proprement parler — c'est une limite fondamentale du SMS comme facteur d'authentification. Les codes SMS peuvent être interceptés via l'infrastructure téléphonique (protocole SS7), volés en temps réel via un site de phishing proxy, ou obtenus par manipulation sociale directe de la victime. La faille est dans le canal, pas dans le principe du 2FA.

Note technique : Les applications d'authentification (Google Authenticator, Microsoft Authenticator, Authy) et les clés physiques FIDO2/WebAuthn (YubiKey) sont significativement plus résistantes. Mais la grande majorité des banques canadiennes n'offrent que le SMS comme seule option 2FA pour les particuliers — ce qui laisse leurs clients exposés aux attaques décrites dans cet article.

Anatomie d'une attaque AiTM — le schéma complet

L'attaque AiTM (Adversary-in-the-Middle, ou adversaire au milieu) est la technique la plus redoutable utilisée pour contourner le 2FA bancaire. Elle ne nécessite pas de pirater votre téléphone ni de faire de SIM swap. Elle exploite simplement votre confiance dans ce qui ressemble à votre vraie banque.

Schéma 1 — Flux d'une attaque AiTM sur compte bancaire

Victime Vous

Votre navigateur

⇄

Piège Proxy malveillant

Fausse banque identique

⇄

Banque Vraie banque

Serveurs officiels

Vous cliquez sur un lien de phishing (email, SMS, pub) et vous atterrissez sur un site identique à votre banque — même logo, même design, URL quasi-identique (ex : td-securite-canada.com).

Vous saisissez votre numéro de client et votre mot de passe. Le proxy les capture en temps réel et les transmet immédiatement à la vraie banque.

La vraie banque vous envoie un code SMS (OTP). Le proxy affiche sur le faux site un champ "Entrez votre code" — vous le saisissez sans savoir.

Le proxy transmet ce code OTP à la vraie banque, complète l'authentification en votre nom, et récupère votre session active (cookie de session).

Vous pensez voir votre compte (le proxy vous affiche une fausse page "erreur" ou "maintenance"). En réalité, l'attaquant a votre session authentifiée et peut ajouter un bénéficiaire, modifier les limites de virement, et transférer des fonds.

Si la banque envoie un autre SMS pour valider le virement, votre téléphone reçoit le code. L'attaquant vous appelle (vishing) ou vous affiche un champ sur le proxy pour vous faire entrer ce second code vous-même.

Des outils comme Evilginx2, Modlishka et Muraena permettent de déployer ce type d'infrastructure de phishing proxy en quelques heures. Ce ne sont pas des concepts théoriques — ce sont des outils open source disponibles publiquement, utilisés dans des cyberattaques documentées contre des clients de Desjardins, TD, RBC, BMO et de la Banque Nationale au Canada.

Les 4 scénarios d'attaque documentés au Canada

SCÉNARIO 01 Phishing proxy AiTM — Le miroir invisible Risque élevé

Comment ça commence : Vous recevez un email, un SMS ou une notification qui ressemble parfaitement à votre banque — logo, couleurs, formulation. Le lien pointe vers un domaine légèrement modifié : desjardins-securite.ca, td-alerte-canada.com, rbc-verification.net. Ce sont de vrais domaines achetés par des pirates.

Le crochet psychologique : Le message crée une urgence — "Activité suspecte détectée sur votre compte", "Votre accès sera suspendu dans 24h", "Confirmez votre identité pour éviter le blocage". L'urgence empêche de réfléchir.

Ce que vous ne voyez pas : Le site proxy est une copie parfaite, mise à jour en temps réel depuis le vrai site. Chaque champ que vous remplissez est transmis instantanément au pirate et à la vraie banque. Vous voyez ce que vous attendez voir. L'attaque est invisible à l'œil nu.

Indicateurs de compromission : URL légèrement différente (un caractère, un tiret, un domaine différent), absence du cadenas HTTPS (rare mais possible), connexion qui "expire" ou affiche une erreur après que vous ayez entré vos informations, appel téléphonique qui suit dans les minutes.

SCÉNARIO 02 Vishing — Le faux agent de la banque Risque élevé

Le déroulement classique : Vous recevez un appel. La personne connaît votre nom, les 4 derniers chiffres de votre carte, parfois votre adresse. Elle se présente comme agent du département de sécurité de votre banque. "Nous avons détecté une tentative de fraude sur votre compte ce matin. Pour protéger votre argent, j'ai besoin de vérifier votre identité."

Pourquoi vous la croyez : Elle a des informations réelles sur vous — obtenues via des fuites de données (Desjardins 2019 : 4,2 millions de membres touchés), les réseaux sociaux, ou des courtiers de données. Elle utilise le vrai numéro de la banque ou un numéro usurpé via caller ID spoofing — une technique qui affiche n'importe quel numéro sur votre téléphone.

Le moment critique : Elle dit qu'elle va vous envoyer un code SMS pour "confirmer votre identité" ou "bloquer la transaction suspecte". Ce qu'elle ne dit pas, c'est qu'elle vient en ce moment d'essayer de se connecter à votre vrai compte en ligne — et que la banque lui a envoyé le code 2FA sur votre numéro. Elle vous demande de lire ce code à voix haute. Vous venez de lui donner accès à votre compte.

Cas documentés au Canada : Cette technique a été utilisée massivement contre des clients de la Caisse populaire Desjardins et de la Banque Nationale au Québec, ainsi que contre des clients TD et RBC en Ontario. Le Centre antifraude du Canada a émis des alertes répétées sur cette méthode entre 2022 et 2026.

SCÉNARIO 03 SIM Swap — Voler votre numéro de téléphone Risque modéré-élevé

Le principe : Le SIM swap (fraude au transfert de numéro) consiste à convaincre votre opérateur téléphonique — Bell, Telus, Rogers, Vidéotron, Fizz, Koodo — de transférer votre numéro vers une carte SIM contrôlée par l'attaquant. Une fois le transfert effectué, tous les appels et SMS destinés à votre numéro arrivent chez le pirate.

Comment l'attaquant convainc l'opérateur : Il appelle le service client avec vos informations personnelles (nom, date de naissance, adresse, numéro de compte client — souvent disponibles via des fuites ou des achats sur le dark web). Il dit que son téléphone a été volé et qu'il a besoin d'activer sa SIM sur un nouvel appareil. Certains opérateurs demandent une vérification supplémentaire; d'autres non.

Ce qui se passe ensuite : Votre téléphone perd son signal. "Pas de réseau" ou "SIM invalide". En quelques minutes, le pirate demande une réinitialisation de mot de passe sur votre compte bancaire. Il reçoit le SMS de vérification sur son téléphone. Il change votre mot de passe, ajoute un bénéficiaire, et vire l'argent. Quand vous réalisez ce qui se passe — souvent le lendemain matin — les fonds ont déjà été retirés.

Qui est particulièrement ciblé : Les personnes dont le numéro de téléphone est le même depuis plusieurs années et qui ne l'ont pas verrouillé auprès de leur opérateur. Les clients dont les informations personnelles ont été compromises dans des fuites (Desjardins 2019, Bell Canada 2022, Capital One Canada). Les personnes qui utilisent leur téléphone personnel pour tout — banque, email, réseaux sociaux.

SCÉNARIO 04 Malware bancaire (Banking Trojan) — L'espion dans votre appareil Risque modéré

Les vecteurs d'infection : Un logiciel malveillant bancaire peut s'installer sur votre ordinateur ou téléphone via une pièce jointe email (faux PDF de facturation, faux avis de livraison), une extension de navigateur malveillante, un logiciel piraté téléchargé, une fausse mise à jour Flash ou Java (encore courant), ou via une publicité infectée (malvertising).

Ce qu'un banking trojan peut faire : Enregistrer vos frappes de clavier (keylogger) pour capturer identifiants et mots de passe. Faire des captures d'écran pendant vos sessions bancaires. Intercepter et modifier les pages web que vous visitez pour afficher de faux champs de formulaire qui volent vos données. Rediriger vos virements vers d'autres comptes sans que vous le sachiez (l'écran montre le bon numéro de compte, mais la transaction en arrière-plan envoie l'argent ailleurs — technique dite de Man-in-the-Browser).

Les familles actives au Canada : Des variantes de Emotet, TrickBot, Dridex et Qbot ont tous ciblé des institutions financières canadiennes. Ces malwares sont souvent vendus comme des services (Malware-as-a-Service) sur des forums du dark web, ce qui signifie que n'importe qui peut les acheter et les déployer sans expertise technique.

Signe d'alerte : Des transactions bancaires que vous n'avez pas effectuées. Votre antivirus signale un fichier suspect mais ça "disparaît". Votre navigateur affiche des publicités inhabituelles ou des pop-ups dans votre interface bancaire. Votre ordinateur est soudainement plus lent.

Vous avez été victime de fraude bancaire ?

Chaque heure compte. SEQUR analyse votre situation, identifie le vecteur d'attaque, et prépare la documentation pour votre banque et la police. Consultation initiale disponible en moins de 24h.

Demander une consultation → Appeler : (581) 748-8348

Le SMS OTP — pourquoi c'est le maillon faible de votre sécurité bancaire

Le SMS a été conçu dans les années 1980 sur le protocole SS7 (Signaling System 7), un standard de télécommunication qui n'intègre aucune encryption de bout en bout et pratiquement aucune authentification des acteurs du réseau. En clair : n'importe qui qui a accès à l'infrastructure SS7 peut intercepter vos SMS — y compris des opérateurs téléphoniques corrompus, des agences gouvernementales, et des groupes criminels organisés.

Mais même sans accès SS7, le SMS est vulnérable de multiples façons. Les attaques de phishing proxy fonctionnent parce que le SMS arrive sur votre téléphone — et vous l'entrez vous-même sur le faux site. Le vishing fonctionne parce que vous lisez le code à voix haute. Le SIM swap fonctionne parce que le SMS est redirigé vers un autre téléphone.

Comparaison des méthodes 2FA — laquelle choisir

Méthode 2FA	Résistance phishing	Résistance SIM swap	Disponible banques CA	Niveau de sécurité
SMS OTP	Faible	Nulle	Toutes	Faible
Email OTP	Faible	Partielle	Quelques-unes	Faible
App TOTP (Google Auth, Authy)	Partielle	Forte	Quelques-unes	Moyen
Push notification app (Desjardins AccèsD)	Partielle	Forte	Quelques-unes	Moyen
Clé FIDO2/WebAuthn (YubiKey)	Totale	Totale	Aucune	Élevé

La clé FIDO2/WebAuthn est la seule méthode véritablement résistante au phishing — parce que la vérification se fait cryptographiquement en liant le facteur d'authentification au domaine exact du site. Un faux site bancaire ne peut pas déclencher une authentification FIDO2 valide. Malheureusement, aucune grande banque canadienne n'offre encore cette option pour les particuliers.

Les banques canadiennes ciblées — ce que vous devez savoir sur votre institution

Toutes les grandes institutions financières canadiennes sont activement ciblées. Voici les points de vulnérabilité spécifiques documentés par les chercheurs en sécurité et les incidents publics :

Desjardins — Caisse populaire

La fuite de données de 2019 (4,2 millions de membres, 2,7 millions de non-membres) a fourni aux attaquants une base de données de victimes potentielles avec des informations personnelles très détaillées — noms, adresses, dates de naissance, numéros de compte. Ces données sont encore utilisées aujourd'hui pour du vishing ciblé contre des membres Desjardins. Le système AccèsD offre maintenant des notifications push via l'application mobile — plus sécurisées que le SMS, mais toujours vulnérables aux attaques de type AiTM si la victime est sur un proxy malveillant.

TD Canada Trust

TD est l'une des banques les plus copiées dans les campagnes de phishing canadiennes. Des dizaines de domaines frauduleux imitant TD ont été documentés : tdbankonline-canada.com, td-secure-access.net, etc. Le design du portail EasyWeb est régulièrement dupliqué dans des kits de phishing vendus sur des forums du dark web. TD utilise principalement le SMS OTP pour la validation des transactions importantes.

RBC Banque Royale

RBC offre une application mobile avec authentification biométrique (empreinte digitale, Face ID) — mais le fallback en cas d'échec biométrique reste souvent le SMS ou un NIP. Cette faiblesse dans le chemin alternatif est exploitée. Des campagnes de vishing ciblant des clients RBC sous prétexte d'alertes de fraude ont été documentées en Ontario et en Colombie-Britannique.

BMO — Banque de Montréal

BMO a renforcé ses contrôles de transaction depuis 2021, mais les virements vers de nouveaux bénéficiaires — jusqu'à des limites souvent de 25 000 $ à 50 000 $ — restent confirmables par SMS OTP uniquement. La fenêtre entre l'ajout d'un bénéficiaire et la disponibilité du virement est parfois de quelques heures seulement.

Banque Nationale du Québec

La Banque Nationale est particulièrement ciblée au Québec en raison de sa forte pénétration dans le marché francophone. Des campagnes de phishing en français canadien, avec une formulation et des visuels quasi parfaits, ont été observées régulièrement depuis 2023. Les clients de la Banque Nationale rapportent plus fréquemment des tentatives de vishing que chez les autres grandes banques — une tendance confirmée par les rapports du Centre antifraude du Canada.

La chronologie d'une nuit de fraude — ce qui se passe heure par heure

Schéma 2 — Timeline d'une fraude bancaire type (cas réel anonymisé)

21h47

Phishing par SMS La victime reçoit un SMS "TD — activité inhabituelle sur votre compte. Vérifiez immédiatement : [lien]". Le lien pointe vers td-verif-canada.com — un domaine enregistré 3 jours plus tôt.

21h52

Saisie des identifiants La victime saisit son numéro de client et son mot de passe sur le faux site. Le proxy transmet les informations à la vraie banque en 0,3 seconde.

21h53

SMS 2FA reçu et saisi La banque envoie le code OTP par SMS. La victime le saisit sur le faux site. L'attaquant soumet le code sur la vraie banque. Session ouverte côté attaquant.

21h55

Ajout du bénéficiaire frauduleux L'attaquant ajoute un bénéficiaire avec un compte dans une autre banque. La banque envoie un SMS de confirmation à la victime — "Pour confirmer l'ajout du bénéficiaire X, entrez le code : 847291".

21h58

La victime saisit le code de confirmation Paniquée par la notification, la victime essaie de se connecter à sa vraie banque. Elle est invitée à entrer un code SMS — qu'elle reçoit et saisit. Elle vient d'autoriser l'ajout du bénéficiaire elle-même.

22h14

Virement de 25 000 $ initié L'attaquant initie un virement au maximum de la limite quotidienne vers le bénéficiaire fraîchement ajouté. Un dernier SMS OTP est demandé — la victime le saisit croyant sécuriser son compte.

08h30

La victime découvre la fraude Le lendemain matin, elle remarque que son solde est de 25 000 $ inférieur. Elle appelle la banque. Les fonds ont déjà été retirés du compte destinataire — souvent via des retraits ATM ou un virement vers l'étranger.

Que faire si vous êtes victime — les étapes dans l'ordre

Si vous pensez avoir été victime d'une fraude bancaire en ligne au Canada, chaque heure compte. Les banques ont des délais de contestation. Les fonds virés frauduleusement peuvent encore être récupérables dans les premières 24 à 72 heures si la banque est contactée rapidement et qu'un mécanisme de rappel de fonds est déclenché.

📞

Étape 1 (immédiate) — Appeler votre banque Composez le numéro au dos de votre carte bancaire — pas un numéro trouvé en ligne. Signalez la fraude, demandez le gel immédiat de votre compte et le blocage de tout virement sortant. Demandez un numéro de dossier fraude.

🔐

Étape 2 (dans l'heure) — Changer vos mots de passe depuis un appareil SAIN Utilisez un autre appareil (pas celui potentiellement infecté). Changez le mot de passe de votre banque, de votre email principal, et de tout compte lié à ce numéro de téléphone. Révoquez toutes les sessions actives.

🚔

Étape 3 — Signalement à la police Portez plainte au service de police local pour obtenir un numéro de rapport de police. Ce numéro est souvent requis par la banque pour ouvrir une investigation formelle et accélérer le remboursement.

🇨🇦

Étape 4 — Centre antifraude du Canada Signalez au Centre antifraude du Canada : 1-888-495-8501 ou signalement en ligne sur antifraudcentre.ca. Ce signalement crée un dossier national et peut déclencher une enquête si d'autres victimes ont été ciblées par les mêmes attaquants.

🔎

Étape 5 — Demander les logs de connexion à la banque Demandez officiellement (par écrit) les journaux de connexion de votre compte : adresses IP, user-agents, horodatages de toutes les actions de la nuit de l'incident. Ces informations sont critiques pour l'investigation et peuvent être ordonnées par la police.

💻

Étape 6 — Analyse forensique de vos appareils Ne réinitialisez pas votre téléphone ou ordinateur immédiatement — ils peuvent contenir des preuves. Faites analyser vos appareils par un spécialiste en cybersécurité avant toute manipulation. Un malware bancaire actif peut nécessiter une procédure spécifique d'isolation et d'extraction de preuve.

Bon à savoir : La plupart des grandes banques canadiennes offrent une politique de responsabilité zéro pour les transactions frauduleuses non autorisées. Cependant, si la banque peut prouver que vous avez volontairement partagé votre code OTP avec un tiers — même sans savoir que c'était une fraude — certaines refusent initialement le remboursement. Un rapport forensique technique préparé par un expert en cybersécurité peut démontrer que vous avez été manipulé et renforcer significativement votre dossier.

Comment protéger votre compte bancaire maintenant — actions concrètes

Protection immédiate (à faire aujourd'hui)

Activez les notifications de transaction en temps réel dans l'application de votre banque — vous serez alerté immédiatement pour tout virement
Abaissez la limite de virement quotidien vers de nouveaux bénéficiaires au minimum (souvent configurable dans les paramètres)
Activez un délai de 24 à 72 heures pour les paiements vers de nouveaux bénéficiaires (certaines banques l'offrent sur demande)
Vérifiez la liste des bénéficiaires enregistrés sur votre compte et supprimez ceux que vous ne reconnaissez pas
Bloquez votre numéro SIM contre le SIM swap en appelant votre opérateur (Bell, Telus, Rogers, Vidéotron) et en demandant un code PIN de portabilité

Protection avancée

Utilisez un mot de passe unique et long (20+ caractères générés) pour votre banque en ligne — jamais le même que sur d'autres sites
Passez à une application d'authentification (Google Authenticator, Authy) si votre banque le propose — abandonnez le SMS 2FA si vous avez le choix
Créez une adresse email dédiée uniquement à vos comptes bancaires — n'utilisez jamais cette adresse ailleurs
N'accédez jamais à votre banque via un lien dans un email ou SMS — tapez toujours l'adresse directement dans votre navigateur
Installez un gestionnaire de mots de passe (Bitwarden, 1Password) — il ne complète jamais automatiquement les formulaires sur de faux sites
Gardez votre système d'exploitation et navigateur à jour — les malwares bancaires exploitent souvent des failles dans des logiciels non patchés

Ce qu'il ne faut jamais faire

Ne jamais lire un code SMS ou OTP à voix haute à quelqu'un au téléphone — votre banque ne vous demandra jamais ça
Ne jamais cliquer sur un lien dans un SMS prétendant venir de votre banque — aller directement sur le site
Ne jamais utiliser le Wi-Fi public pour accéder à votre compte bancaire sans VPN
Ne jamais télécharger une "application de sécurité" recommandée par quelqu'un qui vous a appelé
Ne jamais donner accès à distance à votre ordinateur (TeamViewer, AnyDesk) à quelqu'un se présentant comme votre banque ou le gouvernement
Ne jamais ignorer une notification d'ajout de bénéficiaire — appelez votre banque immédiatement si vous n'êtes pas à l'origine de l'action

Questions fréquentes — fraude bancaire en ligne au Canada

Est-ce possible de se faire voler son argent avec le 2FA activé ?
Oui. Le SMS OTP est vulnérable à 4 vecteurs principaux : le phishing proxy AiTM, le vishing, le SIM swap et les malwares bancaires. Dans tous ces cas, l'attaquant intercepte ou vous pousse à saisir vous-même le code OTP. Le 2FA SMS protège contre les attaques simples par credential stuffing, mais pas contre ces techniques avancées.

Qu'est-ce qu'un SIM swap et comment s'en protéger au Canada ?
Le SIM swap consiste à convaincre Bell, Telus, Rogers ou Vidéotron de transférer votre numéro vers une autre carte SIM. Pour vous protéger : appelez votre opérateur et demandez d'ajouter un code PIN de portabilité (ou "SIM lock") — aucune modification ne peut être faite sans ce code, même en magasin. Bell Canada le nomme "code de sécurité supplémentaire", Telus le nomme "SIM lock PIN".

Ma banque me remboursera-t-elle si j'ai été victime de fraude ?
Généralement oui, si vous n'avez pas volontairement partagé vos identifiants. Les grandes banques canadiennes ont des politiques de responsabilité zéro. Cependant, si la banque considère que vous avez été négligent (ex : vous avez lu votre code SMS à voix haute sur un appel entrant), elle peut contester. Un rapport forensique de cybersécurité documentant la manipulation subie renforce significativement votre dossier.

Comment vérifier si mon numéro de téléphone a été transféré frauduleusement ?
Si votre téléphone perd soudainement son signal ("Pas de service SIM" ou "Aucun réseau") sans raison technique, c'est le premier signe. Essayez d'appeler votre propre numéro depuis un autre téléphone — si vous n'entendez pas sonner votre téléphone, le SIM swap a probablement eu lieu. Appelez immédiatement votre opérateur et votre banque.

Y a-t-il une faille dans l'application de ma banque ?
Dans la majorité des cas de fraude bancaire malgré le 2FA, la faille n'est pas dans l'application de la banque elle-même. Elle est dans le canal SMS utilisé pour transmettre les codes OTP. La banque envoie le code au bon numéro — mais soit ce numéro a été détourné (SIM swap), soit vous avez été manipulé pour saisir ce code sur un mauvais site ou vous l'avez communiqué. C'est une limite architecturale du SMS, pas un bug bancaire.

Le Centre antifraude du Canada peut-il récupérer mon argent ?
Non directement. Le Centre antifraude (1-888-495-8501) collecte les signalements et les transmet à la GRC. Il ne peut pas récupérer les fonds. La récupération se fait via votre banque (qui peut initier un rappel de fonds si le virement est récent) ou via une action civile. Mais le signalement au CAFC crée un dossier officiel utile pour votre banque et peut déclencher des enquêtes si vous n'êtes pas la seule victime.

Quel est le délai pour contester un virement frauduleux au Canada ?
Plus vite vous agissez, mieux c'est. Les virements Interac peuvent parfois être rappelés dans les minutes qui suivent si le destinataire n'a pas encore accepté le dépôt. Les virements bancaires standard : la banque a généralement 24 à 72 heures pour déclencher un rappel de fonds avant que l'argent ne soit retiré du compte destinataire. Après 72 heures, la récupération devient très difficile, surtout si les fonds ont été transférés hors du pays.

Comment SEQUR peut-il m'aider si je suis victime de fraude bancaire ?
SEQUR intervient pour : (1) analyser vos appareils à la recherche de malwares bancaires ou keyloggers, (2) documenter techniquement l'incident — vecteur d'attaque, chronologie, preuves numériques, (3) préparer un rapport forensique qui soutient votre demande de remboursement auprès de la banque, (4) vous guider dans les démarches auprès du Centre antifraude du Canada et de la police. Consultation en moins de 24h : formulaire de contact ou (581) 748-8348.

Vol de 25 000 $ malgré la double authentification — enquête et analyse