comptes pirates

Gmail piraté : comment reprendre la main et tout sécuriser après

Compte Gmail compromis : récupération via Google, audit des appareils connectés, 2FA et clés de sécurité.

Par Étienne Aubry · · 10 min de lecture
Illustration : récupération d'un compte Gmail piraté

Gmail piraté : comment reprendre la main et tout sécuriser après

Le compte Gmail est, pour la grande majorité des Français, la clé de voûte de toute leur vie numérique. C’est l’adresse de récupération du compte bancaire, du compte impôts, du compte Ameli, de Facebook, d’Instagram, de Netflix, de la box internet, et de tout le reste. Quand un attaquant prend le contrôle de votre Gmail, il prend le contrôle de tout — par cascade, en cliquant simplement sur « Mot de passe oublié » de chaque service.

C’est ce qui rend le piratage Gmail particulièrement grave. Cet article vous explique comment réagir si c’est arrivé, et comment durcir le compte pour que cela ne se reproduise plus.

Reconnaître le piratage

Plusieurs signaux concrets doivent vous alerter :

  • Vous recevez un mail Google intitulé « Quelqu’un s’est connecté à votre compte » ou « Une nouvelle adresse a été ajoutée à votre compte de récupération » sans avoir rien fait.
  • Votre mot de passe habituel est refusé alors que vous êtes certain·e de l’avoir bien tapé.
  • Vos contacts vous signalent avoir reçu des e-mails étranges en votre nom (souvent des arnaques aux iPhone gratuits, des liens de phishing ou des demandes d’argent).
  • Vous découvrez dans votre dossier « Envoyés » des messages que vous n’avez pas écrits.
  • Vous trouvez un filtre Gmail nouvellement créé qui transfère automatiquement vos mails à une adresse inconnue (technique classique : l’attaquant garde une copie de tout ce qui arrive).
  • Le quota de stockage du compte explose sans raison.

Si vous voyez l’un de ces signaux, considérez le compte comme compromis jusqu’à preuve du contraire. Mieux vaut perdre 20 minutes à vérifier un faux positif que de laisser un attaquant en place 24 heures de plus.

Les premiers gestes en urgence

1. Allez sur g.co/recover depuis un appareil de confiance. C’est le portail officiel Google de récupération de compte. Saisissez votre adresse Gmail et suivez le parcours guidé. Google vous proposera, dans l’ordre : envoi d’un code SMS sur le numéro associé, envoi d’un code à votre adresse de récupération, vérification par appareil de confiance déjà connecté, puis enfin un formulaire de récupération manuel.

2. Si le mot de passe a été modifié mais que le téléphone et l’adresse de récupération sont encore les vôtres, la procédure est rapide : Google envoie un code, vous récupérez l’accès en 5 minutes. Tant que cela fonctionne, vous gagnez la course.

3. Si tout a été modifié par l’attaquant, vous entrez dans le parcours de récupération manuelle. Google vous pose une série de questions : dernier mot de passe dont vous vous souvenez, date approximative de création du compte, contacts les plus fréquents, services Google utilisés. Soyez le plus précis possible — chaque réponse exacte renforce la probabilité que Google vous restitue le compte.

4. Prévenez vos contacts proches par un autre canal que vous êtes piraté·e et qu’ils ne doivent pas suivre les liens envoyés en votre nom. C’est aussi simple qu’un SMS à votre famille et un message WhatsApp groupé à vos amis proches.

5. Vérifiez immédiatement tout filtre malveillant. Une fois que vous récupérez l’accès (par n’importe quel moyen), allez dans Paramètres → Filtres et adresses bloquées et supprimez tout filtre que vous n’avez pas créé vous-même. Les attaquants en placent presque toujours un pour conserver une copie de vos e-mails même après que vous repreniez la main.

Sécuriser le compte une fois récupéré

Le travail le plus important commence APRÈS la récupération. Si vous vous arrêtez à « j’ai retrouvé mon mot de passe », vous laissez quasi-certainement des portes ouvertes.

Audit des sessions actives

Allez sur myaccount.google.com → Sécurité → Vos appareils. Vous voyez la liste de toutes les sessions Gmail actives, par appareil et localisation. Déconnectez tout ce que vous ne reconnaissez pas. Si vous voyez une session « Téléphone Android — Hanoï, il y a 4 heures » et que vous êtes au Mans, c’est l’attaquant : déconnectez-le immédiatement.

Audit des applications tierces

Toujours dans Sécurité, allez dans « Applications tierces ayant accès à votre compte ». Vous y trouvez la liste de tout ce qui a un jeton d’accès à votre Gmail. Si un attaquant a créé une application espionne (par exemple une fausse application de productivité qui demandait l’accès à vos mails), elle est ici. Révoquez tout ce que vous ne reconnaissez pas — vous pourrez réautoriser si c’était un service légitime que vous utilisez encore.

Mots de passe d’application

Si vous aviez utilisé des « mots de passe d’application » (typiquement pour un client mail comme Thunderbird ou pour un assistant intelligent), allez dans Sécurité → Mots de passe d’application et révoquez-les tous. Recréez-en seulement si nécessaire, en sachant désormais lesquels existent.

Adresses de récupération

Vérifiez que votre adresse e-mail de récupération et votre numéro de téléphone sont bien les vôtres, et uniquement les vôtres. Un attaquant peut avoir ajouté discrètement une de ses propres adresses pour récupérer le compte plus tard. Supprimez tout ce qui n’est pas vous.

Filtres et transferts

Vérifiez à nouveau les filtres (il arrive qu’un attaquant en ajoute après votre première vérification, si la session n’a pas été complètement déconnectée). Vérifiez aussi Paramètres → Transfert et POP/IMAP : un transfert automatique vers une adresse inconnue est le signal le plus fréquent d’une compromission persistante.

La double authentification : votre meilleure protection

Une fois le ménage fait, activez la double authentification (2FA) si ce n’est pas déjà fait. C’est probablement la mesure de sécurité la plus rentable pour un particulier : un attaquant qui obtient votre mot de passe ne peut rien faire sans le second facteur.

Trois options, par ordre de robustesse croissante :

1. SMS — c’est mieux que rien, mais c’est vulnérable au SIM swap (la fraude qui a explosé de 517 % en 2025 selon Cybermalveillance.gouv.fr). À éviter si possible.

2. Application authentificatrice (Google Authenticator, Microsoft Authenticator, Authy, Bitwarden Authenticator) — gratuit, robuste, ne dépend pas de votre opérateur télécom. Recommandé pour la quasi-totalité des particuliers.

3. Clé de sécurité physique (YubiKey, Titan Security Key de Google) — le niveau ultime, recommandé si vous gérez du patrimoine numérique significatif ou si vous êtes une personne exposée (journaliste, profession libérale, élu). Compter environ 25 à 50 € par clé, achetez-en toujours deux (une principale, une de secours).

Pour le détail des activations sur tous vos comptes, voyez aussi notre guide express pour activer la 2FA partout.

Le programme Protection Avancée de Google

Si vous êtes une cible particulièrement exposée (journaliste, avocat, élu, dirigeant d’entreprise, militant), Google propose un programme gratuit appelé « Programme Protection Avancée » (g.co/advancedprotection). Il impose :

  • L’usage obligatoire de clés de sécurité physiques.
  • Une vérification d’identité supplémentaire en cas de récupération de compte.
  • Le blocage automatique des téléchargements suspects dans Gmail et Drive.

C’est gratuit, ça prend 10 minutes à activer, et c’est probablement le meilleur rapport effort/sécurité disponible pour un particulier. Le seul inconvénient : impossible de récupérer un compte protégé sans clé physique — si vous perdez vos deux clés, c’est définitif. D’où la règle d’en avoir deux, idéalement stockées séparément.

Ce qu’il ne faut pas faire

  • Ne payez personne sur Telegram, Reddit ou Discord qui promet de récupérer votre Gmail. Toujours une arnaque secondaire.
  • Ne créez pas un nouveau compte sans avoir épuisé les tentatives officielles : votre compte Gmail est lié à des centaines de services, vous perdez tout votre historique numérique.
  • Ne réutilisez pas votre ancien mot de passe : il est désormais dans les bases de fuites.
  • Ne désactivez pas la 2FA même temporairement « parce que c’est gênant ». Toute personne qui vous demande de désactiver la 2FA est probablement en train de vous arnaquer.

En résumé

Un compte Gmail piraté est plus grave qu’un compte réseau social piraté, parce qu’il déverrouille tout le reste. La procédure : rendez-vous sur g.co/recover, suivez le parcours officiel, audit complet des sessions et filtres après récupération, activation de la 2FA par application (et idéalement clés de sécurité), inscription au programme Protection Avancée si vous êtes exposé·e.

Si vous êtes au Mans ou en Sarthe et que vous voulez un audit complet de votre écosystème Google et de sa résistance à un piratage (avant qu’il n’arrive, ou après pour faire le ménage), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne), à votre domicile, en 1h30. Le détail des étapes est sur la page audit. Premier contact toujours gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Audit Sérénité Solo

Un état des lieux complet de votre hygiène numérique, à votre rythme, à votre domicile. Repartez avec un plan d'action clair et une checklist papier signée.

Réserver un audit Solo

149 € — 74,50 € après déduction fiscale