/ Tech & Web / Comment savoir si votre numéro d’assurance sociale (NAS) circule sur le Dark Web ?
Publié le 15 mai 2024

Après des fuites de données massives comme celle de Desjardins, l’angoisse de voir son NAS sur le Dark Web est légitime. La vérité est qu’il est impossible de le savoir avec certitude. La véritable solution n’est pas de chercher sans fin, mais d’adopter une stratégie de « verrouillage préventif ». En rendant votre identité numérique inutilisable pour un fraudeur – notamment en gelant votre dossier de crédit et en blindant vos accès – vous reprenez le contrôle, que vos données aient fuité ou non.

Depuis les fuites de données d’envergure qui ont secoué le Canada, une question hante des millions de citoyens : mon numéro d’assurance sociale (NAS) est-il en vente sur le Dark Web ? Cette inquiétude, alimentée par un sentiment d’impuissance, pousse plusieurs à chercher des solutions miracles, des scanners de Dark Web promettant de répondre à cette angoisse. La réalité, cependant, est plus complexe. Tenter de pister son propre NAS dans les méandres d’Internet est une quête souvent vaine et anxiogène.

Les conseils habituels, comme « surveiller son crédit » ou « utiliser des mots de passe forts », sont des points de départ nécessaires, mais ils sont devenus insuffisants. Ils vous placent en mode réactif, à l’affût d’une fraude qui a peut-être déjà eu lieu. Face à des attaques de plus en plus sophistiquées, comme l’usurpation de votre numéro de cellulaire (SIM swapping) ou des courriels d’hameçonnage ciblés imitant parfaitement les services gouvernementaux, une simple surveillance ne suffit plus. Le problème n’est plus seulement de savoir si vos données sont exposées, mais de comprendre comment les fraudeurs les exploitent ici, au Canada.

Et si la véritable clé n’était pas de réagir aux alertes, mais de rendre votre NAS inutile entre les mains d’un criminel ? Cet article propose un changement de paradigme : passer d’une posture de surveillance passive à une stratégie de verrouillage préventif. Nous allons explorer les mécanismes concrets utilisés par les fraudeurs au Canada et vous fournir un plan d’action pour bâtir un écosystème de sécurité personnel qui protège vos actifs les plus précieux, bien au-delà de votre carte de crédit.

Ce guide est conçu pour vous redonner le contrôle. Nous allons décortiquer, étape par étape, comment blinder votre dossier de crédit, sécuriser vos communications, identifier les arnaques les plus fines et finalement, construire une forteresse numérique autour de votre identité.

Sommaire : Protéger votre NAS au Canada, le guide de défense préventive

Pourquoi votre dossier médical vaut-il 10x plus cher que votre carte de crédit pour un pirate ?

Sur le Dark Web, un numéro de carte de crédit se vend pour quelques dollars. Un dossier de renseignements personnels complet, dont le NAS est la pierre angulaire, peut valoir des centaines, voire des milliers de dollars. La raison est simple : alors qu’une carte de crédit peut être annulée en un appel, un NAS est une clé permanente qui ouvre la porte à votre vie entière. Il permet non seulement de contracter des prêts en votre nom, mais aussi de commettre des fraudes beaucoup plus dévastatrices.

Un fraudeur en possession de votre NAS et de quelques autres informations personnelles peut, par exemple, prendre le contrôle de votre numéro de téléphone via une attaque de type « SIM swapping ». Une fois votre ligne cellulaire détournée, il reçoit tous vos appels, vos messages textes, et surtout, vos codes de vérification à deux facteurs. Les portes de vos comptes bancaires, de vos courriels et de vos comptes gouvernementaux s’ouvrent alors à lui. Le vol n’est plus seulement financier, c’est une usurpation complète de votre identité numérique.

C’est précisément ce qui est arrivé à l’investisseur Michael Terpin, qui a perdu 24 millions de dollars après que des fraudeurs ont convaincu son opérateur mobile de transférer son numéro. Si le montant est extrême, le mécanisme, lui, est de plus en plus courant. C’est pourquoi la valeur de votre identité dépasse de loin celle de vos informations bancaires. Protéger son NAS, c’est protéger l’accès racine à sa propre vie.

Plan d’action d’urgence en cas de compromission du NAS

  1. Points de contact officiels : Appelez immédiatement l’Agence du revenu du Canada (ARC) au 1-800-959-7383 pour signaler une possible usurpation et demandez à renforcer la sécurité de votre compte. Contactez aussi Service Canada via le 1-800-O-Canada pour connaître les démarches de remplacement de vos pièces d’identité (permis, carte d’assurance maladie).
  2. Collecte des preuves : Inventoriez toutes vos transactions financières récentes. Conservez les courriels, les SMS ou tout autre contact suspect. Notez précisément chaque démarche que vous entreprenez (qui vous avez appelé, quand, ce qui a été dit).
  3. Cohérence avec les agences de crédit : Contactez immédiatement Equifax et TransUnion pour placer une alerte à la fraude sur votre dossier. Commandez une copie de vos dossiers de crédit pour vérifier toute activité suspecte.
  4. Mémorabilité et analyse : Repérez les transactions que vous ne reconnaissez pas. Sont-elles inhabituelles par leur montant, leur lieu, leur nature ? Cette analyse aidera les enquêteurs.
  5. Plan d’intégration des correctifs : En plus de contester les transactions frauduleuses, changez les mots de passe de tous vos comptes sensibles (banque, courriel, gouvernement) et activez l’authentification via une application, et non par SMS.

Agir avant que la fraude ne survienne est la seule approche véritablement efficace. La première étape de ce verrouillage préventif est de bloquer l’accès à votre dossier de crédit.

Equifax et TransUnion : comment geler votre crédit gratuitement au Québec ?

L’action la plus puissante de votre arsenal de « verrouillage préventif » est le gel (ou verrouillage) de votre dossier de crédit. Lorsqu’il est gelé, votre dossier devient inaccessible aux nouveaux prêteurs. Un fraudeur, même avec votre NAS, ne pourra donc pas ouvrir une nouvelle carte de crédit, un prêt auto ou une marge de crédit en votre nom. C’est une barrière quasi infranchissable. La bonne nouvelle pour les résidents du Québec est que cette protection est désormais un droit gratuit et encadré par la loi.

Cette protection ne bloque pas vos comptes existants ; vous pouvez continuer à utiliser vos cartes et à rembourser vos prêts. Le gel empêche simplement la consultation de votre dossier pour l’ouverture de nouveaux crédits. Il est important de noter que geler votre crédit n’a absolument aucun impact négatif sur votre cote de crédit. C’est une mesure purement sécuritaire. Lorsque vous avez besoin de contracter un nouveau crédit, il vous suffit de déverrouiller temporairement votre dossier via votre compte en ligne, un processus qui ne prend généralement que quelques minutes.

Pour les Canadiens hors du Québec, les options sont plus limitées et souvent payantes, se résumant à des alertes de crédit. Le Québec fait figure de pionnier en matière de protection du consommateur à ce niveau.

Bureau avec ordinateur montrant une interface sécurisée de gestion du crédit

Comme le montre ce tableau comparatif, la situation légale au Canada est fragmentée, plaçant les Québécois dans une position avantageuse pour protéger proactivement leur identité. Le processus se fait directement sur les sites d’Equifax Canada et de TransUnion Canada.

Cette mesure, simple et gratuite, est la pierre angulaire de votre défense, comme le détaille cette analyse sur la législation entourant le gel de crédit.

Gel de crédit : Comparaison Québec vs autres provinces canadiennes
Province Gel gratuit Statut légal Date de mise en œuvre
Québec Oui Obligatoire depuis février 2023 en vertu de la Loi sur les agents d’évaluation du crédit 1er février 2023
Ontario En attente Loi modifiée, consultations en cours pour guider la mise en œuvre À déterminer
Autres provinces Non Options non offertes aux résidents canadiens hors Québec Non applicable

Une fois votre crédit verrouillé, la prochaine étape consiste à sécuriser les clés qui donnent accès à vos comptes existants : vos mots de passe.

Bitwarden ou 1Password : lequel est le plus sécuritaire pour stocker vos accès bancaires ?

Utiliser le même mot de passe, même complexe, pour plusieurs services est l’une des plus grandes failles de sécurité. Si un site de commerce électronique peu sécurisé subit une fuite de données, les pirates essaieront immédiatement ce même couple courriel/mot de passe sur vos comptes bancaires, vos services gouvernementaux et vos réseaux sociaux. La seule défense viable est d’utiliser un mot de passe unique et complexe pour chaque compte. Une tâche humainement impossible sans l’aide d’un gestionnaire de mots de passe.

Des outils comme Bitwarden et 1Password ne se contentent pas de stocker vos mots de passe. Ils agissent comme un coffre-fort numérique pour toute votre vie en ligne. Leur fonction première est de générer des mots de passe longs et aléatoires (ex: `Jk#p8$z@q!R&n2*E`) pour chaque site, que vous n’avez jamais besoin de mémoriser. Vous ne retenez qu’un seul « mot de passe maître », celui qui déverrouille le coffre-fort.

Alors, lequel choisir ? Bitwarden est souvent loué pour son modèle open-source, qui permet à la communauté d’experts en sécurité d’auditer son code, offrant une grande transparence. Il propose une version gratuite très complète. 1Password, une entreprise canadienne, est réputé pour son interface utilisateur extrêmement soignée et ses fonctionnalités familiales. Il a innové avec le concept de « Secret Key », une couche de sécurité supplémentaire en plus de votre mot de passe maître.

La question n’est donc pas tant de savoir lequel est « le plus » sécuritaire – les deux utilisent un chiffrement de pointe (AES-256) et une architecture « zero-knowledge » (ils ne peuvent pas voir vos mots de passe). La vraie question est : lequel s’intégrera le mieux dans votre vie pour que vous l’utilisiez systématiquement ? Le meilleur gestionnaire de mots de passe est celui que vous adoptez pour 100% de vos comptes. C’est un pilier non négociable de votre écosystème de sécurité personnel.

Cependant, même le meilleur mot de passe peut être contourné si votre deuxième facteur d’authentification est vulnérable.

L’erreur de donner son code 2FA au téléphone à un « faux employé de banque »

Vous recevez un appel. L’afficheur indique le nom de votre banque. La personne au bout du fil, calme et professionnelle, vous informe d’une transaction suspecte sur votre compte. Pour l’annuler, elle vous demande de confirmer votre identité en lui lisant le code de sécurité que vous venez de recevoir par SMS. Vous vous exécutez, pensant bien faire. Vous venez de livrer les clés de votre compte à un fraudeur. Ce scénario, c’est de l’ingénierie sociale, une manipulation psychologique où le maillon faible n’est pas la technologie, mais l’humain.

Les fraudeurs ne se contentent plus d’envoyer des courriels d’hameçonnage grossiers. Ils orchestrent des attaques complexes, souvent en plusieurs étapes. Une technique redoutable est le « SIM swapping », où un criminel convainc votre opérateur de téléphonie mobile de transférer votre numéro sur une carte SIM en sa possession. Pour cela, il utilise des informations personnelles vous concernant, souvent glanées lors de fuites de données antérieures.

Étude de Cas : Le « Projet Disrupt » au Canada

Une illustration frappante de ce danger est le « Projet Disrupt » mené par la police de Toronto. Cette enquête a démantelé un réseau criminel responsable de fraudes par « SIM swap » à grande échelle. Les criminels prenaient le contrôle des numéros de téléphone de leurs victimes pour accéder à leurs informations personnelles et à leurs comptes bancaires. Selon l’enquête, plus de 1 500 comptes de cellulaires à travers le Canada ont été compromis, engendrant des pertes totales de plus d’un million de dollars pour les victimes, les institutions financières et les compagnies de télécommunications. Ce cas démontre que la menace est bien réelle et organisée sur le territoire canadien.

Le succès de ces arnaques repose sur une vulnérabilité fondamentale des processus de vérification, comme le souligne un expert en sécurité.

Le problème, c’est que, lorsqu’on appelle la compagnie et qu’on se fait passer pour une autre personne, les vérifications sont minimales et inadéquates.

– Patrick Mathieu, Conseiller en sécurité et cofondateur du Hackfest

La règle d’or est simple et absolue : jamais, sous aucun prétexte, un employé de banque, du gouvernement ou de toute autre institution légitime ne vous demandera votre mot de passe ou un code de sécurité reçu par message texte. Si on vous le demande, c’est une arnaque. Raccrochez immédiatement et contactez vous-même l’institution via son numéro officiel.

La solution technique à cette vulnérabilité humaine est de choisir une méthode d’authentification plus robuste que le SMS.

SMS ou Application : pourquoi ne faut-il jamais utiliser les textos pour vos codes de sécurité ?

Pendant des années, l’authentification à deux facteurs (2FA) par SMS a été présentée comme une avancée majeure en sécurité. Le principe est simple : en plus de votre mot de passe, vous devez entrer un code unique reçu par texto. Cependant, comme nous l’avons vu, la vulnérabilité au « SIM swapping » a transformé cette méthode en maillon faible. Une analyse de Radio-Canada a d’ailleurs conclu que la majorité des dégâts causés par les fraudes par carte SIM sont liés à ce système d’authentification.

La solution de rechange, beaucoup plus sécuritaire, est d’utiliser une application d’authentification dédiée, telle que Google Authenticator, Microsoft Authenticator ou Authy. Ces applications génèrent des codes à usage unique directement sur votre appareil, indépendamment de votre carte SIM. Un pirate qui prendrait le contrôle de votre numéro de téléphone n’aurait toujours pas accès à ces codes. La clé du coffre-fort reste physiquement avec vous.

Comparaison visuelle entre l'authentification par SMS et par application avec éléments de sécurité

La migration du 2FA par SMS vers une application est une étape cruciale pour blinder vos comptes. Le processus est simple :

  • Téléchargez une application d’authentification sur votre téléphone.
  • Connectez-vous à vos comptes importants (banque, courriel, etc.) et allez dans les paramètres de sécurité.
  • Choisissez de modifier votre méthode d’authentification à deux facteurs.
  • Sélectionnez « Application d’authentification » et suivez les instructions pour scanner un code QR avec votre application.
  • Important : Une fois la configuration terminée, n’oubliez pas de désactiver l’option de 2FA par SMS.

Ce simple changement augmente de manière exponentielle la sécurité de vos comptes les plus sensibles. C’est un pas de plus vers un écosystème de sécurité personnel robuste où chaque élément est choisi pour sa résilience.

Maintenant que vos accès sont mieux protégés, il faut apprendre à déjouer les tentatives de manipulation les plus subtiles.

Comment repérer un courriel d’hameçonnage sophistiqué que même les experts ouvrent ?

L’époque des courriels d’hameçonnage remplis de fautes d’orthographe est révolue. Aujourd’hui, les fraudeurs utilisent des techniques d’ingénierie sociale ciblée, créant des messages sur mesure qui exploitent le contexte local et l’actualité. Ces arnaques sont si bien faites qu’elles peuvent tromper même les plus vigilants.

Au Québec, par exemple, suite à l’annonce d’un versement ponctuel pour le coût de la vie par le gouvernement, de nombreux citoyens ont reçu des messages textes frauduleux au nom de la CAQ les invitant à « encaisser leur chèque » via un lien. D’autres vagues d’arnaques usurpent l’identité de la SAAQ, d’Hydro-Québec ou de la Ville de Montréal pour de faux remboursements. Le Virement Interac est une autre cible de choix, avec des courriels qui imitent à la perfection les notifications légitimes.

Ces attaques sont redoutables car elles jouent sur trois tableaux : l’urgence (une offre à durée limitée), l’autorité (le logo et le ton d’une institution connue) et l’appât du gain (un remboursement ou un crédit inattendu). Pour les déjouer, il faut développer un scepticisme systématique et savoir où regarder. Selon Interac, plusieurs signaux d’alerte doivent vous interpeller :

  • Détails visuels incorrects : Les fraudeurs clonent les logos, mais des erreurs subsistent. Au Canada, un signe de dollar placé avant le montant (`$500`) plutôt qu’après (`500 $`) dans un courriel en français est un indice majeur.
  • Demande d’information sensible : Un courriel légitime de Virement Interac ne vous demandera jamais de répondre en fournissant la réponse à la question de sécurité. Cette information se transmet par un autre canal.
  • L’expéditeur réel : Survolez l’adresse de l’expéditeur (sans cliquer). L’adresse qui s’affiche est-elle bien celle de l’institution (par ex., se terminant par `@desjardins.com`) ou une variante étrange (`@desjardins-securite.net`) ?
  • Le lien hypertexte : De la même manière, survolez les liens. Le lien pointe-t-il vers le site officiel ou une adresse suspecte ? En cas de doute, ne cliquez jamais. Allez plutôt sur le site de l’institution en tapant vous-même l’adresse dans votre navigateur.

La meilleure défense reste la prudence. Si vous recevez une communication inattendue vous demandant d’agir, prenez une pause. Contactez l’organisation par un canal officiel pour vérifier sa légitimité. Et si vous suspectez une fraude par courriel Interac, transférez-le à `phishing@interac.ca`, comme le recommande le guide de cybersécurité d’Interac.

Même avec la meilleure des préventions, le risque zéro n’existe pas. Il est donc sage de se préparer financièrement à l’éventualité d’une fraude.

Quand réviser votre fonds d’urgence : les 3 signaux économiques à surveiller

Un fonds d’urgence est traditionnellement vu comme un coussin pour faire face à une perte d’emploi ou à une dépense imprévue. Mais dans le contexte actuel, il doit aussi inclure une composante de résilience à la fraude. Si vous êtes victime d’usurpation d’identité, les conséquences financières peuvent aller bien au-delà des transactions frauduleuses elles-mêmes. Il faut prévoir les coûts liés à la restauration de votre identité.

Ces coûts peuvent inclure des frais juridiques pour prouver votre innocence, le coût du remplacement de vos pièces d’identité, les frais postaux pour l’envoi de documents, et même la perte de revenus si vous devez prendre des jours de congé pour régler la situation. Votre fonds d’urgence doit donc être calibré pour absorber ce type de choc. Un bon point de départ consiste à évaluer 3 à 6 mois de dépenses essentielles, puis à y ajouter un montant spécifique pour les risques de fraude, par exemple entre 2 000 $ et 5 000 $.

Quand faut-il réévaluer ce fonds ? Trois signaux économiques et personnels doivent vous alerter :

  1. Une hausse de l’inflation et des taux d’intérêt : Lorsque le coût de la vie augmente, vos « dépenses essentielles » augmentent aussi. Votre fonds d’urgence, calculé sur une base antérieure, peut devenir insuffisant. Il doit être ajusté pour conserver le même pouvoir d’achat en cas de coup dur.
  2. Un changement majeur dans votre vie : L’achat d’une maison, un mariage, la naissance d’un enfant… Ces événements modifient drastiquement votre structure de dépenses et augmentent votre « surface d’attaque » financière. Votre fonds d’urgence doit évoluer en conséquence.
  3. Une recrudescence des fraudes ciblées : Si l’actualité rapporte une augmentation d’un type de fraude qui vous concerne directement (par exemple, des arnaques visant votre secteur d’activité ou votre groupe d’âge), il peut être prudent d’augmenter la portion « anti-fraude » de votre fonds.

Ce fonds n’est pas de l’argent qui « dort ». C’est un investissement actif dans votre tranquillité d’esprit et votre capacité à rebondir rapidement si le pire devait arriver.

Enfin, notre stratégie de protection doit s’étendre au-delà de nos données purement numériques pour englober notre environnement physique connecté.

À retenir

  • La protection du NAS n’est pas une réaction, mais une stratégie de verrouillage préventif.
  • L’action la plus efficace est de geler gratuitement votre dossier de crédit au Québec pour bloquer les fraudes à l’emprunt.
  • Abandonnez l’authentification par SMS au profit d’une application d’authentification pour contrer le « SIM swapping ».

Caméras, serrures et assistants : comment sécuriser votre maison connectée contre le piratage ?

Votre « surface d’attaque numérique » ne se limite plus à votre téléphone ou votre ordinateur. Avec l’essor des caméras de sécurité, des serrures intelligentes, des assistants vocaux et autres objets connectés (IoT), votre domicile est devenu une extension de votre réseau. Chaque appareil mal sécurisé est une porte d’entrée potentielle pour un pirate, non seulement dans votre maison, mais aussi dans votre vie numérique.

Le point d’entrée le plus courant est le routeur Wi-Fi fourni par votre fournisseur d’accès Internet (FAI). Souvent, les utilisateurs conservent le nom de réseau et le mot de passe par défaut, qui peuvent être faciles à deviner ou déjà connus des pirates. Sécuriser ce portail est la première étape essentielle pour protéger tout votre écosystème domestique.

Voici un plan d’action pour blinder votre maison connectée :

  • Modifiez les identifiants de votre routeur : Changez immédiatement le nom du réseau (SSID) et le mot de passe par défaut de votre Wi-Fi. Plus important encore, modifiez le mot de passe administrateur du routeur lui-même, celui qui permet d’accéder à ses paramètres.
  • Créez un réseau invité : La plupart des routeurs modernes permettent de créer un réseau Wi-Fi « invité », isolé de votre réseau principal. Connectez tous vos objets connectés (caméras, ampoules, assistants vocaux) à ce réseau invité. Ainsi, si l’un d’eux est piraté, l’attaquant ne pourra pas accéder à vos appareils principaux comme votre ordinateur ou votre téléphone.
  • Mettez à jour vos appareils : Activez les mises à jour automatiques pour tous vos objets connectés. Les fabricants publient régulièrement des correctifs pour combler les failles de sécurité.
  • Utilisez des mots de passe forts (encore !) : Chaque appareil connecté possède son propre compte. Appliquez la même discipline que pour vos autres comptes : utilisez votre gestionnaire de mots de passe pour créer un mot de passe unique et fort pour chacun.

En considérant votre maison comme une partie intégrante de votre écosystème de sécurité, vous appliquez la même logique de verrouillage préventif à votre environnement physique. Vous ne vous contentez pas de réagir à une intrusion, vous la rendez beaucoup plus difficile dès le départ.

Protéger votre identité numérique est un marathon, pas un sprint. En appliquant ces stratégies de verrouillage préventif, vous ne vivez pas dans la paranoïa, mais vous reprenez le contrôle actif de votre sécurité. Commencez dès aujourd’hui par l’étape la plus impactante : le gel de votre dossier de crédit.

Questions fréquentes sur la protection du numéro d’assurance sociale (NAS)

Rédigé par Jean-François Lemieux, Consultant en stratégie d'affaires et expert en cybersécurité pour les PME québécoises. Il accompagne les dirigeants dans leur transition numérique et la conformité aux lois 25 et 96.
Derniers articles
Caméras, serrures et assistants : comment sécuriser votre maison connectée contre le piratage ?
Payer la rançon ou restaurer : la décision d’urgence quand vos serveurs sont chiffrés
Loi 25 au Québec : les 3 exigences de conformité que 60% des PME ne respectent toujours pas
Piano ou Guitare : quel instrument apprendre après 40 ans pour entretenir sa mémoire ?
Aquarelle ou Acrylique : quelle peinture choisir pour se détendre (même sans savoir dessiner) ?
Articles similaires
Comment lancer une entreprise d’économie sociale au Québec sans manquer de financement ?