Piratage informatique : reconnaître et qualifier une compromission de compte ou d’équipement

Dans cette page, le piratage informatique désigne, pour un particulier, une intrusion non-autorisée dans un compte en ligne ou un équipement numérique. Il ne s’agit ni d’une tentative ni d’un simple soupçon, mais d’un accès effectif.

La question utile n’est pas « est-ce que j’ai été piraté ? », c’est « ce que j’observe correspond-il à une intrusion, et si oui, laquelle ? » La marche à suivre dépend entièrement de cette distinction. Confondre un compte compromis et un appareil infecté, c’est souvent réagir à côté du problème, et ni un antivirus ni un VPN ne peuvent compenser un mauvais diagnostic de départ.

Illustration : Piratage informatique

Comment savoir si j'ai été piraté ? : sommaire

Ce qui relève d’une intrusion : et ce qui n’en relève pas

L’article 323-1 du Code pénal parle d’accès ou de maintien frauduleux dans un système de traitement automatisé de données. L’élément central est l’accès non consenti, et non la simple tentative ou l’exposition de données.

Plusieurs situations sont régulièrement confondues avec un piratage avéré, sans l’être.

  • Recevoir un courriel d’hameçonnage n’est pas un piratage. C’est un vecteur d’attaque. Dans les cas courants, recevoir un tel message ne constitue pas en soi une compromission : l’intrusion suppose une action effective de votre part, avoir saisi vos identifiants sur une fausse page, cliqué sur un lien ayant déclenché une installation, ouvert une pièce jointe piégée.
  • Figurer dans une fuite de données n’est pas non plus un piratage de votre compte. Cela signifie que vos données ont été extraites d’un service tiers. Si le mot de passe concerné est unique à ce service et n’est plus en usage, l’exposition ne se traduit pas automatiquement par une intrusion active.
  • Un signal faible n’est pas une preuve. Un appareil qui ralentit, une publicité inhabituelle, une notification de connexion, aucun de ces éléments ne confirme seul une intrusion. Ils justifient une vérification, pas une conclusion hâtive.

Cybermalveillance.gouv.fr distingue deux formes principales pour les particuliers : le piratage de compte et le piratage d’équipement. C’est cette grille que cette page utilise.

Illustration : vous avez été hacké

Compromission de compte : signes et vérifications

Un compte compromis, c’est un accès non autorisé à un service en ligne, messagerie, réseau social, banque, plateforme d’achat. L’accès peut venir d’identifiants volés lors d’une fuite chez un tiers, d’une attaque par hameçonnage, de la réutilisation d’un mot de passe exposé ailleurs, ou du détournement d’une session ou d’un accès tiers déjà autorisé.

Les signaux forts

  • Une alerte de connexion depuis un appareil ou une localisation non reconnus. Google, Microsoft, Apple, Meta envoient ce type de notification quand une connexion provient d’un nouvel appareil ou d’une zone inhabituelle. Ces alertes méritent vérification avant toute conclusion : les localisations affichées sont souvent approximatives, et une connexion légitime peut parfois déclencher une alerte depuis une adresse IP non habituelle. Traitez-la comme un indice sérieux qui justifie d’aller consulter l’activité du compte, pas comme une confirmation automatique.
  • Votre mot de passe est refusé sur le service officiel, sans que vous l’ayez modifié. C’est un indice sérieux, mais isolé, il peut avoir des causes banales, mot de passe enregistré obsolète, verrouillage après trop de tentatives, changement oublié. Croisé avec d’autres signes (paramètres modifiés, activité inconnue dans les journaux), ça devient une compromission probable.
  • Des messages ont été envoyés depuis votre compte sans votre intervention. Vos contacts signalent avoir reçu quelque chose que vous n’avez pas écrit. C’est un indice fort d’accès non-autorisé à votre compte.
  • Des paramètres de récupération ont changé à votre insu. Adresse électronique de secours remplacée, numéro de téléphone modifié, règles de transfert automatique ajoutées dans votre messagerie, ces modifications ont une fonction précise : maintenir l’accès et intercepter les communications qui suivent.
  • Des transactions non reconnues sur un compte bancaire ou un service d’achat. C’est un indicateur direct.

Les vérifications à faire, même sans signe visible

Un accès non-autorisé peut ne laisser aucun signe apparent pendant un moment. Quelques vérifications actives permettent de le détecter avant qu’il ne se manifeste.

L’activité récente du compte. Google propose un journal d’activité accessible depuis les paramètres de sécurité du compte. Microsoft propose un équivalent dans l’onglet sécurité du compte Microsoft. Ces journaux listent les connexions avec date, appareil et localisation approximative. Une entrée non reconnue mérite examen.

Les sessions actuellement actives. La plupart des services permettent de voir les appareils connectés et de fermer les sessions ouvertes. C’est à faire avant, ou au moment, du changement de mot de passe. Selon les services, un simple changement de mot de passe ne clôt pas les sessions déjà ouvertes.Les applications tierces autorisées. Certains services ont été connectés à votre compte via une authentification déléguée. Si des applications inconnues ou inactives figurent dans cette liste, révoquez leur accès. Google centralise cette gestion sur myaccount.google.com/connections. Microsoft documente la même gestion dans l’onglet sécurité du compte Microsoft, accessible depuis account.microsoft.com/security.

Les règles de filtrage dans la messagerie. Vérifiez l’absence de règles ajoutées sans votre intervention, notamment celles qui copient silencieusement vos courriels entrants vers une adresse externe. C’est l’une des modifications les moins visibles et les plus fréquentes après un accès non autorisé à une boîte mail.

Ce que Have I Been Pwned permet de conclure, et ce qu’il ne permet pas

Have I Been Pwned est l’un des outils publics les plus utilisés pour vérifier si votre adresse électronique figure dans une fuite de données documentée. Il est maintenu par le chercheur en sécurité Troy Hunt et indique pour chaque résultat la source, la date et la nature des données exposées.

Mais il faut être précis sur ce que cela signifie. Une occurrence dans cet outil prouve que vos données ont été extraites d’un service tiers lors d’une compromission de ce service. Cela ne prouve pas qu’un tiers a pris le contrôle actif de votre compte, ni que votre mot de passe actuel est connu, particulièrement si vous l’avez modifié depuis la date de la fuite, ou s’il était unique à ce service.

En revanche, si le mot de passe exposé est encore actif ailleurs, chaque compte qui l’utilise est potentiellement vulnérable.

site Have I been Powned

Compromission d’équipement : signes et interprétation

Une compromission d’équipement désigne une situation dans laquelle un tiers exerce un contrôle non autorisé sur votre appareil. Sous des formes variées : logiciel malveillant actif en arrière-plan, extension de navigateur malveillante, enregistreur de frappe, outil d’accès à distance non consenti.

Point important avant la liste qui suit : chacun des signes ci-dessous a des causes multiples, la plupart sans lien avec un piratage. C’est leur combinaison et leur apparition soudaine sans explication évidente qui doit déclencher une investigation sérieuse. Pas un signe isolé.

Les signes système

  • Ralentissement soudain et inexpliqué. Un processus actif en arrière-plan peut en être la cause. Sur Windows, le Gestionnaire des tâches (Ctrl+Maj+Échap) permet d’identifier les processus les plus gourmands en ressources. Sur macOS, c’est le Moniteur d’activité. Un processus inconnu qui mobilise beaucoup de ressources mérite d’être identifié, une recherche de son nom exact peut aider à l’identifier, sans suffire à conclure à elle seule.
  • Activité réseau soutenue lorsque l’appareil est au repos. Les logiciels malveillants communiquent régulièrement avec des serveurs distants, pour transmettre des données collectées ou recevoir des instructions. Une activité réseau persistante sans application ouverte est un signal à prendre au sérieux.
  • Programmes inconnus au démarrage automatique. Sur Windows, l’onglet « Démarrage » du Gestionnaire des tâches liste ce qui se lance à l’ouverture de session. Sur macOS, c’est dans Réglages système › Général › Éléments de connexion. Les logiciels malveillants s’y inscrivent souvent pour survivre aux redémarrages.
  • Consommation de données mobiles inexpliquée. Sur un téléphone, un pic non lié à un usage connu peut indiquer un transfert en arrière-plan. Les paramètres iOS et Android permettent de voir la consommation par application.,

Les signes côté navigateur et téléphone

  • Redirections non sollicitées ou moteur de recherche remplacé. Vos recherches aboutissent ailleurs que prévu, ou votre navigateur affiche un moteur que vous n’avez pas choisi. Une extension malveillante ou un logiciel indésirable a probablement modifié les paramètres. Première étape : vérifier la liste des extensions installées.
  • Publicités hors contexte. Fenêtres publicitaires qui s’ouvrent en dehors du navigateur, ou annonces insérées dans des pages qui n’en affichent normalement pas, c’est caractéristique d’un logiciel publicitaire actif sur l’appareil.
  • Application installée à votre insu sur un téléphone. Une application que vous n’avez pas installée, surtout si elle réclame des autorisations larges (contacts, localisation, microphone), est un signal fort.

Ce qu’un signe isolé ne permet pas de conclure

L’absence de signes visibles ne garantit pas l’absence de compromission. Certains logiciels malveillants,notamment les outils d’accès à distance ou les logiciels espions ciblés, sont conçus pour rester invisibles et ne pas modifier le comportement visible de l’appareil. C’est précisément pourquoi le fonctionnement d’un antivirus ne couvre pas tous les cas : la démarche de vérification doit rester méthodique, sans dérive anxiogène.

Tableau de triage : qualifier le niveau de certitude

En sécurité, on qualifie rarement un incident avec certitude dès le premier symptôme. Ce tableau distingue quatre niveaux, signal faible, indice sérieux, compromission probable, compromission quasi confirmée. Un même signe peut changer de niveau selon qu’il est isolé ou combiné à d’autres.

Signe observé Type d'incident probable Niveau de certitude
Alerte de connexion depuis un appareil ou lieu non reconnu Compromission de compte Indice sérieux, à vérifier dans l'activité du compte avant de conclure
Mot de passe refusé sans modification de votre part Compromission de compte Indice sérieux, compromission probable si croisé avec d'autres signes
Messages envoyés depuis votre compte sans votre intervention Compromission de compte, ou d'équipement si enregistreur de frappe Compromission probable
Paramètres de récupération modifiés à votre insu Compromission de compte Compromission quasi confirmée
Session ou appareil non reconnu dans l'activité du compte Compromission de compte Compromission probable
Adresse électronique trouvée dans Have I Been Pwned Exposition dans une fuite tierce Indice sérieux, ne confirme pas une intrusion active
Transactions non reconnues sur un compte bancaire Compromission de compte ou fraude à la carte Compromission quasi confirmée
Application installée à votre insu Compromission d'équipement Compromission probable
Redirections du navigateur, moteur de recherche modifié Compromission d'équipement (logiciel ou extension indésirable) Compromission probable
Processus inconnu consommant des ressources importantes Compromission d'équipement (à identifier) Indice sérieux
Activité réseau soutenue au repos Compromission d'équipement (possible) Indice sérieux
Ralentissement soudain de l'appareil Compromission d'équipement (possible) Signal faible, à croiser avec d'autres signes
Consommation de données mobiles inexpliquée Compromission d'équipement (possible) Signal faible, à croiser avec d'autres signes
Courriel d'hameçonnage reçu, sans action de votre part Vecteur d'attaque potentiel, pas d'intrusion Signal faible, surveillance recommandée

Que faire sans aggraver la situation

Si le compte est compromis

Commencez par les sessions actives, pas par le mot de passe. Avant ou au moment du changement, identifiez et fermez les sessions ouvertes depuis les paramètres de sécurité du compte. Selon les services, changer le mot de passe ne ferme pas nécessairement les accès déjà ouverts.

Ensuite :

  • Choisissez un mot de passe unique à ce service, long, non réutilisé ailleurs. Un gestionnaire de mots de passe génère et stocke ce type de mot de passe sans que vous ayez à le mémoriser.
  • Vérifiez et corrigez l’adresse électronique et le numéro de téléphone de récupération.
  • Révoquez les accès des applications tierces non reconnues.
  • Activez l’authentification à deux facteurs si ce n’est pas déjà fait. Une application d’authentification de type TOTP est préférable au SMS, ce dernier est vulnérable aux attaques par substitution de carte SIM.

Si vous n’avez plus accès du tout, passez par le processus de récupération officiel du service. Si vous avez généré des codes de sauvegarde au moment de l’activation de l’authentification à deux facteurs, c’est maintenant qu’ils servent.

Ne faites rien de tout ça depuis un appareil que vous soupçonnez d’être compromis. Un enregistreur de frappe actif capturerait vos nouveaux identifiants au moment où vous les saisissez.

Si l’équipement est compromis

Isolez d’abord l’appareil du réseau. Déconnectez le Wi-Fi et le câble Ethernet. Sur un téléphone, activez le mode avion. Un logiciel malveillant actif peut continuer à exfiltrer des données tant que la connexion est maintenue. Cybermalveillance.gouv.fr recommande aussi de préserver les éléments utiles à un diagnostic avant de poursuivre.

Ensuite :

  • Lancez une analyse complète avec un antivirus à jour. Si les signes persistent après l’analyse, un second outil en mode analyse seule peut compléter le diagnostic, Malwarebytes en version gratuite est souvent utilisé à cette fin sur Windows, sans être la seule option.
  • Vérifiez manuellement les extensions de navigateur et supprimez celles que vous ne reconnaissez pas.
  • Consultez la liste des programmes installés et les éléments de démarrage automatique.
  • Si l’infection est confirmée et que son étendue reste floue, réinstaller le système d’exploitation depuis un support de confiance reste la seule façon d’avoir une garantie sérieuse.

veste a capuche de Hacker

Si vous suspectez les deux

Commencez par l’équipement. Tant que l’appareil est potentiellement compromis, toute action sur les comptes peut être captée. Une fois l’appareil nettoyé ou remplacé, changez les mots de passe et révoquez les sessions pour tous les comptes utilisés depuis cet appareil, pas seulement ceux sur lesquels vous avez vu quelque chose d’anormal.

Si vous avez utilisé des services bancaires depuis l’appareil compromis, prévenez votre établissement même en l’absence de transaction suspecte.

Quand il faut sortir de l’autodiagnostic

Certaines situations dépassent ce que l’autodiagnostic peut résoudre seul. Vouloir tout gérer dans son coin peut aggraver les choses ou retarder une réponse adaptée.

  • Votre messagerie principale est compromise et vous n’arrivez pas à reprendre la main. Elle est le point de récupération de la plupart de vos autres comptes. Sans elle, les procédures officielles de récupération ne fonctionnent plus. Contactez le support du service par un canal alternatif, depuis un autre compte, par téléphone, en vous déplaçant si nécessaire.
  • Des services bancaires ou financiers sont touchés. Contactez votre établissement sans attendre pour faire surveiller ou bloquer les comptes concernés. La déclaration formelle a aussi une valeur pour d’éventuelles démarches de remboursement. En cas de fraude à la carte bancaire sur internet, la plateforme Perceval permet, dans certains cas, de signaler l’incident en ligne après opposition auprès de la banque.
    • Vous souhaitez déposer plainte pour le piratage d’une boîte mail ou d’un compte de réseau social. La plateforme THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les E-Escroqueries) permet, dans certains cas, de le faire en ligne.
  • L’appareil compromis est professionnel. Informez le responsable informatique avant toute intervention. Une action non coordonnée peut perturber une investigation ou propager la compromission à l’ensemble du réseau.
  • Des données sensibles ont probablement été exposées. Données de santé, documents d’identité, données sur des tiers, leur exposition peut entraîner des obligations de déclaration, notamment auprès de la CNIL pour les professionnels.
  • Vous ne parvenez pas à qualifier l’incident ou à reprendre le contrôle. Le service public 17Cyber propose un diagnostic guidé en ligne pour identifier la situation et orienter vers l’aide adaptée. Cybermalveillance.gouv.fr reste utile pour l’information et l’orientation vers des prestataires référencés.

    • Réduire les risques

    Les mesures qui suivent relèvent de ce qu’on appelle l’hygiène de vie numérique, pas de la garantie absolue. Elles réduisent les surfaces d’attaque les plus fréquemment exploitées, documentées par les incidents traités par Cybermalveillance.gouv.fr et les analyses de vecteurs publiées par les organismes de référence.

    • Un mot de passe unique par service. C’est la mesure dont l’impact est le plus direct sur les compromissions par réutilisation d’identifiants. Une fuite chez un prestataire ne compromet alors qu’un seul compte. Un gestionnaire de mots de passe rend cette pratique praticable sans effort mnémotechnique.
    • L’authentification à deux facteurs sur les comptes les plus exposés. Messagerie principale, banque, services d’achat au minimum. Une application TOTP est préférable au SMS pour les raisons évoquées plus haut.
    • Les mises à jour système et applicatives. Une part significative des infections exploite des vulnérabilités pour lesquelles un correctif existait déjà au moment de l’attaque. Les mises à jour automatiques ferment ces fenêtres.
    • La vérification des liens avant de cliquer. L’hameçonnage reste le vecteur dominant pour les compromissions de compte. Un courriel qui vous demande de vous reconnecter quelque part, même s’il paraît légitime, mérite d’être vérifié en accédant directement au site par son adresse habituelle, sans passer par le lien fourni.
    • La prudence sur les réseaux Wi-Fi publics. Ces réseaux peuvent faire l’objet d’écoute passive du trafic non chiffré ou de faux points d’accès imitant un réseau légitime. Évitez d’y consulter des services sensibles sans précaution.
    Share This