Maxime, de Québec, s’est réveillé un mardi matin pour trouver un courriel d’alerte de Google : connexion depuis Bogotá, Colombie, 3h14 AM. Son compte Gmail — le même depuis 12 ans, lié à son compte Apple, son Netflix, sa banque, son compte LinkedIn — venait d’être accédé par quelqu’un d’autre. En état de panique, il a cherché quoi faire. Les résultats de recherche lui donnaient des guides génériques, en anglais, avec des conseils qui ne correspondaient pas à ce qu’il voyait à l’écran.
Ce guide, c’est ce qu’il aurait dû trouver ce matin-là.
Les 24 premières heures après un piratage de compte sont critiques. Ce que vous faites — ou ne faites pas — pendant cette fenêtre détermine si vous récupérez le contrôle ou si vous perdez tout accès définitivement. Voici la procédure, étape par étape, sans détour.
Étape 0 : Respirez et évaluez la situation (5 minutes)
Avant d’agir dans la panique, une minute pour comprendre ce qui se passe réellement.
Posez-vous ces questions :
- Est-ce que j’ai encore accès au compte? (Mot de passe fonctionne toujours?)
- Quels comptes sont potentiellement liés à ce compte compromis? (Réinitialisation de mot de passe par courriel = tous les comptes qui utilisent ce courriel sont vulnérables)
- Y a-t-il déjà des dommages visibles? (Transactions, messages envoyés, informations modifiées)
La réponse à ces questions détermine l’ordre de vos actions. Si votre compte courriel est piraté, c’est la priorité absolue — c’est la clé qui ouvre toutes les autres portes.
Indice de gravité rapide :
- Compte moins important (forum, jeu vidéo) → procédure standard, pas d’urgence extrême
- Compte courriel principal → urgence haute, agir maintenant
- Compte bancaire ou financier → urgence maximale, appel téléphonique immédiat
Étape 1 : Sécurisez votre appareil d’abord
Avant de changer quoi que ce soit sur vos comptes, vérifiez que l’appareil depuis lequel vous agissez n’est pas lui-même compromis. Agir depuis un téléphone ou ordinateur infecté par un malware ne sert à rien — le pirate verra tout en temps réel.
Sur votre téléphone :
- Vérifiez les applications récemment installées (surtout si vous ne les reconnaissez pas)
- Sur Android : Paramètres > Sécurité > Administrateurs de l’appareil — aucune app inconnue ne doit avoir ces droits
- Sur iPhone : Paramètres > Vie privée et sécurité > vérifiez les accès suspects
Sur votre ordinateur :
- Si vous avez un antivirus à jour, lancez un scan rapide
- Vérifiez les extensions de navigateur — des extensions malveillantes peuvent capturer vos mots de passe en temps réel
- Chrome : Menu > Plus d’outils > Extensions | Firefox : Menu > Modules complémentaires
Si vous avez le moindre doute sur l’appareil, utilisez un autre appareil de confiance (téléphone d’un proche, ordinateur au bureau) pour effectuer les changements critiques.
Étape 2 : Compte Google compromis — procédure complète
Google est souvent le compte central de tout l’écosystème numérique. Voici quoi faire selon deux scénarios.
Scénario A : Vous avez encore accès
- Accédez immédiatement à myaccount.google.com/security
- Sous “Activité récente de sécurité”, examinez les connexions — cliquez sur “Vérifier l’activité”
- Si vous voyez une activité suspecte → cliquez “Non, ce n’était pas moi” pour chaque entrée douteuse
- Changez votre mot de passe maintenant : Paramètres > Sécurité > Mot de passe
- Utilisez 16+ caractères, aucun mot de passe réutilisé
- Stockez-le dans un gestionnaire de mots de passe (Bitwarden ou 1Password sont les options recommandées)
- Vérifiez les appareils connectés : myaccount.google.com/device-activity
- Déconnectez tous les appareils que vous ne reconnaissez pas
- Vérifiez les accès d’applications tierces : myaccount.google.com/permissions
- Révoquez tout ce que vous ne reconnaissez pas
- Activez la vérification en deux étapes si ce n’est pas déjà fait — et pas via SMS si possible (les SMS sont vulnérables au SIM swapping)
- Vérifiez les filtres de votre Gmail (Paramètres > Voir tous les paramètres > Filtres) — les pirates créent souvent des filtres pour rediriger ou supprimer des courriels de sécurité
Scénario B : Vous avtes perdu l’accès
Rendez-vous sur accounts.google.com/signin/recovery
Google va vous poser des questions de vérification basées sur :
- L’adresse de récupération ou le numéro de téléphone associé au compte
- La date à laquelle vous avez créé le compte
- L’ancien mot de passe
- La localisation habituelle d’utilisation
Soyez aussi précis que possible. Si vous échouez à la récupération automatique, il existe un formulaire de recours : support.google.com/accounts/contact/recovery_form
Astuce critique : Google donne souvent plus de confiance aux tentatives de récupération effectuées depuis un appareil ou une connexion Internet que vous avez déjà utilisé par le passé. Essayez depuis votre domicile habituel, pas depuis un VPN.
Étape 3 : Compte Facebook/Instagram compromis — procédure
Meta (Facebook et Instagram partagent la même infrastructure de compte) a ses propres procédures.
Si vous avez encore accès
- Allez sur facebook.com/settings/security
- Cliquez “Où vous êtes connecté” — examinez toutes les sessions actives
- Cliquez “Déconnecter toutes les sessions” puis “Se déconnecter de toutes les sessions”
- Changez votre mot de passe immédiatement
- Activez l’authentification à deux facteurs (Paramètres > Sécurité et connexion > Authentification à deux facteurs)
- Vérifiez les applications connectées (Paramètres > Applis et sites web) — révoquez les accès inconnus
- Vérifiez votre adresse courriel et numéro de téléphone de récupération — le pirate a peut-être déjà modifié ces informations
- Consultez “Activité hors Meta” pour voir si des données ont été partagées avec des tiers sans votre consentement
Si vous avez perdu l’accès
Facebook a un portail de récupération spécifique : facebook.com/hacked
Ce portail vous guide selon votre situation : compte totalement verrouillé, compte utilisé pour envoyer du spam, identité usurpée, etc. La récupération peut prendre plusieurs jours si Meta exige une vérification d’identité (pièce d’identité à soumettre).
Attention : De nombreuses arnaques se font passer pour le “support Facebook”. Meta ne vous contactera jamais par Messenger pour récupérer votre compte. Méfiez-vous de tout message non sollicité à ce sujet.
Étape 4 : Compte courriel (Outlook, Hotmail, Bell, Videotron) compromis
Microsoft (Outlook, Hotmail, Live)
- Rendez-vous sur account.live.com/password/reset si vous n’avez plus accès
- Avec accès : account.microsoft.com/security > “Activité de connexion récente”
- Déconnectez toutes les sessions : account.microsoft.com/devices
- Vérifiez les règles de boîte de réception — un pirate peut créer des règles pour transférer vos courriels en silence
Bell, Videotron, Desjardins, et autres fournisseurs québécois
Ces fournisseurs ont leurs propres procédures. La règle universelle :
- Appel téléphonique direct au service client — ne pas utiliser les liens dans les courriels d’alerte (ils pourraient être du phishing)
- Ayez en main : votre numéro de client, votre date de naissance, et votre code postal
- Demandez explicitement à réinitialiser le mot de passe ET à vérifier si des redirections de courriel ont été configurées
Étape 5 : Compte bancaire compromis — priorité absolue
Si vous soupçonnez que vos comptes Desjardins, TD, BMO, RBC, National ou Banque Laurentienne ont été compromis, c’est une urgence financière.
Appelez maintenant — ne cherchez pas à le faire en ligne :
| Institution | Ligne fraude |
|---|---|
| Desjardins | 1-800-CAISSES (224-7737) |
| TD | 1-866-222-3456 |
| BMO | 1-877-225-5266 |
| RBC | 1-800-769-2555 |
| National | 1-888-483-5628 |
| Banque Laurentienne | 1-800-252-1846 |
Ce que vous devez demander lors de l’appel :
- Bloquer temporairement l’accès en ligne
- Examiner toutes les transactions des 30 derniers jours
- Annuler et remplacer les cartes de débit/crédit concernées
- Activer les alertes de transaction en temps réel
- Vérifier si des changements ont été apportés à vos informations de contact (courriel, téléphone)
Concernant le gel de crédit : Si vous craignez l’ouverture frauduleuse de nouveaux comptes à votre nom, un gel de crédit chez Equifax et TransUnion est la mesure la plus efficace. C’est gratuit au Canada. Guide complet sur le gel de crédit.
Étape 6 : Vérifiez l’étendue des dommages
Une fois le compte sécurisé, evaluez ce que le pirate a pu voir ou faire.
Questions à vous poser :
- Y a-t-il des courriels envoyés à vos contacts depuis votre compte? (Spam, phishing à vos proches)
- Des fichiers ont-ils été téléchargés depuis votre Google Drive ou OneDrive?
- Des achats ont-ils été effectués avec vos méthodes de paiement sauvegardées?
- Vos informations personnelles ont-elles été modifiées (adresse, date de naissance)?
Vérifiez vos autres comptes en cascade :
Si votre courriel était compromis, assumez que n’importe quel compte qui utilise “réinitialiser le mot de passe par courriel” pourrait avoir été accédé. Dressez la liste de vos comptes importants et vérifiez l’historique de connexion de chacun.
Utilisez haveibeenpwned.com pour savoir si votre adresse courriel figure dans des fuites de données connues — cela peut expliquer comment le pirate a obtenu votre mot de passe. Notre guide sur la surveillance du dark web détaille comment configurer des alertes automatiques.
Étape 7 : Signalez l’incident
Beaucoup de gens sautent cette étape. C’est une erreur — les signalements alimentent les bases de données qui aident à protéger d’autres Canadiens.
Centre antifraude du Canada (CAFC)
Site : antifraudcentre-centreantifraude.ca
Téléphone : 1-888-495-8501 (lundi-vendredi, 9h-16h45 EST)
Le CAFC compile les données sur les fraudes au Canada. En 2024, ils ont reçu plus de 70 000 signalements pour des pertes totales dépassant 638 millions de dollars — et la majorité des victimes ne signalent jamais.
Votre corps de police local
Si des transactions frauduleuses ont eu lieu, si votre identité a été usurpée, ou si des personnes de votre entourage ont reçu des messages malveillants depuis votre compte, une plainte formelle auprès du Service de police de la Ville de Québec (SPVQ), du SPVM, ou de votre poste local est justifiée. Demandez un numéro de rapport — vous en aurez besoin pour les démarches auprès de votre banque ou d’un assureur.
Si des crimes informatiques sont impliqués
La GRC (cybercentre.ca) gère les incidents de cybercriminalité plus graves. Le Centre canadien pour la cybersécurité (CCCS) à cyber.gc.ca accepte aussi les signalements.
Étape 8 : Prévenez vos contacts proches
Si votre compte a été utilisé pour envoyer des messages à vos contacts — arnaque, phishing, demandes d’argent urgentes — avertissez vos proches rapidement.
Un message simple suffit : “Mon compte [courriel/Facebook] a été piraté ce matin. Si vous avez reçu un message suspect de ma part, ignorez-le et ne cliquez sur aucun lien. Je reprends le contrôle de la situation.”
Pas besoin d’entrer dans les détails. L’essentiel est que vos contacts sachent ne pas interagir avec des messages qui semblaient venir de vous.
Étape 9 : Renforcez la sécurité — maintenant, pas demain
Une fois la crise passée, c’est le bon moment pour corriger ce qui a permis l’incident.
Mots de passe
Si vous utilisiez le même mot de passe sur plusieurs sites, c’est probablement ce qui a permis le piratage. Un mot de passe volé lors d’une fuite sur un site mineur a servi à accéder à votre compte principal. C’est la réutilisation des mots de passe, et c’est le problème numéro un en cybersécurité grand public.
La solution : un gestionnaire de mots de passe. Un seul mot de passe maître, tous les autres générés aléatoirement et uniques. Comparatif des gestionnaires pour le Québec en 2026.
Authentification à deux facteurs (2FA)
Activez-la partout où c’est possible. Mais pas par SMS si vous pouvez l’éviter — les SMS sont vulnérables au SIM swapping, une fraude où quelqu’un convainc votre opérateur de transférer votre numéro de téléphone. Comparaison SMS vs application d’authentification.
Préférez une application comme Ente Auth, Aegis (Android) ou Raivo (iOS).
Surveillez vos comptes sur le dark web
Configurez des alertes sur haveibeenpwned.com — vous serez avisé automatiquement si votre adresse courriel apparaît dans une nouvelle fuite de données. Guide complet dark web et fuites de données.
Cas particulier : compte de travail compromis
Si le compte piraté est un compte professionnel (Microsoft 365, Google Workspace, compte VPN d’entreprise), la procédure est différente.
Contactez immédiatement :
- Votre responsable informatique ou département IT
- Ne tentez pas de régler la situation seul — les comptes d’entreprise peuvent avoir des politiques de récupération spécifiques
- Documentez tout (heure de découverte, activités suspectes observées, actions prises)
Les entreprises au Québec ont des obligations légales sous la Loi 25 concernant la déclaration des incidents de confidentialité à la Commission d’accès à l’information (CAI) si des données personnelles de clients ou employés ont été exposées.
Ce que vous ne devriez pas faire
Autant que les bonnes pratiques, certaines erreurs courantes aggravent la situation :
Ne payez pas de rançon. Certains pirates envoient des messages affirmant avoir des données compromettantes et demandant un paiement en crypto. Dans 90% des cas, c’est du bluff basé sur des listes de mots de passe volés. Payer n’arrête rien et finance davantage d’arnaques.
Ne cherchez pas à “contre-attaquer”. Tenter d’accéder au compte du pirate ou de le tracer vous-même est illégal au Canada, peu importe la provocation. Laissez ça aux autorités.
Ne réutilisez pas l’ancien mot de passe. Évident, mais nombreux sont ceux qui, après récupération, remettent le même mot de passe avec un chiffre différent à la fin.
Ne supposez pas que c’est réglé après un seul changement de mot de passe. Vérifiez les sessions actives, les applications tierces connectées, les règles de courriel, et les informations de récupération modifiées.
Checklist complète — à imprimer ou sauvegarder
Dans l’heure :
- Vérifier l’appareil utilisé pour les actions (pas infecté)
- Changer le mot de passe du compte compromis
- Déconnecter toutes les sessions actives
- Vérifier et révoquer les applications tierces connectées
- Appeler la banque si données financières impliquées
Dans les 6 heures :
- Activer ou vérifier la 2FA (application, pas SMS)
- Vérifier les règles de courriel et les redirections
- Vérifier les informations de récupération (courriel et téléphone)
- Changer les mots de passe des comptes liés (même courriel de récupération)
- Prévenir les contacts proches si messages envoyés depuis le compte
Dans les 24 heures :
- Signaler au Centre antifraude du Canada
- Vérifier haveibeenpwned.com
- Déposer une plainte policière si nécessaire (et obtenir un numéro de rapport)
- Évaluer si un gel de crédit est justifié
- Configurer un gestionnaire de mots de passe si ce n’est pas déjà fait
Besoin d’aide pour sécuriser vos comptes?
Si vous êtes dépassé par la situation, que vous n’arrivez pas à récupérer un compte, ou que vous voulez un audit complet de votre sécurité numérique pour éviter que ça recommence — notre équipe chez Sequr peut vous aider.
On travaille avec des particuliers et des PME du Québec pour sécuriser leurs comptes, former leurs équipes, et mettre en place les bonnes protections.
On parle de vrai, en français, sans jargon inutile.
