Mot de passe oublié iPhone / Android : comment récupérer son compte en 2026
Vous êtes bloqué hors de votre iPhone, votre Android, votre compte Google ou votre WhatsApp ? Vous avez changé de téléphone et votre ancien mot de passe ne marche plus ? Un SMS de votre opérateur vous annonce une connexion suspecte depuis le Brésil, et vous ne savez plus si c’est un piège ou un vrai signal d’alerte ? Pas de panique : dans la grande majorité des cas, votre compte est récupérable en moins d’une heure, à condition de passer par les vrais canaux officiels. Cet article vous guide écosystème par écosystème, sans promesse miracle, sans raccourci douteux, et surtout sans cliquer sur le premier lien trouvé sur Google. La règle d’or, en 2026, est simple : on ne tape jamais l’URL de son compte dans une barre de recherche ; on la saisit à la main dans son navigateur.
Règle d’or 2026 : ne cherchez jamais « Apple ID perdu » ni « récupérer compte Google » sur un moteur de recherche. Tapez l’URL officielle à la main : support.apple.com, myaccount.google.com, account.microsoft.com.
Trois écosystèmes critiques : Apple (iPhone + iCloud), Google (Android + Gmail), Microsoft (Outlook + Windows Hello). Chacun a sa propre procédure officielle, ses propres délais, ses propres pièges.
Réseaux sociaux et messageries : WhatsApp, Instagram, Facebook, Discord, TikTok, Twitch et X disposent tous d’un flux de récupération par SMS, email ou formulaire d’identité. Les délais varient de 24 heures à 7 jours.
2FA perdu ? codes de secours, numéro de téléphone de secours, et application authententicator réinstallée sont les trois sorties de secours. Sans aucun de ces éléments, le compte est souvent perdu.
Piraté, pas juste oublié ? changez le mot de passe, déconnectez tous les appareils, vérifiez les redirections email, et signalez sur PHAROS et Cybermalveillance.gouv.fr.
Avant de commencer : la règle d’or 2026
Avant d’entrer dans le détail, une seule règle mérite d’être répétée trois fois, parce qu’elle est à l’origine de la majorité des piratages graves de 2026 : ne tapez jamais le nom de votre service dans Google pour cliquer sur le premier résultat. Les escrocs achètent des annonces sponsorisées au-dessus des résultats naturels, achètent des noms de domaine quasi-identiques (par exemple iforggot-apple.com, account-microsoft.help, my-account-google.com) et construisent des pages de phishing parfaites, avec les bons logos, les bonnes couleurs, parfois même le bon certificat HTTPS. Résultat : vous pensez être sur le site officiel, vous tapez votre ancien mot de passe et votre code de double authentification, et vous offrez votre compte sur un plateau.
La bonne pratique, c’est de garder dans vos favoris les vraies URLs officielles et de les utiliser directement :
Quand vous hésitez entre deux URLs, ouvrez un nouvel onglet et tapez l’adresse à la main, caractère par caractère. Si le site officiel vous demande votre mot de passe, vous le saurez immédiatement. S’il vous demande votre numéro de carte bancaire pour « valider votre identité », fuyez : aucun service officiel ne vous demandera cela.
⚠️ Ne cliquez jamais sur un lien reçu par email ou SMS
Si vous recevez un message « votre compte Apple ID a été désactivé », « activité suspecte sur votre compte Google », « votre session Outlook expire dans 24h », n’ouvrez pas le lien contenu dans le message. Ouvrez plutôt un nouvel onglet, tapez vous-même l’URL officielle de votre service dans la barre d’adresse, et vérifiez directement dans vos paramètres si quelque chose cloche.
Cette règle vaut aussi pour les SMS « votre colis est bloqué à la douane », les emails « facture impayée EDF » et tous les messages qui jouent sur l’urgence ou la peur. L’urgence artificielle est la première arme du phishing.
Que faire si vous avez oublié le code de votre iPhone ?
Premier point crucial : le code d’accès de votre iPhone (les 4 ou 6 chiffres que vous tapez pour déverrouiller l’écran) et le mot de passe de votre Apple ID sont deux choses complètement différentes. Les confondre est l’erreur la plus fréquente. Le code iPhone verrouille l’appareil physique ; le mot de passe Apple ID protège votre compte iCloud, App Store, Messages, Photos, Trousseau. Voici comment récupérer chacun des deux.
Mot de passe du code iPhone oublié (différent de l’Apple ID)
Si vous avez saisi le mauvais code trop de fois et que votre iPhone affiche « iPhone est désactivé », ou si vous avez simplement oublié le code à 4 ou 6 chiffres, Apple propose une procédure officielle documentée sur sa page d’assistance Si vous avez oublié le code d’accès de votre iPhone. La procédure est radicale : il faut effacer l’iPhone, puis le restaurer. Sans le code, vous ne pouvez pas déverrouiller l’appareil localement.
Deux scénarios :
Si vous avez une sauvegarde iCloud récente (la plupart des gens, depuis iOS 17, sauvegardent automatiquement chaque nuit en Wi-Fi), vous pouvez effacer l’iPhone depuis le mode de récupération, puis choisir « Restaurer depuis sauvegarde iCloud » lors de la configuration. Vos apps, vos photos, vos messages reviendront comme avant.
Si vous n’avez pas de sauvegarde iCloud, l’iPhone sera réinitialisé à l’état d’usine et toutes les données locales seront perdues. C’est pour cela qu’il est vital d’activer la sauvegarde iCloud dès l’achat, et de vérifier qu’elle fonctionne en vous rendant dans Réglages → [votre nom] → iCloud → Sauvegarde iCloud.
Pour effacer un iPhone sans le code, la procédure officielle est de brancher l’iPhone à un ordinateur (Mac ou PC), d’ouvrir Finder ou iTunes selon votre matériel, puis de mettre l’iPhone en mode de récupération. Cela prend environ dix minutes pour un utilisateur novice, et fonctionne même si l’iPhone est désactivé.
Apple ID oublié : comment retrouver votre identifiant
Si vous avez oublié l’adresse email associée à votre Apple ID (par exemple parce que vous utilisez un vieil email Free, LaPoste, ou une adresse professionnelle que vous n’avez plus), Apple propose une page de recherche d’Apple ID à l’adresse iforgot.apple.com. Il suffit de donner votre prénom, nom de famille et une ou plusieurs adresses email que vous avez pu utiliser. Si l’une d’elles correspond, Apple vous enverra un email de récupération à cette adresse.
Si vous n’avez plus accès à aucune des adresses email que vous avez utilisées, la situation est plus compliquée. Apple dispose d’une procédure manuelle de récupération d’Apple ID via son assistance : Si vous avez oublié l’adresse email ou le numéro de téléphone de votre identifiant Apple. Vous devrez fournir une preuve d’identité (carte d’identité, passeport) et le délai peut atteindre plusieurs jours ouvrés, parfois plus d’une semaine.
Mot de passe Apple ID oublié : la procédure account.apple.com
Recevoir un email à votre adresse de récupération (si vous en avez configuré une).
Répondre à des questions de sécurité (méthode héritée, encore active sur les comptes créés avant 2017).
Saisir le code à deux facteurs envoyé sur un de vos appareils Apple de confiance.
Dans 90 % des cas, la double authentification (2FA) règle le problème en quelques minutes : un code à 6 chiffres s’affiche sur votre Mac, votre iPad ou un autre iPhone de confiance, vous le tapez, et vous pouvez définir un nouveau mot de passe. C’est précisément pour cette raison qu’Apple pousse massivement le 2FA depuis 2018 : c’est la sortie de secours quand le mot de passe est oublié.
iCloud et Photos perdus après un changement de mot de passe : que faire ?
Cas fréquent en 2026 : vous avez changé votre mot de passe Apple ID par sécurité après une fuite de données, et quelques heures plus tard, vos photos iCloud disparaissent de votre iPhone. Pas de panique : Apple prévoit un délai de grâce de 30 jours pour les suppressions iCloud initiées depuis le compte. Vous pouvez annuler la suppression depuis la page iCloud.com, section « Réglages du compte » → « Restauration ».
⚠️ Délai de grâce iCloud : 30 jours, pas plus
Si vous avez supprimé des fichiers iCloud (Drive, Photos, sauvegardes) ou si quelqu’un a supprimé vos données après avoir piraté votre compte, vous avez 30 jours exactement pour les restaurer. Passé ce délai, Apple les supprime définitivement de ses serveurs, conformément à sa politique de confidentialité disponible sur apple.com/legal/privacy/.
La restauration se fait depuis icloud.com/restore ou via les réglages iCloud sur un appareil de confiance. Connectez-vous avec votre Apple ID actuel (le pirate aura peut-être déjà été déconnecté si vous avez changé le mot de passe).
Trousseau iCloud réinitialisé par erreur : comment récupérer vos mots de passe Safari
Le Trousseau iCloud stocke vos mots de passe Wi-Fi, vos identifiants de sites web, vos numéros de carte bancaire enregistrés dans Safari. Si vous avez réinitialisé votre Trousseau par erreur, ou si un proche l’a fait en touchant votre Mac, vous avez peu d’options de récupération directe. Le Trousseau n’a pas de délai de grâce comme iCloud Drive : une fois réinitialisé, les données sont chiffrées avec un nouveau mot de passe et l’ancien jeu de mots de passe est perdu.
La seule parade efficace est la prévention :
Activer le Trousseau iCloud avec un mot de passe différent de votre Apple ID, stocké dans un gestionnaire de mots de passe tiers (Bitwarden, 1Password, Dashlane, KeePass).
Exporter régulièrement vos mots de passe Safari depuis Réglages → Mots de passe → Exporter (iOS 17+ et macOS Sonoma+) vers un fichier CSV chiffré.
Vérifier que le Trousseau synchronise sur au moins deux appareils Apple : ainsi, en cas de réinitialisation accidentelle, l’autre appareil conserve la version antérieure.
Si vous utilisez un gestionnaire de mots de passe tiers comme Bitwarden ou 1Password, vos identifiants sont aussi dans ce coffre-fort indépendant, ce qui rend la perte du Trousseau iCloud beaucoup moins douloureuse. Pour un panorama complet des gestionnaires de mots de passe modernes et des passkeys (qui remplacent progressivement les mots de passe en 2026), vous pouvez consulter notre guide complet des passkeys en 2026.
Que faire si vous êtes bloqué hors de votre Android ou de votre compte Google ?
L’écosystème Google est plus fragmenté qu’Apple : le code PIN qui verrouille votre téléphone Android n’est pas géré par Google mais par le constructeur (Samsung, Xiaomi, Google Pixel, OnePlus, etc.), tandis que le mot de passe de votre compte Google est centralisé sur les serveurs de Google. Il faut donc bien distinguer ces deux cas.
Code PIN ou schéma de déverrouillage Android oublié
Si vous avez oublié le code PIN à 4 ou 6 chiffres qui déverrouille votre téléphone Android, ou le schéma visuel (les 9 points à relier), plusieurs solutions existent selon la marque et la version d’Android.
Smart Lock et déverrouillage par objet de confiance : si vous avez configuré Smart Lock sur un appareil Bluetooth (montre connectée, voiture, écouteurs) ou sur votre domicile Wi-Fi, vous pouvez déverrouiller l’appareil sans le code. Vérifiez dans Réglages → Sécurité → Smart Lock sur un autre appareil.
Réinitialisation depuis votre compte Google : depuis Android 5.0 (Lollipop), vous pouvez déverrouiller un téléphone Android à distance via android.com/find si vous avez associé votre compte Google. Sélectionnez votre appareil, puis « Déverrouiller ». Cette méthode est détaillée sur la page d’aide officielle Google.
Réinitialisation d’usine (mode Recovery) : en dernier recours, éteignez le téléphone, puis maintenez simultanément les boutons Power + Volume bas (ou Power + Volume haut selon le constructeur) pour entrer dans le mode Recovery. Sélectionnez « Wipe data / Factory reset ». Attention : toutes les données locales seront effacées, mais si vous avez activé la sauvegarde automatique Google One, vos applications, contacts et préférences seront restaurés à la prochaine connexion.
Pour les téléphones Samsung spécifiquement, il existe une procédure supplémentaire via findmymobile.samsung.com qui permet de déverrouiller l’appareil à distance si vous avez un compte Samsung. Pour les Pixel, c’est via pixel.google.com/find (Google Find My Device).
Mot de passe Gmail ou compte Google oublié
Pour récupérer un compte Google (Gmail, YouTube, Drive, Photos, Android), la procédure officielle est centralisée sur la page accounts.google.com/signin/recovery. Google propose plusieurs méthodes de vérification :
Saisir le dernier mot de passe dont vous vous souvenez : même ancien, cela aide Google à vérifier votre identité.
Recevoir un code par SMS au numéro de téléphone de récupération.
Recevoir un email de récupération à l’adresse secondaire configurée.
Valider depuis un autre appareil où vous êtes déjà connecté (un téléphone Android, un Chromebook, une session Chrome active).
Google ne propose plus de « questions de sécurité » depuis 2023, car cette méthode était régulièrement contournée par les pirates. Désormais, tout repose sur la combinaison téléphone de récupération + appareil de confiance + email de secours. Si vous n’avez configuré aucun de ces éléments, la procédure est presque impossible. C’est pourquoi Google encourage désormais les passkeys, qui contournent entièrement le problème du mot de passe oublié en s’appuyant sur la biométrie de votre téléphone.
Android sans compte Google configuré : que faire ?
Si vous utilisez un téléphone Android sans compte Google associé (configuration rare mais possible, notamment sur les appareils importés ou les versions « entreprise »), la récupération en cas de blocage complet repose sur les outils du constructeur :
Samsung Find My Mobile : si vous avez créé un compte Samsung même sans compte Google, vous pouvez déverrouiller à distance via findmymobile.samsung.com.
Pixel Find My Device : pour les Pixel, même sans session Google active, le compte Google est en général associé lors du premier démarrage. Sans lui, seule la réinitialisation d’usine reste possible.
Constructeurs chinois (Xiaomi, Oppo, OnePlus, Realme, Vivo) : chacun propose son propre service de localisation (Mi Cloud pour Xiaomi, HeyTap pour Oppo/OnePlus). Si vous avez créé un compte sur ces services avant le blocage, vous pouvez déverrouiller à distance.
Pour les marques plus confidentielles ou les appareils d’occasion, la seule option est souvent de retourner chez le revendeur ou le SAV du constructeur avec la facture d’achat et une pièce d’identité pour prouver que vous êtes le propriétaire légitime.
Données d’applications perdues après une réinitialisation Android
Si vous avez dû réinitialiser votre Android et que vous avez perdu vos conversations WhatsApp, vos photos, vos paramètres d’apps, la bonne nouvelle est qu’Android restaure automatiquement les applications et leurs données si vous êtes connecté à votre compte Google et que vous avez activé la sauvegarde Google One (ou la sauvegarde Google classique sur Android 8 et inférieur).
Pour vérifier que la sauvegarde fonctionne, allez dans Réglages → Google → Sauvegarde et assurez-vous que « Sauvegarder sur Google Drive » est activé. Pour WhatsApp spécifiquement, le service sauvegarde désormais dans Google Drive, et la restauration se déclenche automatiquement à la première ouverture de l’app après la réinitialisation, à condition d’utiliser le même numéro de téléphone.
Si vous souhaitez supprimer complètement votre compte Google et repartir de zéro, nous avons documenté la procédure complète dans notre article Comment supprimer un compte Google en 2026 (guide RGPD). La procédure est plus complexe qu’elle n’en a l’air, car Google conserve de nombreuses données même après suppression du compte principal.
Que faire si vous avez oublié votre mot de passe Microsoft ou Outlook ?
Comme Google et Apple, Microsoft propose plusieurs méthodes de vérification cumulatives :
Recevoir un code par SMS au numéro de téléphone de récupération.
Recevoir un email de récupération à une adresse secondaire.
Utiliser l’application Microsoft Authenticator pour valider la demande de réinitialisation (méthode la plus sécurisée en 2026).
Saisir un code de récupération parmi les 25 codes générés lors de l’activation du 2FA.
Windows Hello cassé après une réinitialisation : comment retrouver l’accès
Windows Hello (reconnaissance faciale, empreinte digitale, code PIN) est lié à votre compte local Windows, pas à votre compte Microsoft. Si vous réinitialisez Windows, vous perdez le code PIN Hello mais pas votre compte Microsoft. Lors de la première connexion après réinitialisation, Windows vous demande de créer un nouveau code PIN à 4 ou 6 chiffres.
Si vous avez oublié le code PIN Hello (et non votre mot de passe Microsoft), la procédure est différente : depuis l’écran de connexion Windows, cliquez sur « Options de connexion » → « Mot de passe Microsoft », puis connectez-vous avec votre mot de passe Microsoft classique. Vous serez ensuite invité à créer un nouveau PIN Windows Hello.
Compte Xbox lié à un compte Microsoft piraté
Votre compte Xbox (gamertag, achievements, bibliothèque de jeux, solde) est en fait un compte Microsoft. Si quelqu’un s’y est connecté, la procédure est identique à celle d’un compte Microsoft piraté : réinitialisez le mot de passe sur account.microsoft.com, vérifiez l’historique des connexions dans Sécurité → Activité récente, puis activez la double authentification si elle ne l’était pas déjà.
Pour les achats frauduleux effectués sur votre compte Xbox, contactez le support Microsoft dans les 30 jours suivant la transaction pour demander un remboursement. Microsoft dispose d’une procédure de protection des consommateurs spécifique aux achats numériques sur le Xbox Store, accessible depuis la même page de compte.
Comment récupérer WhatsApp, Instagram et Facebook quand on a perdu l’accès ?
Les trois réseaux Meta (WhatsApp, Instagram, Facebook) partagent une partie de l’infrastructure de récupération, mais chacun a ses propres règles. Voici ce qu’il faut savoir pour chacun.
WhatsApp : vérification par SMS ou email
WhatsApp repose quasi exclusivement sur votre numéro de téléphone. La procédure officielle de récupération est documentée sur le centre d’aide WhatsApp, en cherchant « réinitialiser votre compte » ou « vol de compte ». Si vous avez perdu l’accès à votre numéro ou si quelqu’un a enregistré votre numéro sur un autre appareil, voici la marche à suivre :
Réinstaller WhatsApp sur votre téléphone (avec le même numéro) déclenche un SMS de vérification à 6 chiffres. Saisissez-le, et vous retrouvez votre compte et toutes vos conversations sauvegardées.
Si vous avez ajouté un email dans Réglages → Compte → Email de récupération (option disponible depuis 2022), vous pouvez recevoir un lien de désactivation par email si quelqu’un active votre numéro sur un autre appareil. C’est votre meilleure protection contre le piratage par échange de carte SIM.
Si votre numéro a été désactivé par l’opérateur (par exemple après un échange de SIM frauduleux), contactez votre opérateur en urgence pour récupérer votre numéro, puis réinstallez WhatsApp.
Instagram propose deux flux distincts selon la situation, documentés sur le centre d’aide Instagram :
Mot de passe oublié (pas de piratage) : sur l’écran de connexion, cliquez sur « Mot de passe oublié », puis saisissez votre nom d’utilisateur, email ou numéro de téléphone. Instagram envoie un lien de réinitialisation par email ou SMS.
Compte piraté : Instagram a mis en place une procédure dédiée « Mon compte a été piraté » accessible depuis la page de connexion. Vous devrez prouver votre identité en vidéo selfie (Instagram compare avec les photos déjà publiées sur le compte). Le délai de récupération varie de 24 heures à 7 jours.
Si vous n’avez plus accès à l’email de récupération d’Instagram, il existe une procédure spécifique « Je ne peux pas réinitialiser mon mot de passe » qui demande de saisir plusieurs informations (email d’origine, type d’appareil, date approximative d’inscription). Plus vous donnez d’informations, plus la vérification est rapide.
Mot de passe oublié sans piratage : procédure classique « Mot de passe oublié » avec envoi d’un code par email ou SMS. Si vous avez configuré des contacts de confiance (amis pouvant vous envoyer un code de récupération), cette option est disponible.
Compte piraté : facebook.com/hacked vous guide pas à pas pour sécuriser le compte, déconnecter les sessions actives, et récupérer l’accès. Facebook propose aussi un centre de comptes compromis (compromised accounts) qui peut être atteint même si quelqu’un a déjà changé votre email et votre mot de passe.
Facebook propose également une option « amis de confiance » héritée : si vous avez configuré 3 à 5 amis de confiance, ils peuvent recevoir des codes de récupération qui, combinés, permettent de débloquer votre compte. Cette méthode reste utile quand vous n’avez plus accès ni à votre email ni à votre téléphone.
Discord, TikTok, Twitch, X : comment récupérer un compte sur les plateformes secondaires
Pour les plateformes moins centrales que les écosystèmes Apple/Google/Microsoft, les procédures de récupération sont plus rapides à exécuter mais parfois moins robustes. Voici un tour d’horizon rapide.
Discord : mot de passe oublié ou 2FA bloqué
Pour réinitialiser votre mot de passe Discord, rendez-vous sur discord.com/login et cliquez sur « Mot de passe oublié ». Un email vous est envoyé à l’adresse associée. Si vous avez activé la double authentification par SMS et que vous avez changé de numéro, la situation se complique : Discord vous demandera un code de secours (Backup codes) généré lors de l’activation du 2FA. Si vous avez sauvegardé ces codes, tout va bien. Sinon, vous devrez contacter le support Discord via support.discord.com/hc/fr/requests/new avec une preuve d’identité.
TikTok : email de récupération et selfie vidéo
TikTok propose trois méthodes de récupération du compte :
Par email : procédure classique « Mot de passe oublié » sur l’écran de connexion.
Par SMS : si un numéro de téléphone est associé au compte.
Par selfie vidéo : TikTok peut demander un selfie vidéo pour vérifier votre identité, en comparant avec les vidéos précédemment publiées sur le compte. Cette méthode est efficace contre les pirates qui n’ont pas votre visage.
Twitch : email obligatoire, peu de sorties de secours
Twitch repose essentiellement sur votre compte Amazon (suite au rachat de 2014). Si vous avez oublié votre mot de passe Twitch, la procédure est identique à celle d’Amazon : amazon.fr/ap/forgotpassword. Si vous n’avez plus accès à l’email, contactez le support Twitch via help.twitch.tv avec votre dernière adresse IP connue, vos anciens pseudos, et la liste de vos chaînes suivies.
X (ex-Twitter) : authentification à deux facteurs et email de secours
Sur X, la récupération de compte sans accès à l’email de secours est extrêmement difficile depuis 2023, date à laquelle X a supprimé la vérification par SMS pour les comptes non-payants. Si vous êtes abonné à X Premium, vous pouvez utiliser la vérification par SMS. Sinon, la seule voie est l’email de secours ou les codes de secours 2FA générés lors de l’activation de la double authentification.
Si vous avez perdu l’accès à votre compte X, commencez par twitter.com/account/begin_password_reset. Si cela échoue, rendez-vous sur help.twitter.com/fr/forms/account-access pour remplir le formulaire d’accès au compte. Préparez votre nom d’utilisateur, l’email d’origine, et toute information que vous avez sur la date de création du compte.
Que faire quand le deuxième facteur d’authentification est perdu ?
La double authentification (2FA) protège votre compte même si quelqu’un a votre mot de passe. Mais quand c’est vous qui perdez l’accès au deuxième facteur, la situation devient paradoxalement plus complexe que sans 2FA du tout. Voici les trois cas typiques et leurs solutions.
Codes de secours : votre sortie de secours 2FA
Quand vous activez le 2FA sur Google, Apple, Microsoft, Facebook, Instagram ou Discord, le service vous propose de générer entre 5 et 25 codes de secours à usage unique. Ces codes sont votre sortie de secours universelle : si vous perdez l’accès à votre application authenticator ou à votre numéro de téléphone, l’un de ces codes suffit pour valider la connexion et reconfigurer le 2FA.
La règle d’or est simple : imprimez ou photocopiez ces codes, et stockez-les dans un endroit sûr (coffre-fort, gestionnaire de mots de passe chiffré, ou simplement dans une enveloppe fermée dans un tiroir). Trop d’utilisateurs activent le 2FA, font confiance au flux numérique, et découvrent au pire moment qu’ils n’ont plus accès à rien.
Pour les utilisateurs avancés qui veulent sortir totalement du paradigme du mot de passe et du 2FA, les clés de sécurité physiques comme YubiKey ou Titan Security Key offrent une protection matérielle qui ne dépend ni d’un téléphone ni d’un numéro. Nous les détaillons dans notre article dédié Clés de sécurité physiques YubiKey et Titan : le guide 2026.
Numéro de téléphone perdu ou changé
Si vous avez changé de numéro de téléphone et que vous n’avez pas mis à jour votre numéro de récupération sur vos comptes, vous êtes vulnérable. Voici comment rattraper la situation compte par compte :
Apple ID : connectez-vous sur account.apple.com depuis un appareil de confiance, ajoutez le nouveau numéro dans Connexion et sécurité → Numéros de confiance, puis retirez l’ancien après une période de grâce de 30 jours.
Google : sur myaccount.google.com/phone, ajoutez le nouveau numéro. Google peut demander une vérification par email ou par code envoyé à un autre appareil pendant la transition.
Microsoft : même procédure sur account.microsoft.com, section Vos informations → Numéro de téléphone.
WhatsApp : dans Réglages → Compte → Changer de numéro, WhatsApp propose une migration complète de votre historique de conversations et de vos groupes vers le nouveau numéro.
Application authenticator réinstallée ou perdues
Si vous utilisez Google Authenticator, Microsoft Authenticator, Authy ou 1Password comme deuxième facteur, et que vous changez de téléphone ou réinitialisez l’application sans avoir exporté les secrets, vous perdez l’accès à tous les comptes protégés par cette app.
La parade dépend de l’application :
Google Authenticator : depuis 2023, Google Authenticator synchronise automatiquement vos codes 2FA dans le cloud Google si vous êtes connecté à votre compte Google. La restauration se fait automatiquement à la première ouverture sur un nouveau téléphone. Si vous n’avez pas activé cette synchronisation, vos codes sont définitivement perdus.
Microsoft Authenticator : sauvegarde dans le cloud Microsoft (compte Microsoft). Restauration automatique à la première ouverture sur un nouveau téléphone après connexion au compte Microsoft.
Authy : sauvegarde chiffrée dans le cloud Twilio. Restauration en saisissant le mot de passe principal défini lors de la première configuration.
1Password et Bitwarden : les codes 2FA sont stockés comme n’importe quelle entrée dans votre coffre-fort. La restauration suit la procédure classique de récupération du coffre-fort.
Pour chaque compte où l’authenticator ne fonctionne plus, vous devrez utiliser un autre mode de vérification (code de secours, email, SMS) pour désactiver le 2FA, puis le reconfigurer avec le nouvel appareil. Si vous n’avez aucune autre méthode, il faudra passer par la procédure de récupération officielle du service, qui peut prendre plusieurs jours et demander des preuves d’identité.
Compte piraté (et pas juste oublié) : la procédure d’urgence
Un compte piraté n’est pas la même situation qu’un compte oublié. Les signes qui doivent alerter :
Vous recevez un email de confirmation pour un changement de mot de passe ou d’email que vous n’avez pas demandé.
Vous voyez des connexions depuis des pays ou des villes où vous n’avez jamais mis les pieds.
Vos contacts reçoivent des messages que vous n’avez pas envoyés (souvent des arnaques ou des liens).
Des achats apparaissent sur vos comptes (App Store, Google Play, Amazon, Xbox) sans votre autorisation.
Votre email de récupération a été modifié, vous empêchant de réinitialiser votre mot de passe.
Étape 1 : changer le mot de passe et déconnecter tous les appareils
La première urgence est de reprendre le contrôle du compte. Connectez-vous (si possible) depuis un appareil de confiance, changez immédiatement le mot de passe, et activez la double authentification si elle ne l’était pas déjà.
Ensuite, déconnectez toutes les sessions actives :
Facebook / Instagram : Paramètres → Sécurité et connexion → Lieux de connexion → Déconnecter toutes les sessions.
Étape 2 : vérifier les redirections email et les alias créés par le pirate
Les pirates qui prennent le contrôle d’un compte créent souvent des règles de transfert email invisibles pour continuer à intercepter vos emails de récupération, même après que vous avez repris le contrôle du compte principal. Vérifiez immédiatement :
Gmail : Paramètres → Voir tous les paramètres → Transfert et POP/IMAP. Supprimez toute adresse de transfert que vous ne reconnaissez pas.
Outlook : Paramètres → Courrier → Transfert. Supprimez les redirections suspectes.
Vérifiez aussi les filtres : dans Gmail, Paramètres → Filtres, vérifiez qu’aucun filtre ne supprime automatiquement les emails contenant « security », « verification » ou « password ».
Cette étape est critique : sans elle, le pirate peut continuer à intercepter vos emails de sécurité et reprendre le contrôle dans les heures qui suivent.
Étape 3 : signaler à PHAROS, Cybermalveillance.gouv.fr et déposer plainte
En France, plusieurs plateformes officielles permettent de signaler un piratage :
PHAROS : internet-signalement.gouv.fr (portail officiel de signalement de contenus et comportements illicites sur internet).
Cybermalveillance.gouv.fr : fiche réflexe hameçonnage / phishing pour la procédure complète en cas de phishing, et formulaire d’assistance personnalisé pour les particuliers.
Signal Spam : signal-arnaques.com pour les emails de phishing, contribue à enrichir la base collaborative française anti-arnaques.
Phishing Initiative : phishing-initiative.fr pour signaler les URL malveillantes et les faire bloquer par les navigateurs.
Dépôt de plainte : en commissariat ou gendarmerie, en joignant toutes les preuves (captures d’écran, emails, dates et heures). Pour les piratages impliquant un gain financier pour le pirate, c’est indispensable pour déclencher une enquête et pour votre assurance éventuelle.
Pour les fuites de données personnelles au sens du RGPD (article 33), notifiez également la CNIL dans les 72 heures suivant la découverte, surtout si la fuite concerne des données sensibles (santé, opinions, situation financière). La CNIL publie régulièrement sur son site les sanctions et procédures à suivre pour les victimes.
🔴 À éviter face à un compte inaccessible
Cliquer sur un lien reçu par email/SMS prétendant venir de votre banque, d’Apple, de Google, de Microsoft ou de tout autre service. Même si le logo et l’adresse semblent corrects.
Chercher « Apple ID perdu » ou « récupérer compte Google » sur Google et cliquer sur la première annonce sponsorisée. Les pirates achètent ces mots-clés en priorité.
Donner votre mot de passe, votre code 2FA ou votre carte bancaire à un « technicien » qui vous a contacté par téléphone, même s’il vous donne votre adresse et votre date de naissance.
Payer une rançon pour « récupérer » votre compte. Aucun service officiel ne demande de paiement pour récupérer un compte compromis.
Réutiliser le même mot de passe après un piratage. Le pirate va tester immédiatement ce mot de passe sur Gmail, PayPal, Amazon, votre banque.
✅ À faire face à un compte inaccessible
Ouvrir un nouvel onglet et taper vous-même l’URL officielle (support.apple.com, myaccount.google.com, account.microsoft.com).
Vérifier que vous êtes sur le bon domaine en cliquant sur le cadenas du navigateur (le certificat doit être émis pour apple.com, google.com, microsoft.com).
Utiliser un mot de passe unique et long pour chaque compte (minimum 16 caractères, idéalement une phrase de passe générée par un gestionnaire).
Activer la double authentification immédiatement après la récupération, en privilégiant une application authenticator ou une clé physique plutôt que le SMS.
Sauvegarder vos codes de secours dans un endroit sûr dès l’activation du 2FA. Ce sont vos sorties de secours.
Signaler tout piratage à PHAROS et déposer plainte si vous avez subi un préjudice financier.
Questions fréquentes sur la récupération de compte
Quelle est la différence entre le code de l’iPhone et le mot de passe Apple ID ? ▼
Le code de l’iPhone (4 ou 6 chiffres) verrouille l’appareil physique. Il est stocké localement sur le processeur sécurisé de l’iPhone. Le mot de passe Apple ID protège votre compte en ligne (iCloud, App Store, Messages, Photos). Les deux sont indépendants : vous pouvez oublier l’un sans que l’autre soit compromis, et inversement. Pour récupérer le code iPhone, il faut effacer l’appareil puis restaurer depuis iCloud. Pour récupérer le mot de passe Apple ID, il faut passer par iforgot.apple.com et la double authentification ou un email de récupération.
Combien de temps prend la récupération d’un compte Google piraté ? ▼
Si vous avez encore accès à votre téléphone de récupération ou à un autre appareil de confiance, la procédure prend entre 5 minutes et 1 heure. Si vous n’avez accès à aucune méthode de vérification standard, Google propose une procédure de vérification manuelle qui peut prendre entre 3 et 14 jours ouvrés. Vous devrez fournir une preuve d’identité (carte d’identité ou passeport) et des informations précises sur votre compte (date de création approximative, derniers contacts, derniers emails envoyés).
Puis-je récupérer mon compte si le pirate a changé l’email de récupération ? ▼
Oui, dans la majorité des cas. Apple, Google et Microsoft ont chacun une procédure dédiée « mon compte a été piraté » accessible même si l’email de récupération a été modifié. Ces procédures utilisent la vérification d’identité (carte d’identité, reconnaissance faciale, code envoyé à un autre appareil de confiance) plutôt que l’email. Pour Instagram et Facebook, la procédure « Mon compte a été piraté » propose un selfie vidéo qui est comparé aux photos déjà publiées.
Que faire si je n’ai plus accès à mon numéro de téléphone ni à mon email de récupération ? ▼
C’est la situation la plus complexe. Les options restantes sont : (1) utiliser un autre appareil de confiance encore connecté à votre compte (un Mac, un iPad, un Chromebook, un second téléphone) pour valider la demande de réinitialisation ; (2) utiliser un code de secours 2FA si vous en aviez sauvegardé ; (3) contacter le support officiel du service avec une preuve d’identité pour les comptes critiques (banque, Microsoft, Apple). Sans aucun de ces éléments, la récupération devient quasi impossible, ce qui souligne l’importance de toujours avoir au moins deux méthodes de récupération configurées.
Les passkeys vont-ils remplacer les mots de passe oubliés ? ▼
En partie, oui. Les passkeys (clés d’accès) utilisent la biométrie de votre téléphone (empreinte, reconnaissance faciale) ou un code PIN local pour vous authentifier, ce qui élimine la possibilité d’oubli et de phishing. En 2026, Apple, Google et Microsoft supportent nativement les passkeys, et des centaines de sites (Amazon, PayPal, eBay, GitHub, Adobe, etc.) les acceptent déjà. Pour un panorama complet, consultez notre guide des passkeys en 2026. À noter : les passkeys ne remplacent pas entièrement le mot de passe aujourd’hui, car tous les sites ne les supportent pas encore.
Comment savoir si mon mot de passe a fuité dans une base de données piratée ? ▼
Trois services gratuits fiables : (1) haveibeenpwned.com, créé par le chercheur en sécurité Troy Hunt, référence toutes les fuites publiques majeures depuis 2013 ; (2) la vérification intégrée à Google Chrome (chrome://password-manager → Checkup), qui compare vos mots de passe enregistrés à la base Google ; (3) la vérification intégrée à Firefox Monitor, propulsée par la même base haveibeenpwned. Pour les adresses email professionnelles, votre service informatique utilise probablement des outils internes similaires. Si votre email apparaît dans une fuite, changez immédiatement le mot de passe concerné et activez la double authentification.
Que faire si je reçois un email « votre compte a été compromis » alors que je n’ai rien remarqué ? ▼
Ne cliquez pas sur le lien contenu dans l’email. Ouvrez un nouvel onglet, tapez vous-même l’URL officielle du service dans votre navigateur, et vérifiez directement dans vos paramètres si quelque chose cloche. Si l’email est légitime (vérifiable dans votre boîte de réception « sécurité »), vous verrez la même alerte. Si l’email est un phishing, il sera absent du site officiel. En cas de doute, transférez l’email à signal-spam@signal-spam.fr (France) ou à reportphishing@apwg.org (international) pour analyse.
Un ami a changé son mot de passe WhatsApp, puis-je récupérer ses messages ? ▼
Non. Chaque compte WhatsApp est strictement personnel et chiffré de bout en bout. Quand vous changez votre mot de passe ou réinstallez WhatsApp, vos conversations sont restaurées uniquement sur votre propre téléphone via la sauvegarde Google Drive ou iCloud (selon votre plateforme). Personne d’autre, y compris WhatsApp et Meta, ne peut lire le contenu de vos messages. C’est précisément la promesse du chiffrement de bout en bout : la clé de déchiffrement ne quitte jamais votre appareil.
Comment signaler un site frauduleux en France ? ▼
Quatre plateformes cumulables : (1) PHAROS sur internet-signalement.gouv.fr pour la police et la gendarmerie nationales ; (2) SignalConso sur signal.conso.gouv.fr pour la DGCCRF (arnaques commerciales) ; (3) Phishing Initiative sur phishing-initiative.fr pour le blocage navigateur ; (4) Signal-Arnaques sur signal-arnaques.com pour la base collaborative française. Pour identifier un site suspect avant de cliquer, les 9 signaux détaillés dans notre article Comment reconnaître un site frauduleux en 2026 vous éviteront la majorité des pièges.
Quelles sont les méthodes de piratage de compte les plus courantes en 2026 ? ▼
Cinq grandes familles dominent : (1) le phishing classique par email ou SMS, avec une page de connexion factice ; (2) le SIM swapping où le pirate convainc votre opérateur de transférer votre numéro sur sa carte SIM ; (3) le push bombing ou MFA fatigue, détaillé dans notre article MFA fatigue attack en 2026, où le pirate vous inonde de demandes de validation 2FA jusqu’à ce que vous en acceptiez une par erreur ; (4) les fuites massives de bases de données qui réutilisent vos identifiants sur d’autres services ; (5) les arnaques au faux support technique, détaillées dans notre article sur les faux assistants IA Microsoft et Apple.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
