Se faire pirater est une expérience stressante. Cela peut sembler personnel, urgent et déroutant à la fois. Vous pouvez recevoir une alerte de connexion inhabituelle, découvrir des messages que vous n'avez pas envoyés, perdre l’accès à un compte, constater un retrait d’argent, ou entendre de la part d'amis qu'ils ont reçu des liens suspects de votre part.
Le plus important est d’éviter les décisions sous le coup de la panique. Les attaquants comptent souvent sur la rapidité, la confusion et la pression. Votre objectif est de ralentir la situation, de contenir les dégâts, de reprendre le contrôle, puis d’éliminer les faiblesses qui ont rendu la compromission possible.
Ce guide vous explique, étape par étape, ce qu’il faut faire si un compte personnel, un compte professionnel, un appareil ou un service en ligne a été piraté.
Si votre employeur, un client ou toute autre organisation risque d’être concerné, prévenez immédiatement l’équipe informatique ou l'équipe de sécurité concernée. N’attendez pas d’avoir des preuves complètes. Cela inclut les cas où l'appareil compromis a été utilisé pour le travail, enregistré comme appareil personnel (BYOD), utilisé pour accéder à l’email professionnel, pour l’authentification unique, ou connecté à un gestionnaire de mots de passe d’entreprise, un VPN, un panneau d’administration, un dépôt de code source, une console cloud ou un service de partage de fichiers de l’entreprise.
Cette étape doit être faite avant de vouloir tout examiner vous-même. L’organisation peut avoir besoin de révoquer des sessions, changer des identifiants, examiner les journaux, isoler des systèmes concernés ou désactiver des accès tant que l’incident est en cours.
Retarder cette notification peut aggraver les dégâts et vous exposer à des sanctions ou à une responsabilité si l’organisation subit des pertes qui auraient pu être limitées par un signalement rapide. Si aucun appareil, service, compte ou donnée professionnelle n'est concerné, poursuivez avec les étapes personnelles ci-dessous.
Si vous pensez que votre ordinateur ou votre téléphone est infecté, ne l’utilisez pas pour réinitialiser des mots de passe ou vous connecter à des comptes importants. Les logiciels malveillants peuvent enregistrer les nouveaux mots de passe, voler les cookies de session, faire des captures d’écran ou intercepter les codes de récupération.
Utilisez un appareil digne de confiance, par exemple :
Si vous n’avez pas accès à un appareil sain, déconnectez l’appareil suspecté d’internet et concentrez-vous sur l’obtention d’aide avant de saisir de nouveaux identifiants.
Votre compte email est souvent la clé de tout le reste. Un attaquant qui contrôle votre email peut réinitialiser les mots de passe de vos banques, boutiques en ligne, stockages cloud, réseaux sociaux, plateformes de développement et outils professionnels.
Commencez par votre adresse email principale et vérifiez :
Soyez particulièrement attentif aux règles de boîte de réception. Les attaquants créent parfois des filtres qui cachent les alertes de sécurité, transfèrent des factures ou copient discrètement les messages de réinitialisation de mot de passe vers une autre adresse.
Après avoir sécurisé l’e-mail, attaquez-vous aux comptes qui pourraient causer le plus de dégâts. Ne perdez pas les premières minutes critiques sur des comptes de faible valeur tant que l’attaquant a encore accès à vos services bancaires, à votre stockage cloud ou à vos outils d’administrateur.
Priorisez les comptes dans cet ordre :
Chaque nouveau mot de passe doit être unique. Si vous réutilisez le même mot de passe sur plusieurs comptes, un point faible suffit à tout compromettre de nouveau.
Changer de mot de passe est important, mais cela ne déconnecte pas toujours un attaquant déjà connecté. De nombreux services maintiennent les sessions actives après un changement de mot de passe, sauf si vous les révoquez explicitement.
Recherchez des paramètres comme :
Supprimez tout ce que vous ne reconnaissez pas. Pour les comptes professionnels ou développeur, remplacez les jetons API, les clés de déploiement, les clés SSH, les webhooks, et les identifiants de comptes de service qui ont pu être exposés.
L’authentification multifactorielle (MFA ou 2FA) peut stopper de nombreuses prises de contrôle de compte même si un mot de passe a été volé. Si la MFA n’était pas activée auparavant, activez-la maintenant sur vos comptes importants.
Préférez les options les plus robustes lorsque c’est possible :
Les codes envoyés par SMS sont toujours mieux que l’absence de deuxième facteur, mais ils sont plus faibles que les options matérielles ou via application. Les numéros de téléphone peuvent être détournés par attaque SIM swap, interceptés dans certains cas, ou exploités via des procédures de récupération de compte faibles.
Quand vous activez la MFA, générez des codes de secours et stockez-les dans un endroit sûr. Sinon, la perte d’un téléphone ou d’une clé de sécurité peut tourner à la nouvelle urgence.
Si le compte piraté touche à l’argent, à des documents d’identité, à des factures, des données clients ou fiscales, supposez que l’attaquant a pu copier des informations utiles, même si vous avez rapidement repris la main.
À vérifier :
Contactez votre banque ou prestataire de paiement immédiatement en cas d’activité suspecte. En général, plus vous agissez vite, plus vous aurez de chances d’annuler une transaction frauduleuse ou de limiter votre responsabilité.
Il est naturel de vouloir tout nettoyer, mais supprimer trop tôt des messages, journaux ou fichiers peut rendre l’enquête plus difficile. Avant d’effacer des éléments suspects, sauvegardez les preuves de base. Faites-le avant d’effacer ou de réinstaller un appareil, surtout si de l’argent, des données d’entreprise, des données clients, un ransomware ou une obligation légale sont en jeu.
Preuves utiles :
Ces informations peuvent aider les équipes de support, banques, services de police, assurances, équipes IT internes ou spécialistes en gestion d’incident à comprendre ce qui s’est passé.
Si c’est possible sur un PC portable ou de bureau, envisagez de retirer le disque original et d’installer un nouvel HDD ou SSD pour la réinstallation propre du système d’exploitation. Cela vous offre une base saine tout en préservant le disque original en cas de besoin pour l’enquête. En cas d’incident professionnel, demandez d'abord l’accord de l’IT ou d’un expert avant de changer de disque ou de rallumer l’appareil.
Si la compromission a pu commencer par un malware, une pièce jointe malveillante, une fausse extension de navigateur, un logiciel piraté ou d’inconnus accès à distance, la récupération de compte seule n’est pas suffisante. L’appareil lui-même peut ne plus être digne de confiance. Un attaquant pourrait avoir installé des mécanismes de persistance, modifié les réglages système, capturé des cookies de session ou laissé un logiciel volant vos nouveaux identifiants dès leur saisie.
Dans ce cas, il est plus sûr de ne pas tenter de « nettoyer » l’appareil manuellement. Le réflexe le plus sûr est de d’abord conserver les preuves nécessaires, de ne sauvegarder que les données réellement indispensables, de formater l’appareil, puis de réinstaller complètement le système d’exploitation.
Précautions importantes :
Pour une compromission à haut risque, notamment en cas de ransomware, piratage d’emails professionnels, prise de contrôle de compte admin ou vol de données suspecté, envisagez l’aide d’un expert en gestion d’incident avant de réinstaller les systèmes. En entreprise, les preuves peuvent être nécessaires pour l’enquête, l’assurance, la conformité ou notifier les clients.
Si des attaquants ont utilisé votre compte pour envoyer des messages, factures, liens ou fichiers, prévenez les personnes qui auraient pu les recevoir. Restez bref et précis.
Par exemple :
Mon compte a été compromis. Merci de ne pas ouvrir de liens, pièces jointes, demandes de paiement ou fichiers partagés venant de moi entre [heure] et [heure]. J'ai repris la main sur le compte et suis en train d’enquêter.
Pour les entreprises, cette notification peut aussi être une obligation légale ou contractuelle. Si des données client, employés, paiement, santé ou confidentielles ont pu être exposées, impliquez rapidement les équipes juridique, conformité et sécurité.
Toutes les compromissions de comptes personnels ne nécessitent pas de dépôt de plainte, mais certains incidents doivent être signalés. Cela est particulièrement vrai pour la fraude financière, le vol d’identité, les ransomwares, la compromission d’emails professionnels, le vol de données clients ou de menaces à la sécurité personnelle.
Canaux de déclaration utiles :
Le signalement permet aussi de garder une trace de l’événement. Ce dossier peut être utile si des activités frauduleuses continuent ou s’il faut prouver votre réactivité.
Dans une organisation, un compte piraté est rarement un simple problème de compte : c'est souvent le signe visible d’un incident plus large. Une boîte email compromise peut exposer des conversations clients. Un mot de passe d’admin volé peut permettre la fuite de données. Une clé de déploiement divulguée peut toucher les systèmes de production.
La réponse d’entreprise doit inclure :
Si l’incident porte sur des données réglementées, des clients, du ransomware, l’infrastructure de production ou des accès privilégiés, faites appel à des professionnels dès le début. Attendre trop longtemps complique la gestion et la collecte de preuves.
Certaines actions bien intentionnées compliquent la récupération ou créent de nouveaux risques.
À éviter :
Une fois la situation stabilisée, prenez le temps de renforcer votre sécurité. La plupart des compromissions ne sont pas dues à du "piratage avancé", mais à des mots de passe réutilisés, du phishing, des options de récupération faibles, des malwares, des appareils exposés ou des accès anciens non supprimés.
Liste pratique pour renforcer votre sécurité :
La sécurité n’a pas besoin d’être parfaite pour être bien meilleure : quelques habitudes constantes suffisent à éliminer les failles les plus faciles à exploiter et à limiter les dégâts en cas de nouvel incident.
Se faire pirater n’est pas forcément un signe d’imprudence. Les attaquants ciblent en permanence particuliers et entreprises, et même des utilisateurs prudents peuvent se faire piéger par une page de phishing convaincante, un ancien mot de passe réutilisé ou un appareil compromis discrètement.
Ce qui compte le plus, c’est la réaction : sécuriser l’email en premier, changer les mots de passe depuis un appareil fiable, révoquer les sessions, activer une MFA robuste, vérifier les risques financiers, préserver les preuves et avertir toute personne concernée. Ensuite, améliorez les systèmes et habitudes pour que la prochaine attaque ait moins de chances de réussir.