OneKitTools logoOneKitTools
security6 min de lecture

Ce qui arrive vraiment à tes données quand un site se fait pirater

Quand une entreprise annonce une "violation de données", qu'est-ce que ça veut dire concrètement pour toi ? Voici la vraie chronologie — du piratage à ta boîte mail — et ce qu'il faut faire.

OneKitTools Team14 avril 2026

"Nous prenons votre sécurité très au sérieux"

Tu as reçu l'email. Une entreprise que tu utilises a subi un "incident de sécurité". Ils "prennent ta confidentialité au sérieux". Ils "travaillent avec des experts en cybersécurité de premier plan". Ils recommandent de "changer ton mot de passe par mesure de précaution".

Qu'est-ce que ça veut dire concrètement ? Qu'est-il arrivé à tes données ? Et que font ces pirates avec elles en ce moment ?

Comment une violation se produit vraiment

Les scénarios les plus courants, par ordre de fréquence :

Injection SQL — Un attaquant trouve un formulaire sur le site (recherche, connexion, contact) où il peut injecter des commandes de base de données. Au lieu d'un nom d'utilisateur, il tape ' OR 1=1 --. La base de données renvoie tout. Cette vulnérabilité a des décennies d'existence et reste la plus courante.

Credential stuffing — Les attaquants prennent des mots de passe d'autres violations et les essaient sur le site cible. Si tu as réutilisé un mot de passe d'un site violé en 2019, l'attaquant a tes identifiants prêts à tester.

Phishing d'un employé — Quelqu'un dans l'entreprise clique sur un faux email convaincant, donne ses identifiants, et l'attaquant a maintenant un accès interne. De nombreuses violations majeures ont commencé avec le clic de phishing d'un seul employé.

Logiciel non patché — Un serveur qui tourne sur une vieille version d'un framework ou d'une bibliothèque avec une vulnérabilité connue. L'attaquant l'exploite, obtient l'accès, extrait les données.

Menace interne — Plus rare mais réelle. Un employé mécontent, un prestataire avec trop d'accès.

Ce qu'ils prennent

Toutes les violations ne se valent pas. Ce qu'un attaquant extrait dépend de ce que l'entreprise stockait :

Niveau 1 — Le pire (fréquemment vendu 5–50 € par enregistrement)

  • Nom complet + email + téléphone + date de naissance + adresse postale
  • Numéros de carte bancaire partiels ou complets
  • Numéros de sécurité sociale / pièce d'identité nationale
  • Mots de passe en clair (oui, ça arrive encore)

Niveau 2 — Mauvais

  • Email + mot de passe hashé (comme c'est généralement le cas)
  • Nom d'utilisateur + métadonnées de compte
  • Historique d'achats

Niveau 3 — Ennuyeux mais limité

  • Adresse email uniquement
  • Adresses IP

La notification de violation de l'entreprise décrit généralement ce qui a été exposé. Lis-la attentivement.

Ce qui arrive aux données ensuite

Heure 0 — L'exfiltration

L'attaquant copie les données. Il peut avoir été dans le système pendant des jours ou des mois avant que quiconque le remarque — le "temps de présence" moyen avant détection est de 197 jours.

Jours 1–7 — Usage interne ou vente

L'attaquant soit :

  • Utilise les données lui-même (si c'est son entreprise cible ou s'il veut des comptes spécifiques)
  • Les vend immédiatement sur les marchés du dark web pour une valeur maximale de "fraîcheur"

Semaines 1–4 — La violation devient publique

Soit l'entreprise la découvre (via des outils de sécurité, un chercheur, ou une demande de rançon), soit elle apparaît sur un forum de pirates. L'entreprise notifie les utilisateurs — souvent des semaines après les faits.

Mois 1–12 — Campagnes de credential stuffing

Les attaquants testent ta combinaison email+mot de passe sur les principaux services : Gmail, Netflix, PayPal, banques. Des outils automatisés essaient des milliers de combinaisons par minute. Si tu as réutilisé ce mot de passe quelque part, il sera trouvé.

An 1+ — La longue traîne

Les données de violation n'expirent pas. Une violation de 2018 peut servir pour des campagnes de phishing en 2026. Les données de plusieurs violations sont combinées ("enrichissement de données") pour construire des profils plus complets pour des attaques ciblées.

Comment les mots de passe sont (devraient être) stockés

Quand une entreprise stocke ton mot de passe, elle ne devrait jamais stocker le mot de passe réel. Elle stocke un hash — une transformation mathématique irréversible.

  • Tu définis le mot de passe : motdepasse123
  • Le site stocke : 6f3b56e15f5f9a5b... (hash SHA-256)
  • Quand tu te connectes : le site hashe ta saisie et compare les hashes

Le problème : tous les hashages ne se valent pas.

MD5 — Rapide à calculer, rapide à casser. Un seul GPU peut tester 10 milliards de hashes MD5 par seconde. Une base MD5 piratée de 10 millions de mots de passe peut être cassée en minutes.

SHA-256 (sans sel) — Mieux, mais toujours rapide. Les rainbow tables (bases de données de hashes précalculés) peuvent casser les mots de passe courants instantanément.

bcrypt / Argon2 — Conçus pour être lents. Un GPU qui casse 10 milliards de MD5 par seconde ne peut casser qu'environ 100 hashes bcrypt par seconde. Une violation de mots de passe hashés en bcrypt donne des mois, pas des minutes.

En clair — Oui, certaines entreprises stockent encore les mots de passe en clair. Si une notification de violation dit "les mots de passe ont été exposés" et non "les mots de passe hashés ont été exposés", c'est un signal d'alarme.

Que faire quand tu reçois l'email

Immédiatement (premières 24 heures) :

  1. Change ton mot de passe sur ce site — même si la violation n'a affecté que des mots de passe hashés
  2. Si tu utilisais ce même mot de passe ailleurs, change-le là aussi — partout, le jour même
  3. Vérifie si le site stockait des données sensibles (carte bancaire, numéro de sécu) — si oui, surveille ton crédit

Dans la semaine :

  1. Active le 2FA sur le site violé si ce n'était pas déjà fait
  2. Vérifie ton email contre la base de données HaveIBeenPwned pour voir l'étendue complète de ton exposition
  3. Génère un nouveau mot de passe unique pour chaque site que tu trouves violé (Générateur de mots de passe)

Sur le long terme :

  1. Utilise un mot de passe différent pour chaque site — toujours. Un gestionnaire de mots de passe rend ça gérable.
  2. Active le 2FA sur l'email — c'est la clé de récupération de tout le reste
  3. Envisage un gel de crédit si ton numéro de sécu / pièce d'identité a été exposé

La seule chose qui compte vraiment

La réutilisation des mots de passe est à l'origine de la plupart des piratages de comptes après une violation. Si ton mot de passe LinkedIn de 2012 est le même que ton mot de passe Gmail aujourd'hui, une violation vieille de 12 ans est toujours une menace actuelle.

Vérifie si ton email a été dans une violation. Si c'est le cas, traite chaque mot de passe que tu utilisais à cette époque comme compromis — et génère-en des nouveaux.

Partager

Articles liés

security

"2FA expliqué : pourquoi les codes SMS sont moins sécurisés que tu ne le crois"

6 min de lecture
security

"Sécurité des Mots de Passe : Comment Savoir Si le Vôtre a Été Volé"

3 min de lecture

Outils mentionnés

Email Breach Checker
Password Generator
Hash Generator