Recevoir un mail « votre adresse fait partie d'une fuite » fait peur. Pourtant, une adresse mail exposée n'ouvre aucune porte à elle seule : ce qui compte, c'est ce qui a fuité avec elle, et la vitesse à laquelle vous réagissez. Voici la routine que Lucien recommande.

D'abord : qu'est-ce qui a vraiment fuité ?

Une « fuite de données » n'est pas un évènement unique. Selon l'entreprise touchée, ce qui se retrouve dans la nature change radicalement — et la marche à suivre aussi.

  • Adresse mail seule — risque faible. Vous recevrez surtout plus de spam et de tentatives de phishing ciblées.
  • Adresse + nom + téléphone + adresse postale — risque moyen. C'est le carburant des arnaques « personnalisées » qui semblent crédibles parce qu'elles connaissent votre nom.
  • Adresse + mot de passe — risque élevé. Agissez le jour même (étape 02).
  • IBAN / RIB — risque ciblé. Pas de quoi vider un compte, mais de quoi tenter un prélèvement frauduleux (étape 05).
Une fuite n'est pas un vol immédiat. C'est une liste de courses laissée à des arnaqueurs. Votre travail : rendre la liste inutilisable avant qu'ils ne fassent les courses. — Manifeste interne · équipe Lucien

Étape 01 · Vérifier où votre adresse a été exposée

Avant tout, sachez à quoi vous avez affaire. Des services gratuits et sérieux permettent de saisir votre adresse mail et de voir dans quelles fuites connues elle apparaît — sans rien installer.

★ À retenir Ne cliquez jamais sur un lien « vérifiez si vous êtes touché ».

Les fuites de données génèrent immédiatement leur propre vague d'arnaques : des mails « vérifiez votre exposition » qui sont eux-mêmes du phishing. Tapez vous-même l'adresse du service de vérification dans votre navigateur. Ou, plus simple : transférez le mail d'alerte à lucien@monassistantcyber.fr et laissez-le trancher.

Étape 02 · Changer les mots de passe concernés

Si un mot de passe a fuité, il est à considérer comme public. Changez-le immédiatement sur le service touché — puis, surtout, sur tous les autres services où vous utilisiez le même. C'est le vrai danger : les attaquants testent automatiquement le couple adresse + mot de passe volé sur des centaines de sites.

  • Un mot de passe différent par service important (banque, mail principal, impôts).
  • Un gestionnaire de mots de passe pour ne pas avoir à les retenir.
  • Priorité absolue : votre boîte mail principale. C'est la clé de toutes les autres.

Étape 03 · Activer la double authentification

La double authentification (ou « 2FA », ou « validation en deux étapes ») ajoute un code temporaire en plus du mot de passe. Même si votre mot de passe est connu, l'attaquant ne peut pas entrer sans ce code. Activez-la en priorité sur votre boîte mail, votre banque, et vos comptes administratifs (impots.gouv.fr, Ameli).

Le bon ordre de priorité

  • Boîte mail principale — c'est elle qui réinitialise tous les autres comptes.
  • Banque et applications de paiement.
  • Comptes administratifs et de santé.
  • Réseaux sociaux et marketplaces (Vinted, Leboncoin) ensuite.

Étape 04 · Surveiller la vague d'arnaques qui suit

Dans les semaines qui suivent une fuite, attendez-vous à recevoir des mails et SMS qui connaissent votre nom, votre opérateur, parfois votre adresse postale. C'est normal : ces données viennent de la fuite. Un arnaqueur qui sait que vous êtes client Free vous écrira « facture Free impayée » — et c'est beaucoup plus convaincant.

La règle ne change pas : un message qui connaît votre nom n'est pas un message de confiance. Au moindre doute, transférez-le à Lucien plutôt que de cliquer.

⚐ Cas pratique « Suite à l'incident de sécurité, confirmez vos coordonnées bancaires. »

Aucune entreprise victime d'une fuite ne vous demandera de « reconfirmer » vos données bancaires par mail. Ce mail-là utilise la fuite réelle comme prétexte pour en provoquer une autre, pire. Supprimez-le.

Étape 05 · Si un IBAN ou RIB a fuité

Un IBAN seul ne permet pas de vider votre compte — mais il permet de tenter un prélèvement (mandat SEPA) sur un faux contrat. Deux gestes suffisent :

  • Surveillez vos relevés pendant deux à trois mois. Repérez tout prélèvement que vous ne reconnaissez pas.
  • En France, vous pouvez contester un prélèvement non autorisé auprès de votre banque pendant 13 mois et être remboursé. Un prélèvement frauduleux n'est donc pas une perte définitive — à condition de le voir.

Étape 06 · Garder une trace de ce qui s'est passé

Notez quelque part la date de la fuite, l'entreprise concernée, et les gestes que vous avez faits. Si une fraude survient plus tard, cette trace facilite la contestation auprès de la banque et le dépôt de plainte. Vous pouvez aussi signaler la fuite à la CNIL — c'est gratuit et ça aide les enquêtes.

À imprimer et coller sur le frigo

La version courte, pour un parent ou un proche qui vient de recevoir une alerte de fuite et ne sait pas par où commencer.

★ Aide-mémoire Le réflexe en 4 gestes

Vérifier ? Tape l'adresse du vérificateur toi-même, ne clique pas.
Mot de passe ? Change-le partout où il était identique.
Double auth ? Active-la d'abord sur la boîte mail.
Doute ? Transfère le mail à Lucien et passe à autre chose.

Cet article fait partie d'une série sur l'autodéfense numérique au quotidien. À lire aussi — Reconnaître un mail de phishing : les 6 indices que personne ne vous a appris.