📋 Sur cette page
Ce que ça veut dire exactement
Quand Chrome ou Firefox t'affiche une alerte "mot de passe compromis", ça ne veut pas nécessairement dire que ton compte a été accédé. Ça veut dire que la combinaison courriel/mot de passe que tu utilises est apparue dans une base de données volée — lors d'une brèche de données chez un service tiers.
Si c'est HaveIBeenPwned (haveibeenpwned.com) qui t'alerte, même chose : ton adresse courriel est associée à un incident de sécurité. Ça peut remonter à des années.
Le vrai danger : si tu utilises le même mot de passe sur plusieurs sites, un fraudeur qui possède la combinaison volée va essayer de s'en servir partout. C'est ce qu'on appelle une attaque de credential stuffing — automatisée, rapide, et très courante.
Le cas le plus fréquent au Québec : une brèche chez un service américain (LinkedIn 2021, Facebook 2021, LastPass 2022) expose ton courriel. Si tu as le même mot de passe sur Desjardins, ton compte Revenu Québec, ou ta banque — c'est là que le risque est réel.
Vérifier l'étendue du problème
Avant d'agir, comprends ce qui s'est passé :
- Va sur haveibeenpwned.com et entre ton adresse courriel. Le site te dit quelles brèches t'impliquent et quand elles ont eu lieu.
- Dans Chrome : Paramètres → Remplissage automatique → Gestionnaire de mots de passe → Vérifier les mots de passe. Chrome te liste tous les mots de passe compromis, réutilisés, ou faibles.
- Dans Firefox : Menu → Mots de passe (ou about:logins). L'icône d'avertissement indique les mots de passe apparus dans une brèche connue.
Une fois que tu sais quels comptes sont concernés, tu peux agir dans le bon ordre.
Les 4 étapes à faire maintenant
Change le mot de passe compromis sur le compte d'origine
Commence par le compte où la brèche a eu lieu. Crée un nouveau mot de passe unique — au moins 14 caractères, mélange de lettres, chiffres, et symboles. Ou utilise une phrase de passe (ex : PommeTerreauCiel!2026).
Ne réutilise pas ce nouveau mot de passe ailleurs. C'est la règle la plus importante.
Change ce mot de passe partout où tu l'utilisais
C'est là que la plupart des gens font l'erreur : ils changent le mot de passe sur le compte qui a été compromis, mais oublient les 8 autres sites où ils utilisaient le même. Cherche dans ton gestionnaire de mots de passe (ou dans ta mémoire) tous les sites avec ce mot de passe.
Pour chaque site : crée un nouveau mot de passe différent. Oui, ça prend du temps. Priorise les comptes financiers, courriel, et gouvernementaux en premier.
Active l'authentification à deux facteurs (2FA)
Un mot de passe seul n'est jamais suffisant pour les comptes critiques. Le 2FA ajoute une deuxième couche : même si quelqu'un a ton mot de passe, il ne peut pas se connecter sans le code que tu reçois sur ton téléphone.
Active-le sur : ton courriel principal, tes comptes bancaires, Revenu Québec / Mon Dossier ARC, et les réseaux sociaux. Pour les applications d'authentification, Google Authenticator ou Aegis (Android) sont recommandés. Évite le 2FA par SMS sur les comptes très sensibles — les SIM swap attacks visent les numéros de téléphone.
Guide complet : Authentification à deux facteurs au Québec.
Vérifie les activités récentes de tes comptes
Pour chaque compte important, cherche l'historique de connexion. Gmail : Paramètres → Activité du compte. Facebook : Paramètres → Sécurité → Activité de connexion. Desjardins et les banques : vérifie les transactions et l'historique d'accès.
Si tu vois des connexions d'endroits inhabituels ou à des heures où tu dormais : contacte le service immédiatement et envisage de geler le compte temporairement.
Comptes à Risque Élevé au Québec
Comptes financiers : Desjardins, RBC, TD, BMO, Scotia, National, Tangerine, EQ Bank. Change le mot de passe et active le 2FA immédiatement si ce n'est pas déjà fait.
Espace citoyen Revenu Québec : accès à tes déclarations, remboursements, et dépôt direct. Consulte notre guide sécuriser ton dossier fiscal au Québec.
Mon Dossier CRA : même importance. Des fraudeurs ont redirigé des remboursements de TPS/TVQ en modifiant les infos de dépôt direct via Mon Dossier.
Ton adresse courriel principale : si quelqu'un accède à ton courriel, il peut réinitialiser les mots de passe de tous tes autres comptes via "mot de passe oublié". C'est le compte le plus critique à sécuriser.
Après la Crise — Éviter la Répétition
La vraie solution à long terme est un gestionnaire de mots de passe. Il génère un mot de passe unique pour chaque site, les mémorise à ta place, et t'alerte si l'un d'eux apparaît dans une brèche.
Les options recommandées pour les Québécois :
- Bitwarden — open source, gratuit pour les fonctions essentielles, serveurs hébergeables en Europe si la confidentialité t'importe. Disponible sur iOS, Android, Windows, Mac.
- 1Password — excellent pour les familles et équipes, ~3 CAD/mois, bonne réputation de sécurité. Interface plus conviviale que Bitwarden.
- Gestionnaire intégré de Chrome/Safari/Firefox — suffisant pour commencer, mais moins sécurisé que les options dédiées si ton appareil est compromis.
Pour une comparaison détaillée et la configuration étape par étape : Guide des gestionnaires de mots de passe au Québec.
Si tu veux aussi savoir si ton adresse a été utilisée dans des fraudes ou vols d'identité plus larges, le guide vol d'identité — que faire couvre les étapes au-delà du seul mot de passe.