Skip to content
Email Tools

guide · Gmail Security & 2FA

Compte Gmail piraté : 10 étapes pour le sécuriser rapidement

Compte Gmail piraté ? Récupérez l'accès en 30 minutes : mot de passe, validation 2 étapes, audit des filtres, transferts et applis tierces.

Alexis Dollé Par Alexis Dollé · ·
Compte Gmail piraté : 10 étapes pour le sécuriser rapidement

En 2024, Google a annoncé que les clés d’accès (passkeys) avaient été utilisées plus d’un milliard de fois sur plus de 400 millions de comptes — un déploiement massif motivé en partie par le volume persistant de piratages de comptes que les mots de passe traditionnels ne peuvent pas endiguer. Si votre Gmail montre des signes de compromission en ce moment — des emails envoyés depuis votre compte que vous n’avez pas rédigés, un mot de passe modifié que vous ne reconnaissez pas, une alerte de connexion depuis une ville où vous n’êtes jamais allé — les 30 prochaines minutes sont la fenêtre la plus importante. Agissez vite et vous pouvez verrouiller l’attaquant avant qu’il installe une persistance qui survit à un changement de mot de passe. Ce guide couvre chaque étape : les 30 premières minutes, les 24 heures suivantes, et la posture sécurisée pour que ça n’arrive plus.

Comment savoir si votre Gmail est vraiment compromis

Un compte Gmail compromis présente au moins l’un de ces signaux : des emails dans les envois que vous n’avez pas rédigés, des appareils inconnus dans votre tableau de bord de sécurité, un mot de passe ou un contact de récupération modifié sans votre action, des contacts qui reçoivent du spam depuis votre adresse, des achats non autorisés sur Google Pay, ou des filtres et règles de transfert Gmail que vous n’avez pas créés. Un seul signal justifie une investigation ; deux ou plus confirment la compromission.

Toutes les alertes ne sont pas des compromissions réelles. Une alerte de connexion depuis une ville inconnue peut correspondre à votre point de sortie VPN ; une notification « connexion suspecte bloquée » signifie que Google a intercepté la tentative avant que l’attaquant entre. La distinction compte car la réponse est différente.

Signaux définitifs d’une compromission :

  • Des emails apparaissent dans vos envois que vous n’avez pas rédigés
  • Votre mot de passe Google, votre téléphone ou email de récupération a été modifié sans votre action — Google envoie des alertes automatiques à votre contact de récupération dans ce cas
  • L’alerte de sécurité Google indique « Nouvelle connexion sur [appareil] à [lieu] » et vous ne la reconnaissez pas, ET la connexion n’a pas été bloquée
  • Des filtres Gmail apparaissent que vous n’avez pas créés — notamment ceux qui marquent les emails de sécurité comme lus, les archivant ou les transfèrent vers une adresse inconnue
  • Vos contacts reçoivent du spam, des liens de phishing ou des demandes d’argent qui semblent venir de votre adresse Gmail
  • Votre compte Google Pay affiche des transactions non autorisées
  • Votre liste de délégués Gmail comprend une adresse email que vous ne reconnaissez pas

Signaux qui semblent alarmants mais ne constituent pas forcément une compromission :

  • « Connexion suspecte bloquée » — Google a stoppé la tentative ; enquêtez quand même
  • Une connexion depuis une ville inconnue qui correspond à un VPN ou à un voyage
  • Un avertissement d’accès par « application moins sécurisée » — c’est un problème de configuration, pas nécessairement un attaquant actif

Si vous voyez l’un des signaux définitifs, traitez-le comme confirmé et passez immédiatement à la section suivante. La rapidité prime sur la certitude.

Les 30 premières minutes : reprendre le contrôle

La priorité dans les 30 premières minutes est de vous connecter sur accounts.google.com, de consulter le panneau d’activité de sécurité, de vous déconnecter de toutes les autres sessions, puis de changer votre mot de passe. Faites ces quatre choses avant tout le reste — dans cet ordre. Chaque autre étape de ce guide suppose que vous avez repris le contrôle exclusif de la session.

Étape 1 : connectez-vous sur accounts.google.com

Ouvrez un navigateur que vous faites confiance, sur un appareil que vous faites confiance (pas un ordinateur public ou partagé). Rendez-vous directement sur accounts.google.com — ne cliquez pas sur un lien dans un email, car un email de phishing peut vous avoir envoyé vers une fausse page de connexion identique à celle de Google. Tapez l’URL.

Si vous pouvez vous connecter : passez directement à l’étape 2.

Si vous ne pouvez pas vous connecter (mot de passe refusé ou informations de récupération modifiées) : passez directement à la section récupération.

Étape 2 : vérifiez l’activité de sécurité

Une fois connecté, rendez-vous sur myaccount.google.com/security. Examinez :

  • Événements de sécurité récents — tout changement de mot de passe, modification des informations de récupération, ou nouvelle autorisation d’application que vous ne reconnaissez pas
  • Vos appareils — chaque appareil actuellement connecté à votre compte est listé ici. Identifiez ceux que vous ne possédez pas ou ne reconnaissez pas.

Cliquez sur chaque entrée inconnue. Si vous voyez un appareil que vous ne possédez pas : cliquez sur « Déconnecter » cet appareil spécifique, ou utilisez « Se déconnecter de toutes les autres sessions » (décrit à l’étape 3).

Étape 3 : déconnectez toutes les autres sessions

Dans Gmail, cliquez sur l’icône de roue dentée > Voir tous les paramètres > faites défiler jusqu’au bas de l’onglet Général > Cliquez sur « Se déconnecter de toutes les autres sessions Web Gmail ». Cela met fin à chaque session Gmail active sauf celle que vous utilisez maintenant.

Pour une déconnexion au niveau de l’ensemble du compte : myaccount.google.com/security > Vos appareils > cliquez sur chaque appareil > Déconnecter.

Étape 4 : ne touchez à rien d’autre pour l’instant

Résistez à l’envie de changer votre mot de passe, d’activer la 2FA ou de supprimer des emails suspects avant d’avoir déconnecté toutes les autres sessions. Si vous changez le mot de passe pendant que l’attaquant a une session active, certains accès basés sur des jetons peuvent persister. Déconnectez d’abord, changez ensuite.

Si vous êtes entièrement bloqué : la récupération de compte

Si un attaquant a changé votre mot de passe avant que vous puissiez agir, rendez-vous sur g.co/recover. Le processus de récupération de compte Google vérifie votre identité via les mots de passe précédents dont vous vous souvenez, un numéro de téléphone de récupération (si vous avez encore cette SIM), un email de sauvegarde, ou un appareil de confiance toujours connecté. Commencez la récupération dès que vous constatez le blocage — la confiance de récupération de Google diminue plus l’attaquant contrôle le compte longtemps.

Le processus de récupération est conçu pour fonctionner même lorsqu’un attaquant a changé votre email et téléphone de récupération. Google utilise plusieurs signaux :

  • Un numéro de téléphone de récupération ajouté avant l’attaque — si vous avez encore cette SIM, Google y envoie un code. Cela fonctionne même si l’attaquant a changé le téléphone de récupération, tant qu’il n’a pas encore porté votre numéro.
  • Un appareil de confiance précédemment utilisé — si vous avez un téléphone ou une tablette qui était connecté à ce compte Google avant la compromission et n’a pas encore été déconnecté, Google peut l’utiliser pour vous vérifier.
  • Les mots de passe précédents dont vous vous souvenez — Google vous demande des mots de passe que vous avez utilisés sur le compte dans le passé. Essayez tout mot de passe que vous avez utilisé au cours de la dernière année.
  • Votre date de création de compte et vos habitudes d’utilisation récentes de Gmail — Google pose des questions sur l’historique de votre compte pour vérifier que vous êtes le propriétaire d’origine.

Si la récupération réussit : vous serez invité à définir un nouveau mot de passe immédiatement. Faites-le, puis revenez à ce guide à la section filtres — vous devez encore auditer les mécanismes de persistance installés par l’attaquant.

Si la récupération échoue à la première tentative : réessayez depuis un autre appareil (un téléphone précédemment connecté, ou un second ordinateur). Le processus de récupération génère une plus grande confiance quand la demande provient d’un appareil que Google a déjà vu.

Si vous ne pouvez pas récupérer le compte du tout et qu’il contient des données professionnelles critiques, déposez une demande de support via le portail d’assistance Google Workspace (si vous êtes sur un forfait payant) ou via le formulaire de récupération de compte Google pour les comptes personnels.

Changer son mot de passe — correctement

Après avoir déconnecté toutes les sessions, changez votre mot de passe Gmail sur myaccount.google.com/security. Utilisez un mot de passe d’au moins 16 caractères, unique à ce compte, et sans aucune information personnelle. Un gestionnaire de mots de passe est la seule solution pratique pour maintenir un mot de passe fort et unique par compte — sans lui, la plupart des gens réutilisent les mots de passe, ce qui est la cause principale des compromissions.

Rendez-vous sur myaccount.google.com/security > Mot de passe > saisissez votre nouveau mot de passe.

Ce qui fait un mot de passe solide dans ce contexte :

  • Au moins 16 caractères — la longueur bat la complexité
  • Aucun mot de votre vie : ni prénom, ni animal de compagnie, ni date d’anniversaire, ni ville, ni employeur
  • Jamais réutilisé sur aucun autre site — l’attaquant qui a compromis votre Gmail va immédiatement essayer ce mot de passe sur votre banque, Amazon, PayPal, et vos réseaux sociaux
  • Généré par un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) plutôt qu’inventé par vous

Ce qu’il faut faire immédiatement après le changement :

  • Mettez à jour le mot de passe sauvegardé dans votre gestionnaire de mots de passe
  • Reconnectez-vous à Gmail sur chacun de vos appareils de confiance — vous y serez invité automatiquement
  • Ne partagez le nouveau mot de passe avec personne, y compris toute personne prétendant être le support Google

Pour plus de détails sur le processus de changement de mot de passe lui-même, consultez notre guide complet : comment changer votre mot de passe Gmail en toute sécurité.

Essayer Mailbird gratuitement

Activer la validation en deux étapes et ajouter une clé d’accès

La validation en deux étapes (2SV) est la modification la plus efficace pour éviter une nouvelle compromission. Même si un attaquant obtient à nouveau votre mot de passe, il ne peut pas se connecter sans le second facteur. Les options les plus solides de Google sont les clés d’accès (résistantes au phishing, liées à la biométrie de votre appareil) et les clés de sécurité physiques. Les codes SMS sont la forme de 2SV la plus faible et peuvent être interceptés via des attaques de SIM swap.

Rendez-vous sur myaccount.google.com/signinoptions/two-step-verification pour la configuration.

Niveau 1 — Clés d’accès (recommandé) : Google a supporté les clés d’accès depuis 2023, et en 2024 a traité plus d’un milliard d’authentifications par clé d’accès. Une clé d’accès est une clé cryptographique stockée sur votre appareil (téléphone, ordinateur portable, YubiKey). Elle est liée à votre biométrie (Face ID, empreinte digitale, Windows Hello) et ne transite jamais vers aucun serveur — ce qui signifie qu’elle ne peut pas être hameçonnée, interceptée, ni fuiter dans une violation de données. Ajoutez d’abord une clé d’accès pour votre appareil principal, puis un deuxième appareil ou une clé physique comme sauvegarde.

Niveau 2 — Clé de sécurité physique (YubiKey, Google Titan) : Une clé USB ou NFC physique que vous branchez ou tapotez pour confirmer la connexion. Oblige l’attaquant à avoir à la fois votre mot de passe et la clé physique en main.

Niveau 3 — Google Authenticator ou une app TOTP (Authy, 1Password TOTP) : Un code à 6 chiffres qui change toutes les 30 secondes. Hameçonnable en temps réel par un attaquant habile, mais bien meilleur que les SMS. Si vous utilisez cette méthode, stockez les codes de sauvegarde dans votre gestionnaire de mots de passe, pas dans Gmail.

Niveau 4 — Codes SMS : Vulnérables aux attaques de SIM swap. Utilisez les SMS uniquement si aucune autre option n’est disponible, et migrez dès que possible.

L’ANSSI recommande l’utilisation d’un second facteur fort pour tous les comptes sensibles, en privilégiant les clés de sécurité physiques ou les applications d’authentification aux SMS. Pour un guide de configuration complet, lisez notre article dédié : configuration de la validation en deux étapes Gmail.

Supprimer l’accès des applications tierces suspectes

Les applications tierces autorisées à accéder à votre compte Google conservent cet accès même après un changement de mot de passe — un jeton OAuth, une fois accordé, n’expire pas quand vous changez votre mot de passe. C’est l’un des principaux mécanismes de persistance utilisés par les attaquants. Après une compromission, auditez chaque application autorisée et révoquez tout ce que vous ne reconnaissez pas ou n’utilisez plus.

Rendez-vous sur myaccount.google.com/connections pour voir chaque application et service avec accès à votre compte Google.

Pour chaque entrée, posez-vous les questions :

  1. Est-ce que je reconnais cette application ou ce service ? Sinon, révoquez immédiatement.
  2. Quand ai-je autorisé ceci ? Un horodatage d’autorisation correspondant à une période où vous n’utilisiez pas activement le compte est un signal d’alerte.
  3. Quelles autorisations ai-je accordées ? Recherchez les applications avec « Lire et gérer votre messagerie » ou « Envoyer des emails en votre nom » — elles ont un accès complet à la boîte de réception. Révoquez toutes celles que vous n’avez pas explicitement autorisées.

Comme le souligne la documentation de Google : « Si vous partagez votre mot de passe de compte Google avec une application ou un service tiers, ils auront un accès complet à votre compte, ce qui peut compromettre la sécurité de votre compte. » Les services légitimes ne demandent jamais directement votre mot de passe Gmail — ils utilisent OAuth. Toute application qui a demandé votre mot de passe plutôt qu’un écran de consentement Google récoltait des identifiants.

Applications installées par les attaquants à surveiller :

  • Des noms génériques comme « Mail Sync », « Calendar Backup » ou « Account Manager » que vous ne vous souvenez pas avoir installés
  • Toute application d’un développeur non reconnu avec des autorisations « gérer la messagerie » ou « lire Gmail »
  • Des applications de pays ou d’organisations avec lesquels vous n’avez aucune relation

Après la révocation : l’application ne peut plus accéder à votre compte. Les données qu’elle a déjà téléchargées ne sont pas supprimées — pour les données historiques sensibles partagées avec une application malveillante, vous devez contacter le développeur directement ou, dans l’UE, déposer une demande de suppression RGPD.

Auditer les filtres, le transfert, la délégation et la réponse automatique

Les attaquants installent systématiquement des filtres Gmail et des règles de transfert dès leur premier accès — cette persistance survit à un changement de mot de passe et leur permet de continuer à lire votre boîte de réception silencieusement pendant des mois. Vérifiez ces quatre paramètres dans Gmail avant de considérer le compte sécurisé : filtres, adresses de transfert, comptes délégués, et texte de réponse automatique vacances.

Ces paramètres se trouvent dans Gmail > icône roue dentée > Voir tous les paramètres.

Onglet Filtres et adresses bloquées : Recherchez tout filtre que vous n’avez pas créé. Patterns d’attaquants courants :

  • Un filtre correspondant à from:(google.com OR accounts.google.com) avec l’action « Supprimer » ou « Ignorer la boîte de réception » — cela masque les propres alertes de sécurité de Google
  • Un filtre qui transfère tout le courrier vers une adresse externe
  • Un filtre qui marque tout le courrier entrant comme lu pour que vous ne puissiez pas voir le point rouge

Supprimez tous les filtres que vous ne reconnaissez pas.

Onglet Transfert et POP/IMAP : Regardez la section « Transfert ». Toute adresse email externe listée ici signifie que chaque email que vous recevez est copié vers cette adresse en temps réel. Supprimez toute adresse de transfert que vous n’avez pas ajoutée.

Vérifiez également les paramètres de téléchargement POP et d’accès IMAP si vous utilisez un client de messagerie bureau — bien que moins souvent exploités, un attaquant peut configurer un accès IMAP pour extraire toute votre boîte aux lettres.

Onglet Comptes et importation — « Accorder l’accès à votre compte » : C’est la délégation Gmail. Toute adresse email listée ici peut lire, envoyer et supprimer des emails comme si c’était vous. C’est le mécanisme de persistance le plus dangereux car l’accès délégué ne nécessite pas votre mot de passe et est invisible dans la plupart des clients de messagerie. Supprimez chaque adresse déléguée que vous n’avez pas explicitement ajoutée vous-même.

Onglet Général — Réponse automatique vacances : Un attaquant peut avoir installé une réponse automatique qui dit à tous ceux qui vous écrivent où vous êtes, ou qui récolte des confirmations de réponse pour valider que votre adresse est active. Vérifiez et désactivez si active.

Vérifier votre email et téléphone de récupération

Les informations de récupération — un email de sauvegarde et un numéro de téléphone de récupération — sont la clé pour récupérer le compte si vous êtes à nouveau bloqué. Après une compromission, vérifiez que les deux pointent vers des adresses et numéros que vous contrôlez réellement. Un attaquant qui a ajouté son propre téléphone de récupération dispose d’une porte dérobée permanente même après que vous avez changé votre mot de passe.

Rendez-vous sur myaccount.google.com/security et faites défiler jusqu’à la section « Comment vous vous connectez à Google », puis « Comment nous pouvons vérifier que c’est vous ».

Vérifiez :

  • Email de récupération : Affiche-t-il une adresse que vous possédez et consultez activement ? Si une adresse inconnue apparaît, supprimez-la immédiatement et ajoutez la vôtre.
  • Téléphone de récupération : Le numéro listé est-il votre SIM active actuelle ? Si un numéro inconnu apparaît, supprimez-le.
  • Appareils de confiance : Tous les appareils listés sont-ils les vôtres et dignes de confiance ?

Après avoir confirmé que ces informations sont correctes : ajoutez un deuxième email de récupération si vous n’en avez pas déjà un. Plus vous avez de voies de récupération, moins l’attaquant a de levier.

Évaluer les dégâts : envois, spam, et services connectés

Une fois le compte lui-même sécurisé, auditez l’étendue des dégâts. Vérifiez les envois pour tout email que l’attaquant a envoyé depuis votre adresse, vérifiez le spam pour tout email suspect que l’attaquant a reçu et supprimé, consultez l’activité Google pour toutes les actions effectuées pendant qu’il avait accès, et surtout — identifiez chaque service où Gmail est votre adresse de réinitialisation de mot de passe, car chacun de ces comptes est maintenant en danger.

Dossier Envois de Gmail : Triez par date et examinez la période de la compromission présumée. L’attaquant a-t-il envoyé des emails en se faisant passer pour vous — demandant à vos contacts de l’argent, des cartes cadeaux, des mots de passe ? A-t-il envoyé des liens de phishing ? A-t-il envoyé des emails de test pour vérifier que le compte fonctionnait ?

Spam et corbeille de Gmail : Les attaquants envoient parfois à eux-mêmes des emails de réinitialisation de mot de passe pour d’autres services, puis les suppriment. Triez le Spam et la Corbeille par date et recherchez des emails de confirmation de réinitialisation de mot de passe provenant de banques, PayPal, Amazon, réseaux sociaux, ou tout service que vous utilisez.

Activité Google : Rendez-vous sur myactivity.google.com et passez en revue les recherches, les vues YouTube, les recherches Maps et l’activité Google Shopping pendant la fenêtre de compromission. Cela vous dit ce que l’attaquant a cherché.

Services connectés — l’étape la plus importante : Dressez la liste (mentale ou écrite) de chaque service où vous avez jamais :

  • Utilisé « Se connecter avec Google »
  • Défini votre adresse Gmail comme email de connexion
  • Défini votre adresse Gmail comme adresse de réinitialisation de mot de passe

Pour chacun de ces services, un attaquant avec accès à votre Gmail aurait pu demander une réinitialisation de mot de passe, intercepter l’email, et changer le mot de passe de ce compte avant que vous ne remarquiez quoi que ce soit. Commencez par les comptes à risque le plus élevé : banque, investissement, PayPal et services de paiement, Apple ID, SSO professionnel, registraires de noms de domaine. Changez les mots de passe de ces comptes maintenant.

Prévenir vos contacts

Si l’attaquant a envoyé des emails depuis votre compte — à vos contacts, collègues, famille — ces personnes ont peut-être cliqué sur des liens malveillants, répondu avec des informations sensibles, ou envoyé de l’argent. Une notification brève et honnête est la bonne chose à faire, et elle protège les personnes qui vous font confiance.

Ce qu’il faut leur dire :

  • Votre compte Gmail a été compromis entre [date] et [date]
  • Tout email de votre adresse pendant cette période demandant de l’argent, des cartes cadeaux, des mots de passe, ou leur demandant de cliquer sur un lien doit être traité comme frauduleux
  • Ils ne doivent cliquer sur aucun lien dans ces emails et doivent changer leur propre mot de passe s’ils ont saisi des identifiants
  • S’ils ont envoyé de l’argent ou des cartes cadeaux, ils doivent contacter leur banque ou l’émetteur de la carte cadeau immédiatement

Pas besoin de sur-expliquer ou de s’excuser excessivement. Une note courte et factuelle envoyée depuis votre compte nouvellement sécurisé est suffisante. Si cela s’est produit dans un contexte professionnel, prévenez votre équipe IT ou de sécurité — ils doivent savoir afin de vérifier si l’attaquant s’est propagé aux systèmes internes.

Sécurité continue : que faire dans les 30 prochains jours

Sécuriser le compte dans les 30 premières minutes stoppe l’hémorragie immédiate. Les 30 prochains jours consistent à supprimer tout chemin de retour et à construire les habitudes qui préviennent une récidive. Les trois actions les plus efficaces sont : utiliser un gestionnaire de mots de passe pour chaque compte, conserver des clés d’accès ou une clé de sécurité physique comme méthode 2FA, et effectuer un bilan de sécurité Google mensuel.

Semaine 1 :

  • Effectuez le bilan de sécurité Google — la liste de contrôle guidée de Google qui passe en revue les appareils, les applications connectées et les informations de récupération en une seule session
  • Changez les mots de passe sur chaque service où Gmail était l’adresse de réinitialisation, en commençant par les comptes financiers
  • Configurez un gestionnaire de mots de passe si vous n’en avez pas — Bitwarden (gratuit, open-source) est un point de départ solide
  • Activez la 2FA sur chaque service qui la supporte, en commençant par votre banque, puis les réseaux sociaux, puis tout le reste

Semaines 2 à 4 :

  • Effectuez à nouveau le bilan de sécurité Google pour confirmer qu’il n’y a pas eu de nouvelle compromission
  • Auditez tout email reçu pendant la fenêtre de compromission pour voir si l’attaquant a déclenché d’autres actions sur des comptes que vous avez manquées lors de la première revue
  • Pensez à un client de messagerie bureau qui s’authentifie via OAuth moderne (pas un mot de passe stocké) — ainsi, même si une application tierce est compromise, elle n’expose pas directement votre mot de passe Google. Mailbird sur Windows gère Gmail via OAuth nativement.
Essayer Mailbird gratuitement

En continu (mensuel) :

  • Effectuez le bilan de sécurité Google le premier lundi de chaque mois — cela prend deux minutes
  • Passez en revue les applications connectées tous les 90 jours et supprimez tout ce que vous n’utilisez plus
  • Vérifiez haveibeenpwned.com pour les nouvelles violations impliquant votre adresse email

Ce que ce guide ne couvre pas

Ce guide couvre les comptes Gmail individuels — personnels et Google Workspace. Il ne couvre pas :

  • La compromission au niveau de l’administrateur Google Workspace (une violation d’un compte admin nécessite de contacter le support Google Workspace et un audit complet du tenant)
  • La récupération après un SIM swap (si l’attaquant a porté votre numéro de téléphone, le processus de résolution de fraude de l’opérateur est distinct de la récupération du compte Google)
  • Les actions légales ou les signalements aux forces de l’ordre (si vous avez subi une perte financière, contactez votre unité de cybercriminalité locale — en France, l’ANSSI ou Cybermalveillance.gouv.fr)
  • La récupération de données Gmail (si l’attaquant a supprimé des emails, les éléments supprimés sont récupérables pendant 30 jours depuis la corbeille ; les administrateurs Workspace ont accès à Vault pour une rétention plus longue)
  • La simulation de phishing vs la vraie compromission (certaines équipes de sécurité d’entreprise envoient des emails de phishing de test ; si vous avez cliqué sur quelque chose de suspect sur un appareil de travail, vérifiez auprès de l’IT avant de supposer que votre Gmail personnel est impliqué)
Alexis Dollé, fondateur de Email Tools
Alexis Dollé
Fondateur & Éditeur

Alexis Dollé, expert en email depuis plus de 10 ans. Fondateur d’Email Tools. Je teste chaque client de messagerie et chaque flux de sécurité moi-même, puis j’en parle comme je l’expliquerais à un ami — sans jargon marketing, sans classements sponsorisés, chaque affirmation sourcée.

LinkedIn

Questions fréquentes

Comment savoir si mon compte Gmail a été piraté ?

Les signaux concrets : des emails dans les envois que vous n’avez pas rédigés, des appareils inconnus dans myaccount.google.com/security, un mot de passe ou une adresse de récupération modifiés sans votre action, des contacts qui reçoivent du spam depuis votre adresse, des achats non autorisés sur Google Pay, et des filtres ou règles de transfert Gmail que vous n’avez pas créés. Google envoie également des alertes automatiques à votre adresse de récupération lors de chaque nouvelle connexion.

Quelle est la première chose à faire si mon Gmail est piraté ?

Si vous pouvez encore vous connecter, allez immédiatement sur myaccount.google.com/security et cliquez sur « Vérifier l’activité de sécurité ». Déconnectez toutes les autres sessions via Paramètres Gmail > Général > défilez en bas > « Se déconnecter de toutes les autres sessions Web Gmail ». Changez ensuite votre mot de passe. Si vous êtes bloqué, rendez-vous sur g.co/recover.

Puis-je récupérer mon compte si le pirate a changé mon mot de passe et mes informations de récupération ?

Oui. Allez sur g.co/recover et suivez le processus de récupération. Google vérifie votre identité via les anciens mots de passe dont vous vous souvenez, votre téléphone de récupération (si vous avez encore la SIM), des codes envoyés à un appareil de confiance, ou des questions de sécurité. Le processus fonctionne d’autant mieux que vous agissez rapidement.

Comment les pirates maintiennent-ils l’accès même après un changement de mot de passe ?

Ils installent des mécanismes de persistance : des règles de transfert qui copient chaque email entrant vers une adresse externe, la délégation de messagerie qui leur permet de lire et d’envoyer comme s’ils étaient vous, des filtres Gmail qui auto-transfèrent ou auto-suppriment les alertes de sécurité, et des jetons OAuth d’applications tierces qui restent valides même après un changement de mot de passe. Ces quatre éléments doivent être vérifiés et supprimés.

Faut-il activer les passkeys plutôt que les SMS pour la validation en deux étapes ?

Oui. Les clés d’accès (passkeys), supportées par Google depuis 2023, sont résistantes au phishing car elles ne quittent jamais votre appareil. Les SMS peuvent être interceptés via des attaques de SIM swap. Une clé de sécurité physique (YubiKey) ou une clé d’accès est l’option la plus solide. Les SMS restent mieux que rien, mais c’est le niveau de protection le plus faible.

Quels autres comptes sont en danger si mon Gmail est compromis ?

Tous les services où vous utilisez « Se connecter avec Google » ou où Gmail est l’adresse de réinitialisation de mot de passe : banque, PayPal, Amazon, Apple ID, réseaux sociaux, outils professionnels. L’attaquant intercepte les emails de réinitialisation avant vous. Dressez la liste de tous les comptes liés à cette adresse Gmail et changez leurs mots de passe immédiatement, en commençant par les services financiers.

Sources & références
  1. Google Support — Sécuriser un compte Google piraté ou compromis. Consulté le 2026-05-18.
  2. Google Support — Gérer l’accès des applications tierces à votre compte Google. Consulté le 2026-05-18.
  3. Google — Récupération de compte : g.co/recover.
  4. ANSSI — Recommandations relatives à l’authentification multifacteur et aux mots de passe.
  5. Email Tools — Configuration de la validation en deux étapes Gmail.
  6. Email Tools — Changer son mot de passe Gmail en toute sécurité.