L'email est la clé maîtresse
Presque tous les services en ligne proposent une fonctionnalité de récupération de compte par email : « Mot de passe oublié ? ». Qui contrôle votre adresse email contrôle donc potentiellement votre compte Amazon, votre application bancaire, vos réseaux sociaux, votre stockage cloud, votre compte Apple ID ou Google.
Un attaquant qui accède à votre Gmail ou à votre Outlook peut déclencher une réinitialisation de mot de passe sur n'importe quel service qui y est associé — sans connaître un seul de vos mots de passe. La solidité de votre mot de passe Gmail importe infiniment plus que celle de votre mot de passe Spotify.
C'est ce qu'on appelle le « maillon faible » en sécurité : l'attaquant ne cible pas le service le mieux protégé, il cible le service le moins protégé qui permet d'atteindre les autres.
Les attaques courantes sur les emails
Quatre vecteurs d'attaque concentrent la grande majorité des compromissions d'emails.
Le phishing ciblé est le plus fréquent : un email imitant Google, Microsoft ou Apple vous invite à vous reconnecter. La page de phishing capture vos identifiants en temps réel. Le credential stuffing exploite les bases de données de mots de passe volés sur d'autres services (Have I Been Pwned recense plus de 15 milliards de comptes exposés) — si vous réutilisez le même mot de passe, l'attaquant essaie automatiquement sur votre email. Le SIM swapping détourne votre numéro de téléphone auprès de votre opérateur pour intercepter les SMS de vérification. Le brute force cible les comptes sans 2FA avec des mots de passe simples.
Comment protéger son email
Cinq actions concrètes, classées par ordre d'impact :
- →Activer l'authentification à deux facteurs (2FA) — de préférence via une application authenticator (Google Authenticator, Authy, Aegis) plutôt que par SMS, vulnérable au SIM swapping.
- →Utiliser un mot de passe unique et long (20 caractères minimum) généré par un gestionnaire de mots de passe (Bitwarden, 1Password) — ne jamais le réutiliser ailleurs.
- →Vérifier les sessions actives régulièrement : dans Gmail, cliquer sur « Activité du compte » en bas de la page pour voir et fermer toute connexion suspecte.
- →Activer les alertes de connexion depuis un nouveau dispositif — Gmail et Outlook envoient un email ou une notification à chaque nouvelle connexion.
- →Éviter d'utiliser votre adresse email principale comme identifiant sur des sites peu connus — utilisez une adresse alias (SimpleLogin, Apple Hide My Email).
La sécurité numérique est une chaîne. Son maillon le plus faible est souvent l'email, pas le service que vous essayez de protéger. Consacrez cinq minutes aujourd'hui à activer le 2FA sur votre email principal — c'est l'action unique qui a le plus fort rapport protection/effort de toute la sécurité numérique personnelle.
Vérifier la sécurité de votre compte