Come faccio a sapere se una password è stata rubata?

Puoi ricevere un avviso dal browser, dal gestore password o dal servizio che usi. Altri segnali sono accessi sospetti, codici di verifica non richiesti, email di sicurezza insolite o modifiche all’account che non hai fatto tu.

Cosa devo fare per prima cosa se una password è stata rubata?

Devi cambiarla subito dal sito o dall’app ufficiale del servizio. Non usare link ricevuti via email o messaggio. Dopo il cambio, controlla accessi recenti, dispositivi collegati e metodi di recupero.

Basta eliminare la password salvata dal browser?

No. Eliminare una password salvata dal browser o dallo smartphone rimuove solo la credenziale memorizzata. Se la password è stata rubata, devi cambiarla davvero nell’account collegato.

Devo cambiare anche le password degli altri account?

Sì, se hai usato la stessa password o una password molto simile su altri servizi. Il riutilizzo delle password è uno dei principali motivi per cui una singola violazione può mettere a rischio più account.

È utile attivare l’autenticazione a due fattori?

Sì. L’autenticazione a due fattori aggiunge un secondo passaggio oltre alla password e rende più difficile l’accesso non autorizzato, anche se qualcuno conosce la tua password.

Cosa faccio se non riesco più ad accedere all’account?

Usa la procedura ufficiale di recupero account del servizio. Evita link sospetti, prepara i dati necessari per dimostrare che l’account è tuo e controlla anche email, telefono e dispositivi collegati.

Una passkey è più sicura di una password?

In molti casi sì, perché non si basa su una password tradizionale da digitare e riutilizzare. Le passkey riducono il rischio di phishing, ma richiedono comunque dispositivi protetti e metodi di recupero ben configurati.

Quando devo avvisare la banca?

Devi avvisare la banca o il servizio di pagamento se noti movimenti sospetti, se l’account compromesso aveva carte salvate o se pensi di aver inserito dati bancari in una pagina falsa.

Mot de passe piraté : que faire immédiatement pour protéger vos comptes

Découvrir qu’un mot de passe a pu être volé est une situation à ne pas prendre à la légère. Parfois, on s’en rend compte car on reçoit une alerte du navigateur, du gestionnaire de mots de passe ou du service que nous utilisons. D’autres fois, le soupçon vient d’un accès inhabituel, d’un email de sécurité, d’un message de récupération de mot de passe que nous n’avons pas demandé ou de mouvements étranges sur un compte. La chose la plus importante est de ne pas paniquer, mais d’agir de manière ordonnée. Un mot de passe compromis ne signifie pas automatiquement que tous vos comptes ont été piratés, mais cela peut devenir un problème sérieux si le même mot de passe a été utilisé sur plusieurs services.

Dans ce guide, nous voyons que faire si un mot de passe a été volé, quels contrôles effectuer immédiatement, comment changer les identifiants correctement et quelles options activer pour mieux protéger les emails, réseaux sociaux, services cloud, applications bancaires et comptes personnels. Note importante : si un mot de passe a été volé, il ne suffit pas de le supprimer du navigateur ou du téléphone. Vous devez le changer depuis le site ou l’application du service concerné et vérifier si quelqu’un a déjà eu accès à votre compte.

Sommaire

Comment savoir si un mot de passe a été volé

Un mot de passe volé n’est pas toujours utilisé immédiatement. Dans de nombreux cas, les identifiants se retrouvent dans des bases de données dérobées lors de violations de données, sont vendus en ligne ou utilisés automatiquement pour tenter d’accéder à d’autres services. Il y a certains signes qui devraient vous inciter à intervenir rapidement :

vous recevez une alerte que le mot de passe est compromis ;
le navigateur ou le gestionnaire de mots de passe indique un mot de passe volé ou réutilisé ;
vous recevez des codes de vérification que vous n’avez pas demandés ;
vous recevez des emails de connexion à partir d’appareils ou de lieux que vous ne reconnaissez pas ;
quelqu’un essaie de réinitialiser le mot de passe d’un de vos comptes ;
vous remarquez des messages envoyés depuis votre profil sans votre intervention ;
vous trouvez des modifications d’email, de numéro de téléphone, de nom d’utilisateur ou de paramètres de sécurité ;
un service vous informe qu’il a subi une violation de données.

Dans tous ces cas, il est conseillé d’agir immédiatement, en commençant par le compte le plus important : généralement l’email principal. Si un malveillant parvient à accéder à votre boîte mail, il peut essayer de récupérer les mots de passe de nombreux autres services liés.

Que faire immédiatement si un mot de passe a été volé

Lorsque vous avez un doute qu’un mot de passe ait été volé, la première chose à faire est de changer ce mot de passe sur le site officiel du service. N’utilisez pas les liens reçus par email ou message, surtout si le ton est urgent ou menaçant. Ouvrez directement le site en tapant l’adresse dans le navigateur ou utilisez l’application officielle. Le chemin correct est le suivant :

ouvrez le site ou l’application officielle du service ;
connectez-vous à votre compte, si vous parvenez encore à y accéder ;
allez dans les paramètres de sécurité ;
changez immédiatement le mot de passe ;
choisissez un nouveau mot de passe, long et différent de tous les autres ;
enregistrez le nouveau mot de passe de manière sécurisée ;
activez l’authentification à deux facteurs, si disponible ;
vérifiez les appareils connectés, les sessions actives et les activités récentes.

Si vous ne parvenez plus à accéder, utilisez la procédure officielle de récupération de compte. Là encore, évitez les liens suspects et commencez toujours depuis la page officielle du service.

Règle pratique : si le mot de passe volé était également utilisé sur d’autres comptes, vous devez le changer partout. Il ne suffit pas de le changer sur le site qui a signalé le problème.

Changez d’abord le mot de passe de l’email principal

L’email principale est souvent le centre de votre identité numérique. Elle sert à recevoir des codes de vérification, des confirmations de connexion, des liens de récupération de mot de passe, des factures, des documents, des communications bancaires et des notifications des réseaux sociaux. C’est pourquoi, si vous suspectez une compromission, vous devez donner priorité à la boîte email la plus importante. Vérifiez immédiatement :

si le mot de passe de l’email est unique et non utilisé ailleurs ;
s’il y a eu des accès récents depuis des appareils inconnus ;
si des règles de transfert automatique ont été créées ;
s’il existe des filtres étranges qui déplacent ou cachent des messages ;
si l’email de récupération et le numéro de téléphone vous appartiennent toujours ;
si l’authentification à deux facteurs est activée.

Un attaquant qui accède à votre email peut chercher des messages contenant des données personnelles, d’anciens mots de passe, des documents, des reçus, des données fiscales ou des références à des services que vous utilisez. Il peut également tenter de réinitialiser le mot de passe d’autres comptes liés.

Utilisez un mot de passe nouveau et différent de tous les autres

Lorsque vous changez un mot de passe volé, n’apportez pas de petites variations au mot de passe ancien. Changer une lettre, ajouter un chiffre ou mettre un symbole à la fin n’est pas une solution sûre. Si le mot de passe précédent était connu, les variantes similaires peuvent aussi être faciles à deviner. Un bon mot de passe devrait être :

long ;
unique pour ce compte ;
pas lié à votre nom, votre date de naissance ou d’autres informations personnelles ;
non réutilisé sur d’autres sites ;
difficile à deviner même pour ceux qui vous connaissent.

Vous pouvez utiliser un gestionnaire de mots de passe pour générer et conserver des identifiants complexes. Il est beaucoup plus sûr d’avoir des mots de passe longs et différents stockés en toute sécurité, plutôt que d’utiliser le même mot de passe simple sur plusieurs comptes.

Si vous souhaitez d’abord vérifier ou supprimer les identifiants enregistrés sur vos appareils, lisez également le guide sur comment supprimer les mots de passe enregistrés sur Chrome, Android et iPhone.

Vérifiez si le même mot de passe a été utilisé ailleurs

Le plus grand risque n’est pas toujours le mot de passe volé en lui-même, mais la réutilisation du même mot de passe sur plusieurs comptes. En effet, de nombreuses attaques automatiques essaient des combinaisons d’email et de mots de passe déjà volés sur d’autres sites. Par exemple, si vous utilisez la même combinaison d’email et de mot de passe sur un ancien forum, un réseau social et un service de messagerie, la violation de l’ancien forum pourrait aussi mettre en danger les autres comptes. Faites donc une vérification mentale et pratique :

où avez-vous utilisé le même mot de passe ?
quels comptes utilisent la même adresse email de connexion ?
quels services contiennent des données personnelles ou des paiements ?
quels comptes permettent de récupérer d’autres comptes ?
quels mots de passe sont similaires à celui qui a été volé ?

Commencez par les comptes les plus sensibles : email, banque en ligne, services de paiement, réseaux sociaux, cloud, e-commerce, compte Apple, compte Google, outils professionnels et services contenant des données personnelles.

Activez l’authentification à deux facteurs

L’authentification à deux facteurs ajoute une deuxième étape après le mot de passe. Cela peut être un code généré par une application, une notification sur le téléphone, une clé de sécurité physique, un code reçu par SMS ou une autre méthode prévue par le service. C’est une protection importante car elle rend l’accès plus difficile même si quelqu’un connaît le mot de passe. Ce n’est pas une garantie absolue, mais cela réduit beaucoup le risque d’accès non autorisé. Lorsque vous pouvez choisir, privilégiez :

les applications d’authentification ;
les passkeys ;
les clés de sécurité physiques ;
notifications de confirmation sur un appareil fiable.

Les SMS sont mieux que rien, mais peuvent être moins sécurisés que d’autres méthodes. Dans tous les cas, activer un second facteur est presque toujours un meilleur choix que d’utiliser uniquement un mot de passe.

À retenir : après avoir activé l’authentification à deux facteurs, sauvegardez également les codes de récupération dans un endroit sûr. Ils sont nécessaires si vous perdez votre téléphone ou si vous ne pouvez pas utiliser la méthode principale de vérification.

Déconnectez-vous de tous les appareils connectés

Après avoir changé un mot de passe compromis, vérifiez les sessions actives. De nombreux services permettent de voir depuis quels appareils, navigateurs ou applications la connexion a été faite. Cherchez des éléments tels que :

appareils connectés ;
sessions actives ;
connexions récentes ;
activités de sécurité ;
où vous vous êtes connecté ;
gérer les appareils.

Si vous trouvez un appareil que vous ne reconnaissez pas, déconnectez-le. Si le service propose l’option Déconnexion de tous les appareils, utilisez-la après avoir changé le mot de passe. De cette manière, toutes les sessions ouvertes par d’autres personnes seront interrompues. Cette étape est particulièrement importante pour les emails, réseaux sociaux, comptes Google, Apple Account, services cloud, plateformes de travail et applications liées aux paiements.

Vérifiez l’email, le numéro de téléphone et les méthodes de récupération

Lorsque quelqu’un parvient à accéder à un compte, il peut modifier les données de récupération pour maintenir l’accès même après le changement de mot de passe. C’est pourquoi vous devez vérifier que l’email, le numéro de téléphone et les méthodes de récupération soient toujours corrects. Vérifiez :

email principal ;
email secondaire ;
numéro de téléphone ;
appareils de confiance ;
applications d’authentification liées ;
clés de sécurité ;
codes de sauvegarde ;
questions de sécurité, si elles sont toujours présentes.

Si vous trouvez une donnée que vous ne reconnaissez pas, supprimez-la immédiatement. Ensuite, changez à nouveau le mot de passe, car le compte pourrait avoir été déjà compromis.

Vérifiez les applications connectées et les autorisations

De nombreux comptes permettent aux applications, extensions ou services externes d’accéder aux données. C’est pratique, mais cela peut devenir un risque si, au fil du temps, vous avez autorisé des outils que vous n’utilisez plus ou que vous ne reconnaissez pas. Après une compromission possible, allez dans la section dédiée aux applications connectées et supprimez tout ce qui n’est pas nécessaire. Vérifiez en particulier :

applications tierces connectées au compte ;
extensions du navigateur ;
services ayant accès aux e-mails, calendrier, fichiers ou contacts ;
intégrations anciennes ou plus utilisées ;
applications installées en dehors des boutiques officielles ;
outils nécessitant des permissions trop larges.

Si tu penses que le problème est venu d’une pièce jointe ou d’un téléchargement suspect, le guide sur comment découvrir si un fichier est dangereux avant de l’ouvrir.

Vérifie l’appareil : il pourrait y avoir un malware

Un mot de passe peut être volé de nombreuses façons : violation d’un site, phishing, malware, extensions malveillantes, applications non fiables, réseau Wi-Fi compromis ou pages fausses imitant des services connus. Si le mot de passe a été volé après avoir installé quelque chose, ouvert une pièce jointe ou cliqué sur un lien suspect, ne te limite pas à changer le mot de passe. Vérifie également l’appareil.

Tu peux suivre ces étapes :

mets à jour le système d’exploitation, le navigateur et les applications ;
supprime les programmes ou applications que tu ne reconnais pas ;
désinstalle les extensions de navigateur inutiles ou suspectes ;
effectue une analyse avec un logiciel de sécurité fiable ;
vérifie si le navigateur ouvre des pages étranges ou affiche des notifications suspectes ;
évite de changer le mot de passe depuis un appareil que tu penses infecté.

Si tu as un doute sérieux, change les mots de passe les plus importants depuis un appareil différent et fiable. Les changer depuis un ordinateur compromis pourrait exposer immédiatement aussi les nouvelles informations d’identification.

Attention aux faux e-mails de violation de données

Après une violation réelle ou supposée, peuvent arriver des e-mails frauduleux prétendant t’avertir d’un problème de sécurité. Le message peut t’inviter à cliquer sur un lien, télécharger un fichier ou saisir le mot de passe pour “vérifier” le compte. Ces messages utilisent souvent des phrases urgentes, des logos similaires aux originaux et un ton alarmiste. Le conseil est simple : ne clique pas sur les liens dans l’e-mail. Va directement sur le site officiel ou ouvre l’application officielle du service.

Fais attention si le message :

te demande de saisir le mot de passe sur une page atteinte par un lien ;
contient des erreurs étranges ou un domaine similaire mais pas identique à celui officiel ;
menace de fermeture immédiate du compte ;
demande des codes de vérification ou des données bancaires ;
invite à télécharger des pièces jointes ;
provient d’un expéditeur qui ne correspond pas au service réel.

Une règle utile est la suivante : les mots de passe ne se communiquent pas par e-mail, chat ou téléphone. Si quelqu’un te les demande, c’est presque certainement une tentative d’escroquerie.

Que faire si tu ne peux plus accéder

Si le mot de passe a été changé par quelqu’un d’autre et que tu ne peux plus accéder au compte, tu dois utiliser la procédure officielle de récupération. Chaque service a un parcours différent, mais en général il te demandera de confirmer ton identité via e-mail, numéro de téléphone, appareil déjà reconnu ou documents. Dans cette situation :

ne crée pas immédiatement un nouveau compte si tu peux récupérer l’ancien ;
utilise uniquement la page officielle de récupération ;
vérifie aussi la boîte spam ou courrier indésirable ;
prépare des données utiles pour prouver que le compte est à toi ;
avertis tes contacts si le compte a été utilisé pour envoyer des messages suspects ;
s’il y a des paiements liés, vérifie les mouvements et les méthodes de paiement.

Si le compte compromis est lié au travail, aux paiements, aux documents ou aux données sensibles, envisage également de contacter l’assistance du service et, dans les cas les plus graves, la banque ou les autorités compétentes.

Quand avertir la banque, les contacts ou le service d’assistance

Toutes les mots de passe volés ne présentent pas le même niveau de risque. Si le mot de passe concernait un vieux forum ou un compte secondaire, il peut suffire de le changer et de vérifier d’éventuelles réutilisations. En revanche, s’il concerne des emails, la banque, les réseaux sociaux ou des services professionnels, une attention plus grande est nécessaire. Avertis la banque ou le service de paiement si :

tu remarques des opérations que tu ne reconnais pas ;
le mot de passe volé était lié à un compte avec des cartes enregistrées ;
tu reçois des notifications de paiements suspects ;
ton compte a été utilisé pour faire des achats ;
tu as entré des données bancaires sur une page suspecte.

Avertis tes contacts si :

des messages étranges sont partis de ton profil ;
quelqu’un utilise ton nom pour demander de l’argent ou des codes ;
le compte social a été utilisé pour publier des contenus qui ne sont pas les tiens ;
des emails de phishing ont été envoyés depuis ta boîte mail.

Cela peut être embarrassant, mais il vaut mieux avertir immédiatement. Cela réduit le risque que d’autres personnes tombent dans l’arnaque en profitant de la confiance qu’elles ont en ton nom.

Comment prévenir le problème à l’avenir

Tu ne peux pas contrôler toutes les violations de données qui se produisent en ligne, mais tu peux réduire considérablement les risques en suivant certaines bonnes pratiques.

utilise un mot de passe différent pour chaque compte ;
active l’authentification à deux facteurs sur les services les plus importants ;
utilise un gestionnaire de mots de passe fiable ;
évite d’enregistrer les mots de passe sur des appareils partagés ;
garde à jour le système d’exploitation, le navigateur et les applications ;
n’installe pas d’extensions inutiles ou inconnues ;
ne clique pas sur des liens suspects reçus par email, SMS ou chat ;
vérifie régulièrement les appareils connectés et les accès récents ;
supprime les comptes que tu n’utilises plus ;
privilégie les passkeys lorsque le service les supporte.

Avant d’intervenir, il peut être utile de vérifier quelles identifiants sont encore mémorisés dans le navigateur ou le smartphone : dans ce guide nous expliquons comment voir les mots de passe enregistrés sur Chrome, Android et iPhone.

Mot de passe volé et clé d’accès : quelle différence ?

Les clés d’accès sont un système d’entrée différent des mots de passe traditionnels. Au lieu de saisir un mot de passe, vous confirmez l’accès avec l’appareil, le visage, l’empreinte digitale ou un code de déblocage. Cela réduit le risque de phishing car il n’y a pas de mot de passe classique à copier et réutiliser. Tous les services ne prennent pas encore en charge les clés d’accès, mais lorsqu’elles sont disponibles, elles peuvent être un bon choix, surtout pour les comptes les plus importants. Toutefois, vous devez bien protéger l’appareil, maintenir les méthodes de récupération actives et savoir quoi faire si vous perdez le téléphone ou l’ordinateur. Les clés d’accès n’éliminent pas tous les risques, mais réduisent l’un des problèmes les plus courants : la réutilisation du même mot de passe sur plusieurs sites.

Erreurs à éviter après un mot de passe volé

Après une compromission possible, certaines réactions instinctives peuvent aggraver la situation. Voici les erreurs les plus courantes à éviter.

Changer seulement un mot de passe : si la même donnée d’identification était utilisée ailleurs, vous devez la changer aussi sur les autres comptes.
Utiliser une variante similaire : ajouter un chiffre ou un symbole au vieux mot de passe ne suffit pas.
Cliquer sur des liens reçus par email : allez toujours sur le site officiel ou l’application officielle.
Oublier l’email principal : c’est souvent le compte le plus important à protéger.
Ne pas vérifier les appareils liés : quelqu’un pourrait encore avoir une session ouverte.
Ne pas vérifier les applications et autorisations : une application connectée peut continuer à accéder aux données.
Changer le mot de passe depuis un appareil suspect : si l’appareil est infecté, le nouveau mot de passe peut aussi être volé.

En résumé

Si un mot de passe a été volé, vous devez agir immédiatement mais méthodiquement. Changez le mot de passe depuis le site officiel, choisissez une donnée d’identification nouvelle et unique, vérifiez si le même mot de passe était utilisé ailleurs et activez l’authentification à deux facteurs. Juste après, vérifiez les accès récents, les appareils liés, les méthodes de récupération, les applications autorisées et les éventuelles activités suspectes. Si le compte concerne les emails, la banque, les paiements ou des données sensibles, donnez la priorité maximale à la protection et ne tardez pas.

La règle la plus importante est simple : un mot de passe volé ne doit jamais rester valide et ne doit jamais être utilisé sur plusieurs comptes. Plus vos mots de passe sont uniques, plus il est difficile qu’un seul problème se transforme en une violation plus large.

Questions fréquentes

Comment savoir si un mot de passe a été volé ?

Vous pouvez recevoir une alerte du navigateur, du gestionnaire de mots de passe ou du service que vous utilisez. D’autres signaux sont des accès suspects, des codes de vérification non demandés, des emails de sécurité inhabituels ou des modifications du compte que vous n’avez pas effectuées.

Que faire en premier lieu si un mot de passe a été volé ?

Vous devez le changer immédiatement depuis le site ou l’application officielle du service. N’utilisez pas les liens reçus par email ou message. Après le changement, vérifiez les accès récents, les appareils liés et les méthodes de récupération.

Est-il suffisant de supprimer le mot de passe enregistré dans le navigateur ?

Non. Supprimer un mot de passe enregistré dans le navigateur ou le smartphone ne fait que retirer la donnée d’identification mémorisée. Si le mot de passe a été volé, vous devez vraiment le changer dans le compte concerné.

Dois-je aussi changer les mots de passe des autres comptes ?

Oui, si vous avez utilisé le même mot de passe ou un mot de passe très similaire sur d’autres services. La réutilisation des mots de passe est l’une des principales raisons pour lesquelles une seule violation peut mettre plusieurs comptes en danger.

Est-il utile d’activer l’authentification à deux facteurs ?

Oui. L’authentification à deux facteurs ajoute une seconde étape en plus du mot de passe et rend l’accès non autorisé plus difficile, même si quelqu’un connaît ton mot de passe.

Que faire si je ne peux plus accéder au compte ?

Utilise la procédure officielle de récupération de compte du service. Évite les liens suspects, prépare les données nécessaires pour prouver que le compte est le tien et vérifie aussi les e-mails, le téléphone et les appareils connectés.

Une passkey est-elle plus sûre qu’un mot de passe ?

Dans de nombreux cas oui, car elle ne repose pas sur un mot de passe traditionnel à saisir et à réutiliser. Les passkeys réduisent le risque de phishing, mais nécessitent tout de même des appareils protégés et des méthodes de récupération bien configurées.

Quand dois-je prévenir la banque ?

Tu dois prévenir la banque ou le service de paiement si tu remarques des mouvements suspects, si le compte compromis avait des cartes sauvegardées ou si tu penses avoir saisi des données bancaires sur une fausse page.