🎣 Phishing
Technique d’hameçonnage visant à voler des informations confidentielles via faux courriels ou sites web
📁 Glossaire › Cybersécurité • Public visé : entreprises, employés, avocats, victimes de fraude • Mise à jour : février 2026
🔎 Définition rapide
Le phishing (ou hameçonnage) est une technique de fraude par laquelle un attaquant se fait passer pour une entité légitime (banque, fournisseur, collègue, agence gouvernementale) afin de tromper la victime et l’amener à révéler des informations sensibles : mots de passe, numéros de carte bancaire, numéros d’assurance sociale, ou à cliquer sur un lien malveillant qui installe un malware ou ransomware.
📋 Types de phishing
| Type | Description |
|---|---|
| Email phishing | Courriel de masse imitant une entreprise connue (banque, Netflix, Amazon) |
| Spear phishing | Attaque ciblée contre une personne spécifique avec info personnalisée |
| Whaling | Phishing visant les hauts dirigeants (CEO, CFO, président) |
| Smishing | Phishing par SMS (ex: « Votre colis est en attente, cliquez ici ») |
| Vishing | Phishing par appel téléphonique vocal (escroc se fait passer pour support technique) |
| Clone phishing | Duplication d’un courriel légitime précédent avec lien malveillant inséré |
⚖️ Cadre juridique — Québec & Canada
Le phishing est une infraction criminelle au Canada.
Code criminel du Canada
- Art. 380 — Fraude. Peine : jusqu’à 14 ans de prison si la fraude dépasse 5 000 $.
- Art. 403 — Personnification frauduleuse (se faire passer pour quelqu’un d’autre).
- Art. 342.1 — Utilisation non autorisée d’un ordinateur (si phishing mène à intrusion).
Loi canadienne anti-pourriel (LCAP)
- Interdit l’envoi de messages électroniques commerciaux trompeurs
- Amendes jusqu’à 10 M$ pour les entreprises, 1 M$ pour les individus
Implication pratique : Les victimes de phishing peuvent poursuivre les auteurs ET les entreprises dont l’identité a été usurpée si elles n’ont pas pris de mesures de sécurité adéquates. Un expert informatique judiciaire peut retracer l’origine des courriels via les en-têtes.
🎯 Comment reconnaître un phishing
- Urgence artificielle — « Votre compte sera fermé dans 24h si vous n’agissez pas! »
- Adresse email suspecte — paypa1.com au lieu de paypal.com, microsoft-support@gmail.com
- Fautes d’orthographe/grammaire — Texte traduit par machine, erreurs inhabituelles
- Demande d’informations sensibles — Aucune institution légitime ne demande vos mots de passe par courriel
- Liens suspects — Passer la souris sur le lien (sans cliquer) révèle une URL différente
- Pièce jointe inattendue — Facture.pdf.exe, Document.zip, etc.
- Ton impersonnel — « Cher client » au lieu de votre nom
🚨 Exemples réels de phishing
| Scénario | Technique |
|---|---|
| Fausse facture Hydro-Québec | Pièce jointe .exe déguisée en PDF, installe un ransomware |
| « Votre colis est en attente » | SMS avec lien vers faux site Postes Canada demandant infos bancaires |
| Alerte Revenu Québec | « Vous avez un remboursement de 2 450 $ » — vol de NAS et infos fiscales |
| Email du « patron » | Spear phishing: « Je suis en réunion, peux-tu faire ce virement urgent? » |
| Support Microsoft faux | Appel téléphonique: « Nous avons détecté un virus, donnez-nous accès » |
✅ Si vous recevez un phishing
- Ne PAS cliquer sur les liens ni ouvrir les pièces jointes
- Vérifier l’adresse email complète (pas juste le nom affiché)
- Contacter l’entreprise directement par téléphone (numéro officiel)
- Signaler le phishing au Centre antifraude du Canada
- Transférer le courriel à abuse@[domaine réel]
- Supprimer le message après avoir signalé
❌ Si vous avez cliqué/répondu
- Changer IMMÉDIATEMENT vos mots de passe (tous comptes importants)
- Activer l’authentification à deux facteurs (2FA/MFA)
- Contacter votre banque si infos bancaires compromises
- Vérifier vos relevés de compte pour activités suspectes
- Alerter votre employeur IT si sur ordinateur de travail
- Documenter tout (captures d’écran, emails) pour preuve
📦 Cas vécu (anonymisé)
Fraude par spear phishing — Transfert de 450 000 $
Une entreprise québécoise reçoit un courriel apparemment du PDG : « Je suis en Chine pour une acquisition urgente. Peux-tu effectuer ce virement de 450 000 $ vers ce compte aujourd’hui? Merci, discrétion requise. » Le contrôleur financier, reconnaissant le nom et le style d’écriture, effectue le transfert.
Découverte de la fraude:
- Le vrai PDG revient le lendemain et nie avoir demandé ce virement
- Analyse forensique des en-têtes du courriel révèle qu’il provient d’un serveur en Roumanie
- L’email du PDG avait été compromis 3 semaines plus tôt (mot de passe faible)
- L’attaquant avait observé les communications pendant des semaines pour imiter le style
- L’argent avait déjà été transféré vers 5 comptes mules dans 3 pays
Résultat : L’entreprise récupère 120 000 $ grâce à la collaboration internationale rapide. Le reste est perdu. L’expert forensique fournit les preuves pour poursuite criminelle. L’entreprise met en place des procédures strictes de validation des virements et formation anti-phishing obligatoire.
🔗 Termes reliés
🎣 Victime de phishing ou fraude?
Nos experts peuvent retracer l’origine des courriels frauduleux, identifier les auteurs via analyse des en-têtes et métadonnées, et constituer les preuves nécessaires pour poursuites criminelles et civiles.
Sans frais : 1-888-796-8706 • Courriel : expertise@firmeh2e.com
Dernière mise à jour : février 2026 • Ce glossaire fournit des définitions à titre informatif et ne constitue pas un avis juridique.
