Semaine 16 : Le même mot de passe pour plusieurs comptes – c’est risqué

Service navigation

Recherche

Navigation

Semaine 16 : Le même mot de passe pour plusieurs comptes – c’est risqué

21.04.2026 - L’OFCS enregistre régulièrement des annonces de personnes qui, sans avoir jamais communiqué leur mot de passe à des tiers, se sont vu ravir leurs accès à des comptes en ligne. Elles ignoraient en effet qu’un mot de passe compromis pouvait ouvrir l’accès non pas à un seul, mais à plusieurs comptes. En utilisant le même code pour divers services, elles permettent aux cybercriminels de provoquer une réaction en chaîne à partir du premier compte piraté. L’option mot de passe oublié, qui leur permet de réinitialiser les données de connexion et de prendre ainsi possession d’autres comptes, est particulièrement redoutable.

Des millions d’identifiants et de mots de passe volés circulent sur internet, notamment dans le cadre de forums ouverts ou sur le Darknet. 

Attaque par bourrage d’identifiants

Les cybercriminels utilisent ces données de manière ciblée pour générer des attaques par bourrage d’identifiants (« credential stuffing »), c’est-à-dire pour tester de manière automatisée de nombreuses paires de données de connexion connues (identifiant et mot de passe) sur diverses plateformes. Cela ne demande que peu d’efforts aux auteurs, qui délèguent ce travail à de simples logiciels conçus pour effectuer des tâches répétitives (« bots »). Quiconque utilise le même mot de passe pour se connecter à divers services prend donc le risque de se faire pirater tous les comptes que ce mot protège.

Messagerie en ligne dans le collimateur

Lorsque les auteurs accèdent à une boîte aux lettres électronique, les conséquences peuvent s’avérer particulièrement désastreuses. La plupart des plateformes envoient le lien permettant de réinitialiser un mot de passe oublié par courriel ; en piratant la messagerie, les cybercriminels peuvent accéder à tous les comptes qui y sont rattachés, des réseaux sociaux en passant par les commerces en ligne.

Tactiques d’attaque

Pour ne pas éveiller les soupçons de leur cible, les cybercriminels se montrent particulièrement astucieux. Dans certains cas, ils installent en toute discrétion un ordre de transfert automatique des courriels vers leur propre messagerie, ce qui leur permet de recevoir une copie de chaque message reçu par la victime sans que celle-ci ne le remarque. Dans d’autres cas, ils submergent l’adresse d’un flot de pourriels ciblés visant à camoufler les notifications de changement d’identifiant ou de mot de passe envoyées par la plateforme abritant le compte piraté. Jusqu’à-ce que la victime remarque ce qui se passe, les auteurs ont le temps de prendre possession de plusieurs comptes.

Une fois que les données ont fuité, elles sont très souvent publiées ou vendues en grandes quantités. Des services tels que « Have I Been Pwned » permettent à chacun de vérifier si l’une des listes connues de données volées mentionne sa propre adresse électronique. Très souvent, les personnes touchées ignorent que leur adresse y figure depuis des années et que leur mot de passe est déjà en mains des cybercriminels.

Recommandations

  • Pour chacun de vos services en ligne, choisissez un mot de passe différent et robuste. Un mot de passe qui n’est utilisé qu’une seule fois ne peut être compromis qu’une seule fois.
  • Utilisez un gestionnaire de mots de passe afin de générer et de sauvegarder un mot de passe complexe différent pour chacun des services que vous utilisez. Avec cette solution, vous ne devrez vous souvenir que d’un seul mot de passe principal.
  • Partout où cela est possible, choisissez l’option d’authentification à deux facteurs. Ainsi, même dans le cas où votre mot de passe se retrouverait entre de mauvaises mains, vous éviterez un accès indu à vos données grâce à un deuxième facteur de sécurité.
  • Contrôlez régulièrement si votre adresse électronique figure parmi celles qui ont été piratées. Consultez notamment Have I Been Pwned ou Identity Leak Checker de l'Institut Hasso Plattner.
  • Si vous apprenez que l’un des services en ligne que vous utilisez a été victime d’une fuite de données, changez immédiatement votre mot de passe.
  • Veillez surtout à la sécurité de votre compte de messagerie électronique, qui ouvre l’accès à tous les autres comptes ; celui-ci devrait donc être protégé par un mot de passe unique et robuste et une authentification à deux facteurs.

Information complémentaires

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 21.04.2026

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2026/wochenrueckblick_16.html