Le rendez-vous est pris dans un cabinet sobre du centre-ville de Montréal, deux écrans larges sur le bureau, un mur tapissé de schémas d’infrastructure. Marc Vaillancourt nous reçoit avec un café tiède et un avertissement de routine : aucune procédure opérationnelle classifiée ne sera évoquée, aucune enquête en cours ne sera nommée. Cet entretien est une synthèse éditoriale anonymisée d’une vingtaine d’années d’investigations menées d’abord en service de police, ensuite à titre de consultant indépendant.
Hélène Roux, notre rédactrice, est venue avec une question simple et une heure devant elle : que se passe-t-il vraiment, pas à pas, quand un citoyen signale un faux site ou un SMS frauduleux ? Comment retrace-t-on, concrètement, le chemin qui mène d’un message reçu à un hébergeur identifié ? Voici cet échange, retravaillé pour la lecture mais fidèle au fond technique.
Marc Vaillancourt, ancien enquêteur de la division cybercriminalité d'un service de police québécois, consultant indépendant en sécurité depuis 2020. Vingt ans d'expérience en investigation numérique : retraces de fraudes, analyse de domaines, coopération internationale.
Hélène Roux — Marc, commençons par le commencement. Une victime vous appelle, elle a reçu un SMS qui imite sa banque — exactement le scénario type que la rédaction a documenté dans son [guide sur le smishing 2026](/post/arnaques-sms-smishing-2026-comment-reconnaitre-et-eviter/) —, elle a cliqué, elle a saisi ses identifiants. Que faites-vous dans la première heure ?
Marc Vaillancourt — Trois choses, dans cet ordre. D'abord la victime : on la rassure et on l'oriente immédiatement vers sa banque pour bloquer les opérations en cours. Cette étape est prioritaire parce qu'une saisie d'identifiants suivie d'un virement frauduleux peut être neutralisée si la banque agit dans les minutes qui suivent. La fenêtre est étroite, parfois quinze minutes, parfois deux heures.
Ensuite, je sécurise la preuve. Capture d'écran du SMS avec horodatage visible, capture du faux site avant qu'il ne disparaisse, sauvegarde dans la Wayback Machine et archive.today pour avoir une copie horodatée hébergée par un tiers neutre. Cette double archivage a une valeur juridique : un fraudeur peut effacer son site en quelques minutes une fois qu'il sait qu'il est repéré, mais il ne peut pas effacer une copie déjà déposée chez Internet Archive.
Enfin, et seulement à ce moment-là, je commence l'investigation technique : WHOIS du domaine, traceroute pour identifier l'hébergeur, examen du certificat TLS pour voir s'il est issu d'une autorité de certification gratuite comme Let's Encrypt ou d'une autorité commerciale, analyse des en-têtes HTTP. Ces trois minutes de reconnaissance donnent une première carte du terrain.
Hélène Roux — Vous parlez de WHOIS, mais beaucoup de registres masquent désormais les coordonnées du déposant pour des raisons de protection des données. L'outil reste-t-il utile ?
Marc Vaillancourt — Très utile, malgré le RGPD et les politiques de redaction. Le WHOIS me donne toujours trois informations exploitables : la date de création du domaine, le nom du registrar, et les serveurs DNS associés. Un domaine créé il y a trois jours pour imiter une grande banque est un signal énorme. Les serveurs DNS pointent souvent vers l'hébergeur effectif, ce qui me donne mon prochain interlocuteur.
Pour les coordonnées du déposant, oui, elles sont presque toujours masquées par un service de privacy. Mais ce service a lui-même un email de contact qui transmet aux registres réels en cas de signalement d'abus motivé. Donc je n'ai pas besoin de connaître le nom du fraudeur pour faire fermer son site : il me suffit de notifier le registrar et l'hébergeur.
Hélène Roux — Quels sont vos outils favoris pour cette première phase d'analyse, en plus du WHOIS classique ?
Marc Vaillancourt — Cinq outils que j'utilise tous les jours, tous accessibles gratuitement ou avec un abonnement modeste. urlscan.io qui scanne un lien dans un environnement isolé et me donne capture d'écran, en-têtes, ressources chargées, certificat. VirusTotal qui agrège les verdicts d'une cinquantaine d'antivirus et de moteurs de réputation. Shodan qui répertorie tous les services exposés sur l'IP cible : si le serveur héberge en plus un panel d'administration mal configuré, Shodan le voit. AbuseIPDB qui me dit si l'IP a déjà été signalée pour de la fraude. Et la Wayback Machine, indispensable pour conserver une preuve datée du contenu original avant qu'il ne soit modifié.
Pour l'investigation grand public, ces cinq outils suffisent à constituer un dossier solide. Au-delà, il y a tout l'arsenal commercial — Maltego, Recorded Future, Domain Tools — qui automatise la corrélation et permet de lier des centaines de domaines à une même infrastructure, mais c'est un investissement professionnel.
Hélène Roux — Vous mentionnez les hébergeurs. Tous ne se valent pas. Y a-t-il une hiérarchie de la coopération ?
Marc Vaillancourt — Oui, et c'est presque un classement public. Au sommet, ceux qui répondent vite et bien : Cloudflare, OVH, Hetzner, Scaleway, AWS, Google Cloud, DigitalOcean. Vous envoyez un signalement bien rédigé à l'adresse abuse@, vous joignez les preuves archivées, vous citez l'article du contrat hôte qui est violé. Ils traitent en quelques heures à trois jours. Cloudflare est particulièrement efficace, parce qu'ils ont équipé leur signalement d'un workflow industriel : votre rapport est routé vers une équipe dédiée, vous recevez un identifiant de ticket, vous avez un accusé de prise en charge.
Au milieu, des hébergeurs plus lents mais coopératifs : NameCheap, Bluehost, GoDaddy. Réponse en cinq à dix jours. Pas idéal mais ça finit par fonctionner.
En bas, ce qu'on appelle le bulletproof hosting : des hébergeurs basés dans des juridictions qui ne coopèrent pas, ou qui font commerce explicite de l'opacité. La Russie, l'Iran, certaines provinces chinoises, parfois des îles offshore. Là, signaler à abuse@ ne sert à rien. La seule voie possible, c'est de remonter au registrar du domaine, qui lui peut désactiver le DNS et rendre le site inaccessible même si le serveur reste en ligne. C'est plus long, cinq à dix jours, mais ça finit aussi par fonctionner.
Hélène Roux — Pouvez-vous nous donner un exemple concret, sans nommer de cible précise, où la chaîne a fonctionné de bout en bout ?
Marc Vaillancourt — Je vous renvoie volontiers à [l'enquête sur l'hameçonnage bancaire que la rédaction a documentée](/post/je-retrace-la-provenance-d-une-page-d-hameconnage-et-fais-fermer-celle-ci/). Le déroulé est représentatif : un SMS qui imite une grande banque, un domaine créé deux jours avant, un hébergement chez Cloudflare en frontal et OVH derrière. La rédactrice a archivé, identifié l'hébergeur réel via traceroute et inspection des en-têtes, signalé à abuse@cloudflare.com avec preuve. Le site a été déconnecté en moins de vingt-quatre heures. C'est le scénario optimal, et il représente sans doute soixante pour cent des cas que je traite.
L'autre cas représentatif, plus complexe, c'est [l'enquête sur les faux comptes Instagram remontée jusqu'aux Philippines](/post/profils-instagram-utilises-pour-de-faux-sites-pornographiques-mon-enquete/). Là, la chaîne traverse trois pays, deux services de réseau social et une infrastructure publicitaire. Le site frontal tombe vite, mais l'écosystème publicitaire qui l'alimente est un combat de plus longue haleine, parce qu'il faut convaincre les régies publicitaires que leurs annonceurs financent involontairement de la fraude. Cette partie est plus politique que technique.
Hélène Roux — Quels sont les indicateurs qui vous disent immédiatement qu'une fraude est sophistiquée plutôt qu'amateur ?
Marc Vaillancourt — Quelques signaux qui ne trompent pas. Premier signal, le certificat TLS valide. Il y a dix ans, un faux site était souvent en HTTP simple, ou avec un certificat auto-signé qui déclenchait une alerte du navigateur. Aujourd'hui, le certificat TLS est gratuit et automatisable via Let's Encrypt, donc même les fraudeurs les plus paresseux en ont un. La présence du cadenas n'est plus un signal de confiance.
Deuxième signal, la redirection multi-couches. Le SMS pointe vers un raccourcisseur d'URL, qui pointe vers un domaine intermédiaire, qui pointe vers le faux site final. Chaque couche complique la traçabilité et permet au fraudeur de remplacer la destination finale sans changer le SMS. Quand je vois trois redirections successives, je sais que j'ai affaire à un opérateur expérimenté.
Troisième signal, le contenu localisé avec soin. Une fraude amateur a des fautes d'orthographe, des accents manquants, des formules calquées de l'anglais. Une fraude sophistiquée embauche des relecteurs francophones natifs, parfois génère le contenu via IA et le fait corriger humainement. La qualité linguistique est devenue un mauvais détecteur.
Quatrième signal, l'usurpation d'image cohérente. Logo correct, palette de couleurs identique à la marque visée, choix typographique exact, formulaires reproduits au pixel près. Quand je vois cela, je sais que j'ai affaire à une campagne avec des moyens, probablement vendue sous forme de kit prêt-à-déployer sur des forums spécialisés. Le même niveau d'industrialisation se retrouve dans [l'écosystème des fausses publicités Facebook financées par des comptes piratés](/post/fausses-publicites-sur-facebook-mon-enquete-sur-cette-fraude/) — c'est la même économie souterraine, vue depuis un autre angle.
Hélène Roux — Vous évoquez des « kits prêts-à-déployer ». L'industrie de la fraude s'est-elle vraiment professionnalisée à ce point ?
Marc Vaillancourt — Complètement. Il y a un véritable marché, avec des éditeurs de phishing kits, des sociétés de support technique au fraudeur, des plateformes d'échange de données volées. Les phishing kits sont vendus sur abonnement, comme un logiciel SaaS classique : trente euros par mois, mises à jour incluses, support en russe ou en anglais, panel d'administration pour suivre les conversions. La sophistication des outils est comparable à ce qu'on voit dans la cybersécurité industrielle, et c'est parfois en lisant des magazines comme [le magazine Industrie du Futur](https://industrie-du-futur.tv/) qu'on mesure à quel point les techniques de défense industrielle et les techniques offensives partagent la même base technologique.
L'enquêteur doit donc penser en termes d'écosystème, pas d'individu isolé. Identifier le kit utilisé permet de rattacher des centaines de campagnes apparemment indépendantes à un même opérateur. C'est ainsi qu'on remonte des organisations entières plutôt que des sites isolés.
Hélène Roux — Et la coopération internationale ? Interpol, Europol, ces organismes sont-ils utiles dans le quotidien d'une enquête ?
Marc Vaillancourt — Utiles oui, mais pas dans le sens romanesque qu'on imagine. Interpol et Europol ne mènent pas eux-mêmes les enquêtes : ce sont des plateformes de coordination qui permettent à un service national de demander l'assistance d'un autre service national, et qui hébergent des bases de données partagées sur les modes opératoires. Une enquête démarre toujours dans un pays, conduite par un service local, et sollicite Interpol ou Europol uniquement quand elle doit franchir une frontière.
Le problème pratique, c'est la lenteur. Une demande d'assistance internationale formelle prend des semaines, parfois des mois. Pendant ce temps, le fraudeur a déjà déplacé son infrastructure, recréé ses domaines, basculé ses serveurs ailleurs. Pour les fraudes de masse à faible préjudice unitaire, cette procédure n'est jamais déclenchée. Elle est réservée aux dossiers à forte signature : préjudice cumulé important, victimes nombreuses, lien avec d'autres formes de criminalité.
C'est précisément pour cela que la coopération informelle entre hébergeurs et registrars est devenue le canal opérationnel principal. Plus rapide, sans paperasse internationale, et étonnamment efficace.
Hélène Roux — Beaucoup de victimes ne portent jamais plainte. Vous avez évoqué soixante-dix pour cent des fraudes francophones non signalées. Pourquoi ce chiffre, et que peut-on faire ?
Marc Vaillancourt — Trois facteurs principaux. La honte. Beaucoup de victimes intériorisent l'idée qu'elles auraient dû voir venir, alors qu'elles ont été ciblées par des opérateurs professionnels équipés d'outils industriels. Cette honte est probablement le premier obstacle, et il est culturel : les hommes adultes signalent moins que les femmes, les personnes âgées signalent moins que les jeunes, alors que statistiquement elles sont plus ciblées.
Le deuxième facteur, la croyance que rien ne sera fait. C'est faux, mais c'est ancré. Les services de police de proximité ne mènent effectivement pas d'enquête formelle pour chaque petit signalement, mais ils alimentent des bases statistiques nationales et des plateformes comme le Centre antifraude du Canada ou cybermalveillance.gouv.fr en France. Ces plateformes corrèlent les signalements, identifient les modes opératoires émergents, et déclenchent des investigations dès qu'un seuil critique est atteint. Cinquante signalements concordants sur le même type d'arnaque, c'est suffisant pour ouvrir un dossier coordonné.
Le troisième facteur, la complexité administrative perçue. Il n'y en a pas tant que ça, en réalité : les formulaires en ligne prennent dix à quinze minutes à remplir. Mais l'idée qu'il faille se déplacer, attendre, justifier, dissuade. Mon message à n'importe quelle victime est simple : signalez, même si vous pensez que c'est petit, même si vous n'avez pas perdu d'argent, même si la transaction a été annulée. Votre signalement compte.
Hélène Roux — Sur quoi un particulier averti peut-il agir efficacement, sans formation technique poussée ?
Marc Vaillancourt — Plus que ce qu'il pense. Conserver les preuves dans la Wayback Machine, c'est trois clics. Identifier le registrar via WHOIS sur whois.com, c'est gratuit et instantané. Envoyer un email à abuse@hebergeur.com avec une description factuelle et le lien archivé, c'est dix minutes. Signaler au Centre antifraude du Canada ou à cybermalveillance.gouv.fr, c'est quinze minutes.
Un particulier méthodique qui suit ces quatre étapes peut faire fermer un site frauduleux en moins d'une journée, sans aucune compétence technique avancée. Et ce n'est pas rare : je connais des bénévoles, retraités d'anciens métiers techniques, qui font tomber plusieurs dizaines de sites par mois en pure activité civique. C'est l'aspect que je préfère du métier : la défense est largement décentralisable, elle ne repose pas sur des superpouvoirs réservés à la police. Une fois le signalement effectué, la victime doit également vérifier si ses données personnelles ont été exposées et engager une procédure de protection — étapes que détaille [notre guide complet sur le vol d'identité numérique en 2026](/post/vol-identite-numerique-2026-que-faire-proteger-reagir/).
Les limites sont ailleurs. L'enquête formelle, l'identification de l'auteur physique, la poursuite judiciaire — ça reste le travail des services spécialisés. Le particulier ne doit pas tenter d'aller plus loin que la fermeture du site et le signalement officiel. Pas d'intrusion en retour, pas de tentative de piratage du serveur frauduleux. Ce serait illégal et contre-productif.
Hélène Roux — Vous avez vingt ans de carrière. Quels cas vous ont marqué, sans entrer dans les détails opérationnels ?
Marc Vaillancourt — Sans nommer ni dater, deux types de dossiers me reviennent. Les fraudes ciblant les personnes âgées en pleine perte d'autonomie, où l'opérateur identifie la vulnérabilité cognitive de la victime et exploite la confiance accordée à une voix d'autorité. Ces dossiers sont les plus douloureux humainement, parce que la victime perd à la fois ses économies et le peu de contrôle qu'elle exerçait encore sur sa vie quotidienne.
L'autre catégorie, ce sont les fraudes sentimentales prolongées. Six mois, douze mois, parfois vingt-quatre mois de relation virtuelle entretenue avec une rigueur scénaristique. La victime n'est pas crédule, elle est patiemment manipulée par une équipe qui se relaie sur le compte du faux partenaire. Quand la fraude tombe, c'est rarement par hasard, c'est par fatigue de l'opérateur. Et le préjudice cumulé peut atteindre les centaines de milliers de dollars.
Ces cas marquent parce qu'ils nous rappellent que la cybercriminalité n'est pas seulement technique. C'est une exploitation systématique de la psychologie humaine, et les meilleurs enquêteurs sont d'abord de bons lecteurs des relations sociales.
Hélène Roux — Pour finir, l'IA générative côté fraudeur, l'IA défensive côté enquêteur. Qui prend le dessus ?
Marc Vaillancourt — À court terme, l'attaquant. Pas parce que ses outils sont meilleurs, mais parce que son ratio coût-bénéfice est asymétrique. Une campagne de phishing générée par IA coûte quasiment rien à produire et touche des millions de cibles. Une défense efficace, elle, doit être déployée à grande échelle dans les organisations, ce qui prend des années.
À moyen terme, je suis plus optimiste. Les défenseurs ont l'avantage du contexte : on connaît les infrastructures qu'on protège, on connaît nos utilisateurs, on a accès aux flux internes. L'IA défensive bien entraînée détecte des patterns qu'aucun humain ne verrait. Les modèles de détection actuels signalent déjà des campagnes de phishing nouvelles avant même qu'elles aient touché leurs premières victimes, en se basant sur la signature de l'infrastructure plutôt que sur le contenu du message.
À long terme, le déterminant ne sera pas technologique. Ce sera la coopération internationale et la régulation. Tant que des juridictions hostiles offrent un sanctuaire opérationnel à des fraudeurs, l'IA ne réglera rien. La vraie victoire viendra de traités multilatéraux contraignants sur la responsabilité des hébergeurs et des registrars. Et là, on est encore loin du compte.
Questions rapides : les mythes de l’enquête en ligne
Hélène Roux — Mythe ou réalité, on peut tout retrouver à partir d'une simple adresse IP ?
Marc Vaillancourt — Mythe. L'IP donne le fournisseur d'accès, pas l'individu. Et derrière un VPN ou un proxy, l'IP visible n'est même pas celle du fraudeur. C'est un point de départ, pas une preuve.
Hélène Roux — Mythe ou réalité, le dark web cache toutes les fraudes ?
Marc Vaillancourt — Mythe pour le grand public. Quatre-vingt-quinze pour cent des fraudes que je traite tournent sur le web ouvert, hébergées chez des prestataires classiques. Le dark web concerne surtout les marchés de revente de données et les forums entre opérateurs.
Hélène Roux — Mythe ou réalité, un VPN protège totalement le fraudeur ?
Marc Vaillancourt — Mythe partiel. Un VPN sérieux complique l'enquête, mais le fraudeur laisse toujours des traces côté hébergement, paiement, gestion de domaines. La traçabilité financière finit par le rattraper.
Hélène Roux — Mythe ou réalité, payer la rançon récupère systématiquement les données ?
Marc Vaillancourt — Mythe. Quarante pour cent des victimes qui paient ne récupèrent jamais leurs fichiers, ou les récupèrent corrompus. Et payer alimente l'industrie. Le seul bon réflexe, c'est la sauvegarde régulière hors ligne en amont.
Hélène Roux — Mythe ou réalité, le mode incognito protège des traceurs ?
Marc Vaillancourt — Mythe. Le mode incognito empêche l'enregistrement local de l'historique, point. Le fournisseur d'accès, le site visité, l'employeur sur réseau d'entreprise voient tout aussi bien votre activité.
Hélène Roux — Mythe ou réalité, signaler à abuse@ ne sert à rien ?
Marc Vaillancourt — Mythe complet, et un mythe nuisible. C'est la voie la plus rapide pour faire fermer un site frauduleux. Les hébergeurs sérieux traitent ces signalements en quelques heures.
Hélène Roux — Mythe ou réalité, l'IA va remplacer les enquêteurs cybersécurité ?
Marc Vaillancourt — Mythe. L'IA accélère le tri et la corrélation, mais l'investigation reste un métier de jugement humain : décider quel signal suivre, négocier avec un hébergeur étranger, lire la psychologie d'une victime. Le métier évolue, il ne disparaît pas.
Conclusion : trois conseils opérationnels
Avant de quitter le cabinet, nous demandons à Marc Vaillancourt ses trois recommandations à retenir pour un lecteur non spécialiste.
Premier conseil — archiver avant tout. Une fraude se documente en moins de cinq minutes : capture d’écran horodatée, sauvegarde Wayback Machine, sauvegarde archive.today. Ces preuves valent plus qu’une longue plainte rédigée plus tard sans source.
Deuxième conseil — signaler systématiquement, même les petits cas. Le seuil d’enquête formelle est statistique, pas individuel. Un signalement par victime sur un même mode opératoire suffit à faire émerger une investigation coordonnée. La passivité est l’alliée du fraudeur, le signalement de masse est la contre-mesure la plus efficace.
Troisième conseil — connaître ses interlocuteurs avant la crise. Apprenez à identifier votre registrar, votre hébergeur, et à lire un WHOIS quand vous n’êtes pas sous stress. Sauvegardez les contacts du Centre antifraude du Canada et de cybermalveillance.gouv.fr. Le jour où vous serez visé, vous gagnerez les minutes qui font la différence.
Pour une perspective complémentaire sur la cybersécurité au quotidien pour les PME locales, l’interview d’un technicien cybersécurité en Pays de la Loire offre un regard de terrain particulièrement instructif — de la prévention des rançongiciels à la sensibilisation des équipes.