Cette histoire a débuté samedi après-midi, aux environs de 15h. Mon quart de surveillance de Copilot Studio s’était terminé avec un seul appel le matin, mais il restait encore trois jours pendant lesquels je pourrais recevoir des alertes de dégradation de performance, de débordement de mémoire ou d’explosion d’erreurs en tous genres qu’il allait me falloir évaluer comme je peux pour déterminer l’impact et la nécessité (ou pas) d’appliquer un correctif.
L’appel venait de Rogers. Ils offraient des forfaits avantageux pour essayer de récupérer et fidéliser leurs anciens clients. J’ai hésité, me suis dit que j’étais satisfait avec mon forfait actuel chez Vidéotron, mais là, 25Go pour 30$/mois. Au lieu de dire non et juste raccrocher, ce qui aurait peut-être été mieux vu que j’étais sur appel cette fin de semaine et risquer de perturber la réception de SMS pouvait être pas mal problématique, j’ai demandé ce qu’il fallait faire pour effectuer la migration.
Le représentant m’a dit qu’il allait suffire de créer/réactiver mon compte et j’allais recevoir un email avec des instructions. Il allait falloir remplacer la carte SIM de mon téléphone. Oui c’est vrai. Mais avec Postes Canada en grève, ça va prendre l’éternité des temps recevoir la nouvelle carte. Il existe peut-être une solution: une carte eSIM. On a vérifié et mon Pixel 8 de Google supportait ce genre de choses.
Durant l’appel, j’ai commencé à ressentir de l’inquiétude quant à la possibilité de me faire frauder. Le représentant connaissait mes informations personnelles qu’il a confirmées, en particulier mon nom, mon adresse postale et mon courrier électronique. Comme j’ai été client de Rogers dans le passé, ça se pouvait qu’ils disposent de cette information, alors je poursuivis le processus. C’était important de réfléchir à ça avant d’aller de l’avant et surtout, avant de fournir des informations additionnelles! Si un autre fournisseur, par exemple Bell, avec qui je n’ai jamais fait affaire, m’avait appelé avec toutes ces informations, là ça aurait été très suspect.
Alors on y est allé avec ça. Pour vérifier mon identité, il m’a transféré sur un système sécurisé où je devais entrer mon numéro de carte de crédit, puis il m’a demandé mon numéro de permis de conduire. Comme je n’en ai pas, il m’a demandé mon numéro d’assurance-maladie. Il m’a aussi demandé ma date de naissance. Si ça avait été une personne malveillante, il disposait de pas mal tout ce qu’il fallait pour entamer un vol d’identité, ce qui est épeurant. La procédure effectuée, j’ai eu le email avec les instructions.
Une activation qui se passe bien
En gros, le email indiquait d’installer l’application Fido Mon Compte avec laquelle j’allais devoir activer la carte eSIM. Fido? Ben, on m’a parlé de Rogers durant l’appel. Fido et Rogers sont en quelque sorte associés, et j’ai déjà été client de Fido, alors ça tenait la route.
Pour éviter toute confusion, avant d’entamer l’activation, j’ai éteint mon téléphone et retiré ma carte SIM de Vidéotron. La chose faite, j’ai redémarré l’appareil et tâché de trouver et démarrer l’application Fido. Quand j’ai cliqué pour me connecter en tant qu’invité, c’était pour m’envoyer un code de confirmation via SMS. Ah non, va falloir remettre la carte SIM? Ben oui!
Avant de faire cela, je suis retourné en arrière et j’ai trouvé l’option pour me connecter avec un compte Fido. J’avais au préalable configuré mon mot de passe, en utilisant mon ordinateur. J’ai utilisé un mot de passe unique, stocké sous Keepass, alors si jamais le nouveau mot de passe tombait entre de mauvaises mains, seul l’accès à mon compte Fido aurait été compromis, pas mon compte Google, Facebook ou pire, mon compte professionnel chez Microsoft! Ouf, si j’avais autorisé un accès permettant à un attaquant de s’introduire dans le réseau de Microsoft, le stress que ça aurait engendré pour moi aurait bien pu m’achever, combiné au stress de la semaine sur appel en cours!
La connexion établie à l’application, j’ai dû fouiller un peu et puis trouvé comment activer une carte eSIM. Il y avait un bouton sur lequel cliquer et puis tout se figea pendant quelques secondes, pour ensuite m’annoncer que l’activation avait réussi. Mon téléphone se reconnecta alors, au réseau de Fido plutôt que celui de Vidéotron. Yeah!
J’ai ensuite démarré l’application de Téléphone, appuyé et maintenu enfoncé le bouton 1 et configuré la messagerie vocale. Tout se passa très bien. J’ai aussi reçu un message de bienvenue chez Fido, attestant que les SMS passaient.
Une très mauvaise surprise
Tout resta ainsi le temps que j’aille marcher un peu et prenne une bière avec un ami, puis je soupai. Ensuite de cela, je suis retourné vérifier mes courriers électroniques dans le but de retrouver et lire plus en profondeur un message envoyé par mon frère. J’ai alors vu le message de Fido, l’ai ouvert et constaté que le numéro de téléphone n’était pas le bon. Au lieu de transférer mon ancien numéro de Vidéotron vers Fido, on m’a simplement et bêtement attribué un nouveau numéro. Pourtant, le représentant, durant l’appel, m’avait bien demandé si je voulais réutiliser mon ancien numéro et j’avais souligné l’importance capitale de faire ainsi. Sur le coup, j’ai pensé à la nécessité de changer mon numéro de téléphone à plein d’endroits, mais un changement de numéro de téléphone durant une semaine sur appel, c’est une recette pour un désastre.
Pas tout à fait, fort heureusement! En cas d’incident, je recevrai d’abord une notification de l’application IcM Mobile spécifique à Microsoft. Cette notification ne nécessite qu’un accès à Internet, via wi-fi ou cellulaire, peu importe. Ensuite, si je n’accuse pas réception de l’incident via l’application, ce qui arrive 95% du temps parce que l’interface ne répond pas ou est trop lente, là je reçois le SMS, puis une minute après un appel. Pendant ma période de blackout où mon numéro d’origine était inaccessible, j’aurais reçu les notifications de IcM Mobile mais pas les SMS et les appels. J’aurais donc su qu’il y avait des incidents. Cette histoire montre l’importance de la redondance dans le cas de systèmes critiques.
Mais peut-être le numéro indiqué dans le message est bidon? J’ai essayé de vérifier sur mon téléphone, non toujours pas le bon numéro. Bon, arrêtons de s’arracher les cheveux avec ça et testons, me dis-je. J’ai alors utilisé mon téléphone fixe, encore actif, pour mon système d’alarme, pour m’appeler sur mon numéro de cellulaire. Boîte vocale immédiatement. Je n’étais plus joignable sur mon numéro de cellulaire.
Super inquiet, il me vint l’idée que peut-être mon numéro de téléphone avait été volé! Le processus est relativement simple. On me convainc de passer à un forfait alternatif avantageux, on m’attribue un nouveau numéro et on entame le transfert de mon ancien numéro, de ma carte SIM vers une autre carte SIM, pas à moi, ailleurs. On se dit que la victime va penser que c’est normal. Bah, ça va me coûter moins cher par mois, pas mal moins cher, changer mon numéro est un moindre mal. Mais NON! L’attaquant, en possession d’une carte SIM à lui lié à mon ancien numéro, peut alors recevoir les SMS qui me sont destinés et se servir de cette porte dérobée pour provoquer la réinitialisation de mes comptes, allant du simple Google aux comptes bancaires!
En raison de la faible authentification multi-facteurs mise en place par bon nombre de sites, un vol de numéro de téléphone est une catastrophe majeure. Même les systèmes utilisant une application d’authentification sont vulnérables, car ils offrent la récupération par SMS!
Je me suis demandé si mon attaquant ne pourrait pas gagner accès à mon compte professionnel Microsoft et je crois que non, car la réinitialisation des informations de connexion à partir de rien nécessite une intervention manuelle du soutien technique qui va vérifier mon identité avant de procéder. Fiou! Sur mon laptop de travail, il y a une clé d’accès protégée qui permet de se brancher aux systèmes de Microsoft, sans devoir à chaque fois m’authentifier avec un mot de passe et Authenticator, alors fort possible que je pourrais utiliser ça pour reconfigurer Authenticator sans passer par le soutien technique. Mais si j’égarais et mon téléphone, et mon laptop, là il faudrait intervention humaine.
Alors au pire, en cas de vol de numéro de téléphone, il aurait fallu me brancher sur mon laptop de travail, accéder à l’application IcM et modifier mon numéro dans mon profil, le pointant vers un numéro jugé stable et fonctionnel, tests à l’appui. Ensuite, j’aurais été obligé de passer la soirée et une partie de la journée du lendemain à changer mon numéro ailleurs, surtout sur Google parce que quelqu’un qui compromet mon compte Google pourrait réinitialiser des mots de passes sur mes autres comptes, en utilisant la récupération par email. AHHHH! Oui oui, c’est aussi simple et terrible que ça! Les comptes bancaires, il faut aussi veiller à mettre à jour le numéro de téléphone associé, au plus vite, pour colmater de possibles brèches là aussi.
Alors super anxieux, craignant le pire, j’ai éteint à nouveau mon téléphone et réinséré la carte SIM de Vidéotron. J’ai eu plus de misère qu’en après-midi parce que j’étais nerveux, mais j’ai évité le pire, comme par exemple échapper la petite carte par terre; j’aurais eu du mal infini à la retrouver seul vu ma déficience visuelle. La carte, si elle tombe au sol, ne fera aucun son, trop petite, ce qui rendrait inefficace toute stratégie de réduction du champ de recherche basée sur le bruit de l’objet tombé au sol. Sur le coup, aurais-je pensé, dans un tel cas, tenter d’activer une carte eSIM depuis le site de Vidéotron? Pas sûr.
La carte réinsérée, j’ai redémarré mon appareil, qui m’a alors demandé de choisir quelle carte SIM je voulais utiliser. Oui oui, le Pixel 8 peut accueillir une carte SIM physique et une ou plusieurs eSIM! Mon numéro d’origine toujours associé à la carte Vidéotron, j’ai choisi cette carte, pour les appels, les SMS et les données. Je retestai en m’appelant depuis mon téléphone fixe et ça sonna. Yeah!
Sur mon mobile, en haut à gauche, c’était maintenant écrit Vidéotron – Fido. Mon appareil pouvait apparemment se connecter aux deux réseaux. Un SMS est apparu: le message avec le code de confirmation quand j’ai cliqué pour me connecter comme invité. Toujours inquiet, je me suis demandé si Vidéotron n’aurait pas pu détecter la tentative de transfert de carte SIM et m’avoir appelé pour me signaler la possible fraude. Alors j’ai vérifié mes messages vocaux, sur ma boîte fixe et mobile.
Bon mais là, si j’appuie sur 1 sans lâcher, ça va où? Dans ma boîte mobile Vidéotron ou ma nouvelle boîte Fido? Ok, on va tester: je me rappelai encore, depuis mon téléphone fixe, et me laissai un message. La chose faite, j’ai démarré ma messagerie vocale et n’y ai trouvé que mon message. J’étais donc sur la messagerie mobile Vidéotron et aucun message d’un représentant client. Mon GMail ne révélait rien non plus. Bon ok, considérons l’incident comme mitigé pour l’instant, l’impact ayant été contrôlé, et on va réparer plus tard, pour compléter le transfert ou annuler ce forfait Fido pour garder Vidéotron.
L’inquiétude grandit
Le lendemain matin, dimanche le 28 septembre 2025, je me questionnais et me torturais toujours l’esprit à propos d’une possible tentative de vol de carte SIM. Peut-être l’attaquant va réessayer et ça va finir par réussir. Un moment donné, je découvrirai avec exaspération que mon téléphone n’accepte que les appels d’urgence et que ma carte SIM de Vidéotron est inopérante. Solution? Basculer sur la carte eSIM de Fido et vivre avec un nouveau numéro de téléphone.
Avec l’aide de Perplexity, j’ai appris que mon hypothèse d’arnaque était plausible et qu’il valait mieux contacter Vidéotron ou Fido, voire les deux, pour clarifier tout ça. Mon nouveau compte Fido était au moins légitime, car la connexion se faisait depuis fido.ca, pas un site bizarre, et la carte eSIM qui m’a été attribué fonctionnait. Alors peut-être le plus simple à faire serait de les contacter pour compléter le transfert de numéro et en cas de transfert impossible, peu importe pourquoi, annuler tout ça. Grâce à Perplexity, j’ai pu facilement obtenir les heures d’ouverture du service à la clientèle de Vidéotron et Fido et les numéros de téléphone. Le service n’ouvrait qu’à 9h le dimanche.
Rendu là, j’ai appelé pour me heurter à un système automatisé. J’ai tenté d’indiquer ce que je voulais, ok, on y va avec le transfert de numéro. Le système a pu vérifier que le numéro était éligible au transfert et puis me demandait le numéro de compte de Vidéotron. Quand j’ai dit ne pas l’avoir entre les mains, ça a voulu planifier un rendez-vous avec un représentant mais seulement mercredi! Ben là, non!
Exaspéré et de plus en plus stressé, j’ai cherché encore un peu et découvert qu’on pouvait initier le transfert en ligne, depuis le site de Fido. J’ai cherché, cherché, pas moyen de trouver l’option. On pouvait changer de forfait, changer de téléphone ou configurer la méthode de paiement.
Oh non, le paiement était manuel. Mon numéro de carte de crédit n’a pas été configuré dans le système. Mais pourquoi alors me l’a-t-on demandé la veille? Super inquiet, j’interrompis ma fouille sur le site de Fido et m’en allai fouiller sur le site de Desjardins, pour vérifier mes transactions de carte de crédit. Par chance, il n’y avait aucune transaction suspecte depuis la veille. Si je m’étais fait frauder ma carte de crédit, j’aurais été obligé de contacter Desjardins pour la faire annuler.
La vérification de ma carte de crédit faite, j’ai cherché encore sur le site de Fido. J’ai trouvé comment transférer le numéro dans les options d’utilisation de mon forfait. La procédure est assez simple en fait. On indique le numéro d’origine puis le numéro de compte du fournisseur d’origine. J’ai pu retrouver ce numéro en me branchant sur l’Espace Client de Vidéotron. La vérification faite, j’ai eu confirmation que le transfert allait être entamé.
Sur mon téléphone, utilisant la carte SIM de Vidéotron, j’ai eu un SMS me disant qu’un transfert avait été tenté et je devais répondre OUI pour l’autoriser. Si cette demande était non sollicitée, on me recommandait de contacter Vidéotron. Alors comme c’est moi qui ai initié le transfert, j’ai répondu OUI. Ensuite, rien ne s’est passé.
Sur le site de Fido, on indiquait qu’en cas de demande de transfert hors des heures d’ouverture, le transfert allait se faire le jour ouvrable suivant. Bon, ça va se passer le lendemain matin tandis que je serai occupé au travail. Yeah, bravo! Un peu agacé de ça, je ne pus rien faire d’autre qu’attendre.
Mais quelques minutes plus tard, mon téléphone se mit à bipper à répétition, affichant une notification comme quoi la carte SIM n’était pas configurée. Ok. J’ai tenté de vérifier la configuration. Mon numéro n’était plus lié à la carte Vidéotron, mais ma carte Fido, virtuelle, avait encore le nouveau numéro. Et ça ne cessait de bipper, répétant de configurer la carte SIM.
Avant de céder à la panique et me rendre en catastrophe dans une boutique, au pire la Cabine T au centre Eaton où ils m’ont aidé à configurer mes premiers téléphones, j’ai essayé de désactiver ma carte SIM Vidéotron dans les options. Avoir eu à partir en expédition pour faire arranger ça, j’aurais été mort de stress à l’idée qu’il y ait un appel de la job pendant mon périple! Au moins, me consolai-je, ce n’est pas arrivé pendant une journée de grève de la STM. La carte eSIM Fido a pris le relais la carte Vidéotron désactivée, et puis hop, le transfert de numéro s’est terminé!
Tous les tests montrèrent ensuite que les SMS et les appels vers mon ancien numéro vont vers mon téléphone utilisant mon nouveau forfait Fido. Rendu là, c’était écrit Fido, plus Vidéotron – Fido.
Pour bien faire les choses, je pourrais retirer ma carte SIM Vidéotron, plus nécessaire, mais ça ne presse pas de le faire.
Conclusion
Il n’y avait pas d’arnaque finalement, mais tout ça a été une belle leçon de cybersécurité. Il est toujours bon de réfléchir à comment nos informations personnels et nos données de connexion peuvent être compromises, les conséquences en cas d’attaque et ce qu’on peut faire pour contrôler l’impact. Il faut toujours y penser, toujours rester vigilant. On nous fait faire régulièrement des formations de cybersécurité au travail, mais rien ne bat une expérience pratique, sur le terrain! Je dois garder à l’esprit que ça aurait pu être pire, bien pire, mais je suis soulagé que la situation se soit résolue et qu’il n’y ait pas d’impact autre que ce stress.