Réinitialiser tous ses mots de passe après piratage : ordre de priorité 2026

Vous venez de recevoir une alerte de connexion suspecte, un service vous a forcé une déconnexion globale, ou vous découvrez votre adresse dans une grosse fuite annoncée la veille. Première réaction : changer tous vos mots de passe. Mais dans quel ordre ? Ce guide donne la séquence exacte pour 2026, en limitant le risque qu’un attaquant exploite la fenêtre entre la fuite et votre nettoyage.

Pourquoi l’ordre compte (vraiment)

Un piratage moderne n’est presque jamais ciblé sur un seul compte. Une fois qu’un attaquant accède à un mot de passe, il le rejoue automatiquement sur des centaines de services connus (Gmail, Amazon, banques, plateformes cloud) via des outils de credential stuffing. La fenêtre médiane entre fuite et exploitation est descendue sous 18 minutes en 2026. Si vous changez d’abord un compte de loisir pendant que votre email principal reste vulnérable, vous laissez l’attaquant prendre le contrôle de tout pendant que vous nettoyez les périphéries.

L’ordre correct suit un principe simple : sécuriser les comptes qui servent à reprendre les autres avant tout le reste.

Pré-requis : 5 minutes pour préparer le terrain

Avant la première réinitialisation :

  1. Coupez la session active sur le compte compromis (paramètres → sessions actives → tout déconnecter). Cela empêche un voleur déjà connecté de poursuivre.
  2. Notez l’heure de la fuite annoncée si elle est connue. Tout mot de passe réutilisé créé avant cette date est suspect.
  3. Ouvrez votre gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) côté desktop — la frappe au clavier sera plus rapide que sur mobile.
  4. Ouvrez un onglet vers le générateur de mot de passe côté client — vous l’utiliserez à chaque étape, autant qu’il soit prêt.
  5. Préparez un café ou un verre d’eau — l’opération complète prend 25 à 35 minutes selon le nombre de comptes.

Si vous n’avez pas encore de gestionnaire, lisez d’abord notre comparatif des 7 gestionnaires gratuits 2026 — vous en aurez besoin pour stocker proprement les nouveaux mots de passe.

La séquence en 6 vagues (ordre strict)

Vague 1 — Email principal (3 minutes)

C’est le point d’ancrage : presque tous vos autres comptes peuvent être réinitialisés via un lien envoyé à cet email. Si l’attaquant le contrôle, il peut prendre tous les autres comptes même si vous changez leurs mots de passe.

ÉtapeAction
1Aller sur le webmail (gmail.com, mail.proton.me, outlook.live.com…)
2Paramètres → sécurité → mot de passe → changer
3Générer un mot de passe 20 caractères ou une passphrase Diceware 6 mots via le générateur côté client
4Activer ou vérifier le 2FA — méthode passkey ou clé FIDO2 en priorité, TOTP en repli, jamais SMS
5Se déconnecter de toutes les sessions actives

Pour le détail de l’activation 2FA dans le bon ordre, voir activer le 2FA après un mot de passe fort.

Vague 2 — Gestionnaire de mots de passe (2 minutes)

Le mot de passe maître du gestionnaire n’est jamais à jour automatiquement : il faut le changer manuellement après une suspicion de compromission de votre poste (virus, RAT, machine empruntée). Choisir une passphrase Diceware 7 mots mémorisable plutôt qu’un mot de passe aléatoire — le maître se tape souvent et doit pouvoir être retenu sans le coller.

Voir notre méthode de mémorisation passphrase Diceware en 7 jours.

Vague 3 — Banque, paiement, identité numérique (5 minutes)

Tous les comptes capables de mouvoir de l’argent ou de prouver votre identité :

  • Banque(s) en ligne
  • PayPal, Wise, Revolut, Stripe (côté client si vous vendez)
  • Boursorama, Trade Republic, courtiers
  • Service public (impôts, FranceConnect, ANTS, CAF)
  • Sécurité sociale, Ameli

Pour chacun : nouveau mot de passe 20 caractères généré côté client, vérifier 2FA actif et méthode forte. Pour la banque, vérifier en plus que le plafond de virement par défaut n’a pas été augmenté en votre absence (signe d’un voleur qui prépare un transfert).

Vague 4 — Réseaux sociaux et messageries (5 minutes)

Réseaux sociaux et messageries sont la deuxième cible des attaquants : usurpation d’identité, tentatives de phishing aux contacts, prise en otage de comptes pro. Ordre :

  1. WhatsApp / Telegram / Signal (changer le code PIN ou mot de passe à 2 facteurs propre à l’app)
  2. Facebook, Instagram, TikTok
  3. LinkedIn (si compte pro)
  4. X / Twitter, Reddit, Discord

À chaque fois : nouveau mot de passe 16 caractères généré côté client, 2FA actif, session unique active.

Vague 5 — Cloud storage et abonnements payants (5 minutes)

Les espaces qui contiennent vos données ou sont liés à un moyen de paiement enregistré :

  • Google Drive, iCloud, OneDrive, Dropbox, Mega
  • Netflix, Disney+, Prime Video, Spotify, Deezer (carte enregistrée)
  • Amazon, Cdiscount, Fnac, marketplaces
  • Steam, Epic Games, PlayStation Network, Xbox Live (cartes + bibliothèques de jeux)

Mot de passe 16 caractères, 2FA quand disponible. Pour Amazon en particulier, vérifier les adresses de livraison récemment ajoutées et les achats des 30 derniers jours.

Vague 6 — Tout le reste (10 minutes)

Forums, applications d’occasion utilisées, newsletters, sites d’e-commerce ponctuels. Approche pragmatique :

  • Si vous utilisez encore le compte → changer le mot de passe (16 caractères suffisent).
  • Si vous n’avez pas utilisé le compte depuis 12 mois → supprimer le compte plutôt que de le sécuriser. Un compte qui n’existe plus ne peut pas être recompromis.
  • Si vous avez oublié le compte mais qu’il apparaît dans la liste de votre gestionnaire → idem, suppression.

Pour calibrer combien de mots de passe différents viser, voir combien de mots de passe différents avoir en 2026.

Cas particuliers à gérer en parallèle

Si la machine est suspecte

Si vous soupçonnez un virus ou keylogger (publicités étranges, ralentissement subit, alertes antivirus), ne changez pas vos mots de passe depuis cette machine — l’attaquant capturera les nouveaux. Étapes :

  1. Faire les changements depuis un second appareil propre (téléphone, ordinateur d’un proche, machine fraîchement réinstallée).
  2. Faire un scan complet (Windows Defender, Malwarebytes) sur la machine suspecte avant de la réutiliser.
  3. Si confirmation d’infection, réinstaller le système est plus rapide qu’un nettoyage manuel.

Si l’email principal est déjà compromis

L’attaquant peut intercepter les emails de réinitialisation. Procédure :

  1. Récupérer l’email via le numéro de téléphone ou les codes de secours sauvegardés.
  2. Si impossible, contacter le support du fournisseur (Google, Microsoft, Proton) — comptez 24 à 72 h de délai.
  3. Pendant cette période, ne pas réinitialiser les autres comptes via cet email — l’attaquant les capterait au fil de l’eau.

Si le téléphone est volé ou compromis

Le téléphone héberge souvent les codes 2FA TOTP et la session WhatsApp/banque. À distance :

  1. Marquer le téléphone perdu via Find My iPhone / Find My Device → effacer.
  2. Suspendre la SIM via l’opérateur (empêche le SIM swap).
  3. Désactiver les sessions Authenticator depuis chaque service.

Que sauvegarder pendant le processus

Pendant les vagues 1 à 6, chaque nouveau mot de passe doit être stocké dans le gestionnaire au moment de la création — jamais dans le navigateur, jamais dans une note non chiffrée, jamais dans un email. Si vous utilisez un gestionnaire avec extension navigateur, l’enregistrement est automatique au premier remplissage de formulaire.

Pour les comptes qui activent un 2FA pour la première fois, télécharger et stocker les codes de secours dans une note sécurisée du gestionnaire (Secure Note Bitwarden, 1Password Item type Password). Ces codes sauvent en cas de perte du téléphone.

FAQ — Réinitialisation après piratage

Combien de temps faut-il pour tout réinitialiser ?

Comptez 25 à 35 minutes pour un utilisateur avec 30 à 50 comptes, en suivant l’ordre des 6 vagues. Au-delà de 80 comptes, étalez sur deux sessions : vagues 1-3 le jour J, vagues 4-6 le lendemain. Ne dépassez pas 24 h entre les deux sessions — au-delà, la vague 6 protège trop tard si la fuite contenait des comptes périphériques connectés à votre email.

Dois-je changer un mot de passe que je viens de générer 3 mois avant la fuite ?

Oui si le service concerné figure dans la fuite annoncée — le mot de passe a fui, peu importe son âge ou sa qualité. Non si le service n’est pas dans la fuite et que le mot de passe est unique (jamais réutilisé ailleurs). Pour vérifier si vos identifiants sont dans une fuite publique, voir vérifier si un mot de passe a fuité.

Peut-on automatiser la réinitialisation de masse ?

Pas vraiment. Quelques navigateurs proposent un bouton « changer le mot de passe » qui ouvre la page de paramètres du site, mais le formulaire reste à remplir manuellement. Les outils qui prétendent « tout changer en un clic » manipulent vos identifiants côté serveur — angle contraire à la sécurité que vous cherchez à restaurer. Préférez la frappe manuelle dans le navigateur, avec autocomplete du gestionnaire.

Faut-il prévenir mes contacts du piratage ?

Oui pour les réseaux sociaux et messageries où l’attaquant peut envoyer du phishing ciblé en votre nom. Un message court (« mon compte a été compromis hier soir, ne cliquez pas sur les liens reçus de ma part dans la nuit ») suffit. Inutile pour la banque ou le gestionnaire de mots de passe, qui ne propagent pas la compromission.

Combien de temps avant un nouvel audit de sécurité ?

Comptez 2 semaines après la réinitialisation pour laisser le temps aux outils (rapport de santé Bitwarden, Have I Been Pwned) de mettre à jour leur état. Puis suivez la cadence normale tous les 6 mois décrite dans notre audit mots de passe en 10 minutes. Si la fuite était massive (millions de comptes), forcer un audit supplémentaire à J+30. Pour limiter les pubs malveillantes qui propagent ce type de fuite, l’analyse comparative des bloqueurs de pub Chrome 2026 donne le contexte côté navigateur.

Étape suivante : ouvrez le générateur de mot de passe côté client (zéro upload, illimité, gratuit) et commencez par la vague 1 — votre email principal. Trois minutes pour rendre la fuite inoffensive sur le compte le plus critique.