- 2FA obligatoire : activez l'authentification par application (TOTP) sur Facebook, Instagram, X, TikTok et LinkedIn — pas par SMS, interceptable
- Mot de passe : 14+ caractères alphanumériques minimum par compte unique, gérés par Bitwarden ou 1Password (CNIL : 80 bits d'entropie)
- Piratage : récupérez via facebook.com/hacked, Instagram vidéo selfie, X help.x.com — signalez sur 17Cyber.gouv.fr et THESEE
- Contestation bancaire : 13 mois pour carte UE (art. L.133-19), 8 semaines pour SEPA (art. L.133-25)
Introduction
1 compte piraté toutes les 39 secondes en France selon les données Cybermalveillance.gouv.fr. La CNIL recommande l'authentification multifacteur (2FA) sur chaque réseau social : « Deux protections valent mieux qu'une ! » (CNIL — Ma sécurité numérique). Voici la procédure complète pour verrouiller vos comptes Facebook, Instagram, X/Twitter, TikTok et LinkedIn, et les récupérer s'ils ont été piratés.
Activer la 2FA sur chaque réseau social : procédure exacte
La 2FA (authentification à deux facteurs) ajoute une seconde vérification après votre mot de passe. La CNIL et l'ANSSI recommandent l'application d'authentification (TOTP) plutôt que le SMS, interceptable par SIM swapping. Trois applications fiables et gratuites : Google Authenticator, Authy (Twilio) et Microsoft Authenticator.
Paramètres > Sécurité et connexion > Utiliser l'authentification à deux facteurs > Application d'authentification. Scanner le QR code avec votre app TOTP. Sauvegarder les codes de secours (10 codes à usage unique) dans un coffre-fort numérique (1Password, Bitwarden) ou sur papier dans un lieu sûr.
Profil > Paramètres > Compte > Sécurité > Authentification à deux facteurs > Application d'authentification. Même procédure : scanner le QR, sauvegarder les codes de secours.
X / Twitter
Paramètres > Sécurité et accès au compte > Vérification en deux étapes > Application d'authentification. Attention : X limite certaines fonctionnalités (SMS 2FA) aux comptes X Premium depuis mars 2023, mais l'application d'authentification reste gratuite pour tous.
TikTok
Profil > Paramètres et confidentialité > Sécurité > Vérification en deux étapes > Application d'authentification. Activer aussi la vérification par mot de passe pour les connexions depuis un nouvel appareil.
Profil > Préférences et confidentialité > Connexion et sécurité > Vérification en deux étapes > Application d'authentification. LinkedIn envoie aussi un email de confirmation à chaque connexion depuis un nouvel appareil.
Créer des mots de passe robustes : les exigences CNIL 2026
La CNIL exige 80 bits d'entropie minimum pour les mots de passe seuls. Trois options équivalentes : 12+ caractères (majuscules + minuscules + chiffres + 37 caractères spéciaux), 14+ caractères (majuscules + minuscules + chiffres), ou 7 mots de passephrase. Ne jamais réutiliser le même mot de passe sur deux services. La CNIL déconseille le renouvellement forcé qui conduit à des patterns prévisibles (motdepasse01, motdepasse02). Utilisez un gestionnaire de mots de passe : Bitwarden (gratuit, open-source), 1Password (12 €/an) ou KeePassXC (gratuit, local). Pour chaque réseau social, générez un mot de passe unique de 20 caractères aléatoires via votre gestionnaire.
Compte piraté : récupération étape par étape par plateforme
Si vous ne pouvez plus accéder à votre compte, la rapidité est cruciale. Voici la procédure pour chaque réseau social.
Facebook — facebook.com/hacked
Accédez à facebook.com/hacked (page officielle de récupération). Facebook vous guide pour identifier les modifications non autorisées (email, mot de passe, nom). Vous devrez vérifier votre identité via l'email ou le téléphone associé au compte. Si l'email a été changé par le pirate, Facebook propose un processus de vérification d'identité par pièce d'identité (30 à 60 jours de délai). Pendant ce temps, signalez le compte piraté à un ami de confiance qui peut le signaler depuis son propre compte.
Instagram — via l'application
Écran de connexion > « Obtenir de l'aide pour vous connecter » > Saisir votre nom d'utilisateur > Envoyer un email de récupération. Si le pirate a changé l'email, sélectionner « Je n'ai plus accès à ces informations » > Suivre les instructions de vérification par vidéo selfie (Instagram vous demande de filmer votre visage sous plusieurs angles). Délai de traitement : 1 à 3 jours ouvrés.
X / Twitter — via twitter.com/i/account_access
Écran de connexion > « Mot de passe oublié ? » > Saisir l'email ou le téléphone associé. Si le pirate a changé l'email et le mot de passe, contactez le support X via help.x.com > « Compte piraté » > Remplir le formulaire avec les informations originales du compte (date de création, email initial, appareils utilisés). Délai variable : 48h à 2 semaines.
TikTok — via l'application
Écran de connexion > « Problème de connexion ? » > Saisir votre numéro ou email > Code de vérification. Si inaccessible : Paramètres > Signaler un problème > « Compte piraté » > Fournir la preuve d'identité (vidéo selfie + pièce d'identité). Délai : 3 à 7 jours.
LinkedIn — via linkedin.com/help
Écran de connexion > « Mot de passe oubli » > Saisir l'email. Si inaccessible : contactez le support via linkedin.com/help/linkedin/ask/tsO-lso (formulaire de vérification d'identité). LinkedIn demande une pièce d'identité officielle. Délai : 5 à 10 jours ouvrés.
Signaler le piratage aux autorités françaises
Après avoir lancé la récupération, signalez le piratage sur trois plateforme officielles :
1. 17Cyber.gouv.fr — Service public d'assistance aux victimes de cybermalveillance (police nationale, gendarmerie, Cybermalveillance.gouv.fr). Permet un signalement en ligne rapide. Numéro d'assistance : 17 (police) ou 112 (urgences européennes).
2. THESEE (Traitement Harmonisé des Enquêtes et des Signalements pour les e-Escroqueries) — Pour les arnaques liées au piratage (achat sur faux site après vol de compte, phishing). Accessible via service-public.gouv.fr. Le signalement est transmis automatiquement à la police nationale.
3. Signal Conso (signal.conso.gouv.fr) — Si le piratage a entraîné une fraude financière (achat forcé, prélèvement abusif). La DGCCRF peut intervenir auprès de l'entreprise frauduleuse.
Délai de prescription : l'escroquerie en ligne est un délit puni de 5 ans d'emprisonnement et 375 000 € d'amende (article 313-1 du Code pénal). Le délai pour porter plainte est de 6 ans à compter des faits.
Contester les transactions frauduleuses liées au piratage
Si le pirate a effectué des achats via votre compte (publicités Facebook, achats Instagram, etc.), contestez immédiatement auprès de votre banque. Selon l'article L.133-19 du Code monétaire et financier, vous avez 13 mois pour contester un paiement par carte dans l'UE (70 jours hors UE). Appelez le numéro d'opposition de votre carte (au dos de la carte ou sur l'application bancaire), puis envoyez une lettre recommandée avec accusé de réception à votre banque. Pour les prélèvements SEPA frauduleux, le délai de contestation est de 8 semaines à compter du débit (article L.133-25 du Code monétaire et financier). Si la banque refuse, saisisz le médiateur de la banque (gratuit), puis le juge de proximité pour les litiges inférieurs à 5 000 €.
Vérifier et nettoyer après un piratage : checklist complète
Une fois le compte récupéré, vérifiez immédiatement : 1) L'email et le téléphone associés n'ont pas été modifiés. 2) Les sessions actives (Paramètres > Connexions actives) : déconnecter tous les appareils inconnus. 3) Les applications tierces connectées (Paramètres > Applications) : révoquer les accès non reconnus. 4) Les messages envoyés : vérifier les DM et posts publiés sans votre accord. 5) Le mot de passe : le changer même si vous l'avez déjà fait lors de la récupération. 6) La 2FA : la réactiver si elle a été désactivée par le pirate. 7) Vos autres comptes : si vous réutilisiez le même mot de passe, changez-le partout. La CNIL impose aux entreprises de notifier les violations de données dans les 72 heures suivant leur découverte (RGPD, article 33).
Verifier la securite de ses comptes
Commandes pour auditer la securite de vos comptes :
# Verifier si votre email a ete compromis
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/votre@email.com" \ -H "hibp-api-key: VOTRE_CLE_API" # Verifier un mot de passe (k-anonymity)
echo -n "votre_mot_de_passe" | sha1sum
# Puis verifier sur https://api.pwnedpasswords.com/range/XXXXXÉtapes à suivre5
Étape 1 — Activer la 2FA sur tous vos réseaux sociaux
Ouvrez les paramètres de sécurité de chaque réseau social (Facebook, Instagram, X, TikTok, LinkedIn) et activez l'authentification à deux facteurs via une application TOTP. Téléchargez Google Authenticator, Authy ou Microsoft Authenticator (toutes gratuites). Pour chaque plateforme : Paramètres > Sécurité > 2FA > Application d'authentification > Scanner le QR code. Sauvegardez les 10 codes de secours dans un gestionnaire de mots de passe (Bitwarden, 1Password) ou sur papier stocké en lieu sûr. Temps total pour 5 réseaux : environ 20 minutes. Vérifiez que la 2FA est bien active en vous déconnectant puis reconnectant : l'application doit vous demander un code TOTP à 6 chiffres.
Étape 2 — Remplacer vos mots de passe par des identifiants uniques
Pour chaque réseau social, générez un mot de passe unique de 20 caractères via votre gestionnaire de mots de passe. La CNIL exige 80 bits d'entropie minimum : 14+ caractères alphanumériques ou 12+ avec caractères spéciaux. N'utilisez JAMAIS le même mot de passe sur deux services. Installez Bitwarden (gratuit, open-source) ou 1Password (12 €/an). Importez vos identifiants existants, puis changez chaque mot de passe de réseau social par un mot de passe généré aléatoirement. Vérifiez sur haveibeenpwned.com si votre email a été compromis dans une fuite de données. Si oui : changez immédiatement tous les mots de passe associés.
Étape 3 — Récupérer un compte piraté via les procédures officielles
Si vous ne pouvez plus accéder à votre compte : Facebook → facebook.com/hacked (vérification par email/téléphone, puis pièce d'identité si email changé, délai 30-60 jours). Instagram → « Obtenir de l'aide pour vous connecter » puis vérification par vidéo selfie (délai 1-3 jours). X/Twitter → « Mot de passe oublié » puis formulaire help.x.com si email changé (délai 48h-2 semaines). TikTok → « Problème de connexion » puis vérification par vidéo selfie + pièce d'identité (délai 3-7 jours). LinkedIn → « Mot de passe oublié » puis formulaire linkedin.com/help avec pièce d'identité (délai 5-10 jours). Agissez dans les premières 24 heures pour maximiser les chances de récupération.
Étape 4 — Signaler le piratage aux autorités et contester les transactions
Déposez un signalement sur 17Cyber.gouv.fr (service public police/gendarmerie). Si fraude financière : signalez aussi sur Signal Conso (signal.conso.gouv.fr) pour intervention DGCCRF. Pour les e-escroqueries : utilisez THESEE via service-public.gouv.fr. Portez plainte : en ligne sur masecurite.interieur.gouv.fr, au commissariat, ou par courrier au procureur de la République. Délai de prescription : 6 ans. Contestez les transactions frauduleuses auprès de votre banque : 13 mois pour carte bancaire UE (art. L.133-19), 8 semaines pour SEPA (art. L.133-25). Appelez le numéro d'opposition, puis LRAR à la banque. Si refus : médiateur bancaire (gratuit), puis juge de proximité si < 5 000 €.
Étape 5 — Auditer et verrouiller vos comptes après récupération
Après récupération du compte : 1) Vérifiez email et téléphone associés (non modifiés par le pirate). 2) Déconnectez toutes les sessions actives inconnues (Paramètres > Connexions actives). 3) Révoquez les applications tierces non reconnues (Paramètres > Applications connectées). 4) Vérifiez les DM et publications envoyés sans votre accord. 5) Changez le mot de passe même si déjà fait. 6) Réactivez la 2FA si désactivée. 7) Changez le mot de passe sur TOUS les autres services si réutilisation. 8) Activez les alertes de connexion par email sur chaque plateforme. 9) Vérifiez votre email sur haveibeenpwned.com. 10) Partagez cette checklist avec vos proches — 1 compte piraté toutes les 39 secondes en France.
Conseils pratiques
- Utilisez une application TOTP (Google Authenticator, Authy, Microsoft Authenticator) plutôt que le SMS pour la 2FA : le SMS est vulnérable au SIM swapping, où un pirate transfère votre numéro vers sa carte SIM en quelques heures.
- Vérifiez votre email sur haveibeenpwned.com : ce site gratuit répertorie 12+ milliards de comptes compromis. Si votre email y figure, changez immédiatement les mots de passe de tous les services associés.
- Activez les alertes de connexion par email sur chaque réseau social (Facebook, Instagram, LinkedIn proposent cette option) : vous recevez un email à chaque connexion depuis un nouvel appareil ou navigateur, permettant de détecter un accès non autorisé en temps réel.
Points d'attention
- Ne jamais utiliser le SMS comme unique second facteur : le SIM swapping permet à un pirate de recevoir vos codes SMS en transférant votre numéro. Préférez l'application TOTP + codes de secours sauvegardés.
- Ne pas réutiliser un mot de passe entre plusieurs services : si un seul service est piraté (fuite de base de données), le pirate teste vos identifiants sur tous les réseaux sociaux (credential stuffing). Utilisez un gestionnaire de mots de passe pour générer un mot de passe unique par service.
- Ne pas attendre pour signaler un piratage : le délai de 6 ans pour porter plainte est long, mais les preuves numériques s'effacent vite (logs de connexion, IP du pirate). Signalez dans les 24h sur 17Cyber.gouv.fr et lancez la récupération immédiatement — chaque heure compte pour limiter les dégâts (messages frauduleux, achats à votre insu).
Questions fréquentes5
Comment savoir si mon compte a été piraté ?
Les signes d'un piratage incluent : publications que vous n'avez pas faites, messages envoyés sans votre accord, modifications de votre email ou mot de passe, connexions depuis des appareils inconnus. Vérifiez l'historique de connexion dans les paramètres de sécurité de chaque réseau social.
Combien de temps pour récupérer un compte piraté ?
Le délai varie selon le réseau : Instagram traite les demandes en 24-48h via le centre d'aide, Facebook en 1 à 7 jours, X (Twitter) en 3 à 5 jours. Plus vous signalez vite, plus les chances de récupération sont élevées.
L'authentification à deux facteurs est-elle obligatoire ?
Non, elle n'est pas légalement obligatoire en France, mais elle est fortement recommandée par l'ANSSI et la CNIL. Depuis 2024, l'UE impose l'authentification forte pour les services financiers (DSP2), et les réseaux sociaux l'encouragent activement.
Que faire si le pirate a changé mon email et mot de passe ?
Utilisez la fonction 'Compte compromis' du réseau social : Instagram propose un flux de récupération via la photo d'identité, Facebook via la reconnaissance faciale ou les contacts de confiance. Déposez une plainte en ligne sur pre-plainte-en-ligne.gouv.fr si des frais ont été engagés.
Comment protéger ses enfants sur les réseaux sociaux ?
Activez le contrôle parental natif (Family Link pour Android, Temps d'écran pour iOS), configurez les comptes en mode privé, désactivez la géolocalisation, et signalez tout contenu inapproprié via 3018 (pharos.gouv.fr) ou SignalConso.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégories11 réclamations de copropriété remboursées que 98 % des syndics ne signalent jamais
12 retraités sur 100 touchent une majoration de pension qu’ils ne devraient pas — et l’État ne le signale pas
Signaler un changement d'adresse à la CAF en ligne
Équipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.