Un compte Facebook piraté se manifeste le plus souvent par l’ap­pa­ri­tion de pu­bli­ca­tions ou de messages inconnus, ou par des dif­fi­cul­tés de connexion. Dans ce cas, il est essentiel d’agir im­mé­dia­te­ment, de sécuriser le compte, de modifier le mot de passe et de lancer sans attendre la procédure de ré­cu­pé­ra­tion.

Nom de domaine
Votre domaine en un clic
  • 1 cer­ti­fi­cat SSL Wildcard par contrat
  • Fonction incluse Domain Connect pour une con­fi­gu­ra­tion DNS sim­pli­fiée

Guide rapide : que faire en cas de compte Facebook piraté ?

  1. Consultez votre boîte de réception afin de vérifier si vous avez reçu des messages de Facebook con­cer­nant des chan­ge­ments de mot de passe ou des alertes de sécurité. Si un email au­then­tique signale une mo­di­fi­ca­tion, vous pouvez l’annuler via le lien inclus.
  2. Modifiez ensuite vous-même le mot de passe du compte.
  3. Vérifiez si le compte email associé est également concerné par le piratage et modifiez, si né­ces­saire, l’adresse email en­re­gis­trée sur Facebook.
  4. Si vous ne pouvez plus vous connecter, lancez la procédure de ré­cu­pé­ra­tion sur facebook.com/hacked ou di­rec­te­ment dans l’ap­pli­ca­tion via « Mot de passe oublié ? > Besoin d’aide sup­plé­men­taire ? ».
  5. Si vous avez configuré des contacts de confiance, ceux-ci peuvent, le cas échéant, vous aider à récupérer l’accès, par exemple à l’aide de codes.
  6. Accédez au Centre de comptes, ouvrez « Mot de passe et sécurité » et vérifiez quels appareils sont ac­tuel­le­ment connectés sous « Lieux connectés », ainsi que si des adresses email ou des numéros de téléphone inconnus ont été ajoutés.
  7. Si ces étapes n’abou­tis­sent pas, utilisez les options d’as­sis­tance proposées par Facebook.

Quels sont les signes d’un compte Facebook piraté ?

Vous pouvez souvent re­con­naître un compte Facebook piraté à l’aide des indices suivants :

  • Des pu­bli­ca­tions, com­men­taires ou demandes d’ajout en ami ap­pa­rais­sent sans que vous en soyez à l’origine.
  • Votre photo de profil ou votre nom a été modifié sans votre in­ter­ven­tion.
  • Vous recevez des emails con­cer­nant des chan­ge­ments de mot de passe ou des alertes de sécurité, alors que vous n’avez effectué aucune mo­di­fi­ca­tion.
  • Vous ne pouvez plus vous connecter, car le mot de passe ou l’adresse email associée au compte a été modifié.
  • Facebook signale des con­nexions depuis des appareils ou des em­pla­ce­ments inconnus.

Si vous constatez l’un de ces signes, il est important d’agir im­mé­dia­te­ment. Plus la réaction est rapide, plus les chances de récupérer le compte sont élevées. Il est également essentiel de modifier votre mot de passe partout où il est utilisé, surtout s’il est identique sur plusieurs services. Dans le cas contraire, d’autres comptes peuvent être compromis, par exemple votre compte Instagram peut être piraté.

Quelles sont les possibles méthodes d’attaque ?

Il existe de nom­breuses cy­be­rat­taques per­met­tant d’accéder à un compte Facebook. La plupart de ces méthodes con­dui­sent au même résultat : une fois le compte Facebook piraté, vous pouvez perdre to­ta­le­ment l’accès à votre profil.

Phishing

Avec cette méthode, les at­ta­quants se font passer, via ce que l’on appelle des emails de phishing, pour des personnes de confiance ou même pour des or­ga­ni­sa­tions of­fi­cielles. Ils cherchent ainsi à gagner votre confiance afin d’obtenir, par le biais de liens ou de for­mu­laires, des données sensibles comme des iden­ti­fiants de connexion Facebook.

Une autre variante consiste à créer des fausses pages de connexion qui res­semblent fortement à la page of­fi­cielle. Les iden­ti­fiants saisis par les uti­li­sa­teurs y sont alors di­rec­te­ment in­ter­cep­tés. Ce type d’attaque est de plus en plus fréquent, y compris via des messages SMS.

Mesure de pro­tec­tion : vérifiez sys­té­ma­ti­que­ment l’ex­pé­di­teur et l’URL avant de cliquer sur un lien ou de saisir des in­for­ma­tions.

Key­log­ging

Les key­log­gers sont des pro­grammes qui en­re­gistrent les frappes au clavier des uti­li­sa­teurs et les stockent dans un fichier. Dans le cas de logiciels mal­veil­lants, souvent dis­si­mu­lés à l’insu de l’uti­li­sa­teur dans des pièces jointes ou des té­lé­char­ge­ments infectés, ces données sont trans­mises di­rec­te­ment aux at­ta­quants. Ceux-ci peuvent ainsi récupérer l’ensemble des saisies ef­fec­tuées, y compris des iden­ti­fiants de connexion.

Mesure de pro­tec­tion : utilisez un antivirus à jour, effectuez des analyses ré­gu­lières du système et n’ouvrez jamais de fichiers ou de pièces jointes suspects.

Dé­tour­ne­ment de session

Le dé­tour­ne­ment de session vise à in­ter­cep­ter des cookies contenant des in­for­ma­tions sensibles. Pour cela, l’attaquant surveille la com­mu­ni­ca­tion entre l’uti­li­sa­teur et le serveur afin de récupérer des données de session actives. Une méthode autrefois répandue reposait sur l’extension Firefox Firesheep, prin­ci­pa­le­ment utilisée sur des réseaux Wi-Fi publics non sécurisés.

Mesure de pro­tec­tion : évitez les con­nexions via des hotspots publics pour des services sensibles et veillez à utiliser uni­que­ment des con­nexions chiffrées, par exemple via HTTPS.

QR codes mal­veil­lants

Les QR codes sont de plus en plus exploités pour rediriger vers des pages de phishing ou dé­clen­cher le té­lé­char­ge­ment de logiciels mal­veil­lants. On les retrouve notamment sur de faux sites de jeux-concours, des flyers manipulés ou des supports pu­bli­ci­taires falsifiés. Dans l’espace public, des stickers pré­ten­dant pro­mou­voir des artistes Spotify ou d’autres contenus peuvent également rediriger vers des pages Web frau­du­leuses ou non sé­cu­ri­sées.

Mesure de pro­tec­tion : vérifiez sys­té­ma­ti­que­ment la des­ti­na­tion d’un QR code avant de l’ouvrir. Ne le scannez que si la source est fiable ou si l’action est réel­le­ment né­ces­saire.

Comment reprendre le contrôle de son compte Facebook ?

Si vous soup­çon­nez que votre compte a été piraté, la marche à suivre dépend avant tout du fait que vous ayez encore accès au compte ou non.

L’accès à Facebook est possible

Si vous pouvez toujours vous connecter à votre compte Facebook, cela signifie que l’adresse email associée et le mot de passe n’ont pas encore été modifiés. Vous devez alors agir sans attendre, avant que d’autres chan­ge­ments ne soient effectués par la personne mal­veil­lante :

  1. Changer le mot de passe : ouvrez « Pa­ra­mètres > Espace Comptes > Mot de passe et sécurité > Changer de mot de passe ». Dé­fi­nis­sez un mot de passe robuste et unique, que vous n’utilisez sur aucun autre service.
  2. Vérifier l’activité de connexion : dans la section « Lieux de connexion », consultez la liste des sessions actives et mettez im­mé­dia­te­ment fin à toute connexion suspecte.
  3. Contrôler les adresses email et les numéros de téléphone : supprimez toute coor­don­née inconnue dans « Pa­ra­mètres > Espace comptes > Coor­don­nées ».
  4. Activer l’au­then­ti­fi­ca­tion à deux facteurs (2FA) : cette mesure empêche toute nouvelle connexion non autorisée, même si le mot de passe est compromis.
  5. Se protéger via Meta Protect : Facebook peut, dans certains cas, vous inviter à sécuriser au­to­ma­ti­que­ment le compte via Meta Protect. Suivez alors les étapes proposées afin de placer le compte en mode protégé et de confirmer votre identité.
Image: ION_FR_DG-TVC_MyWebsite_960x320.png
Image: ION_FR_DG-TVC_MyWebsite_1200x1200.png

L’accès à Facebook n’est plus possible

Si vous ne pouvez plus vous connecter à votre compte Facebook, lancez la procédure de ré­cu­pé­ra­tion via l’as­sis­tance of­fi­cielle :

  1. Vérifier vos emails : Facebook peut vous envoyer un message contenant un lien de réi­ni­tia­li­sa­tion du mot de passe. Utilisez-le uni­que­ment s’il provient clai­re­ment de Facebook et qu’il est au­then­tique.
  2. Utiliser la fonction de mot de passe oublié : saisissez l’adresse email ou le numéro de téléphone associé au compte Facebook afin de lancer la ré­cu­pé­ra­tion.
  3. Vérifier via Meta Protect : si Meta Protect est actif, le compte est tem­po­rai­re­ment placé en mode protégé. Vous êtes alors guidé pas à pas dans l’ap­pli­ca­tion pour confirmer votre identité, par exemple à l’aide d’un code de sécurité, d’une vidéo selfie ou de la con­fir­ma­tion d’un appareil déjà utilisé. Une fois la vé­ri­fi­ca­tion réussie, l’accès au compte est rétabli et le mot de passe peut être réi­ni­tia­lisé.
  4. Contacts de confiance : si votre compte email a également été piraté, vous pouvez, le cas échéant, utiliser les contacts de confiance con­fi­gu­rés au­pa­ra­vant pour récupérer l’accès au compte à l’aide de codes de sécurité.
  5. Contacter le support : si aucune des solutions pré­cé­dentes ne fonc­tionne, utilisez le for­mu­laire dédié de Facebook ou les options d’as­sis­tance proposées par le support Meta.

Comment sécuriser son compte Facebook piraté ?

Ces dernières années, Meta a renforcé l’in­ter­con­nexion technique de ses pla­te­formes : Facebook, Instagram, Threads et Messenger font désormais partie d’un système commun, l’Espace comptes. Celui-ci sert de point de contrôle central pour l’ensemble des comptes associés à votre iden­ti­fiant Meta. Il regroupe non seulement les pa­ra­mètres de profil et de con­fi­den­tia­lité, mais aussi les fonctions de sécurité et de ré­cu­pé­ra­tion.

Dans l’Espace comptes, vous pouvez notamment effectuer les actions suivantes :

  • Gérer vos comptes liés (Facebook, Instagram, Threads, Messenger)
  • Activer ou dissocier la connexion via un profil Meta unique
  • Ad­mi­nis­trer de manière cen­tra­li­sée toutes les options de sécurité et de connexion
  • Supprimer des appareils ou na­vi­ga­teurs suspects de la liste des sessions actives
  • Utiliser Meta Protect pour sur­veil­ler le compte et recevoir des alertes au­to­ma­tiques

La section la plus im­por­tante est l’élément de menu « Mot de passe et sécurité ». C’est à cet endroit que sont re­grou­pées l’ensemble des fonctions de pro­tec­tion et de sé­cu­ri­sa­tion du compte.

Con­fi­gu­rer l’au­then­ti­fi­ca­tion à deux facteurs

L’au­then­ti­fi­ca­tion à deux facteurs complète votre mot de passe par une deuxième couche de pro­tec­tion dynamique. Même si une personne mal­veil­lante connaît votre mot de passe, l’accès au compte reste bloqué sans le second facteur.

Dans l’Espace comptes, vous pouvez activer plusieurs méthodes de 2FA :

  • Code SMS : un code à six chiffres est envoyé sur votre téléphone à chaque connexion.
  • Ap­pli­ca­tion d’au­then­ti­fi­ca­tion : une ap­pli­ca­tion génère des codes à usage unique, in­dé­pen­dants du réseau mobile et gé­né­ra­le­ment plus sûrs que les SMS.
  • Codes de sécurité : des codes de secours peuvent être en­re­gis­trés afin de récupérer l’accès au compte en cas de perte de l’appareil principal.

Après la con­fi­gu­ra­tion, Facebook et Instagram indiquent également quels appareils sont con­si­dé­rés comme fiables et pour lesquels aucun nouveau code n’est requis à chaque connexion.

Ajouter des clés de sécurité

Pour les comptes par­ti­cu­liè­re­ment sensibles, par exemple ceux d’en­tre­prises, de créateurs ou de per­son­na­li­tés publiques, Meta permet l’uti­li­sa­tion de clés de sécurité physiques. Ces dis­po­si­tifs, comme YubiKey ou Titan Key, se con­nec­tent via USB, NFC ou Bluetooth. La connexion n’est autorisée qu’après va­li­da­tion physique de la clé.

Cette méthode présente plusieurs avantages :

  • Aucun code ne peut être in­ter­cepté ou copié
  • Pro­tec­tion efficace même en cas de phishing, car la clé est liée au domaine Meta
  • Niveau de sécurité par­ti­cu­liè­re­ment élevé pour les comptes très utilisés ou pour les ad­mi­nis­tra­teurs de pages et de comptes pro­fes­sion­nels

Protéger le compte avec des clés d’accès

Depuis 2024, Meta déploie pro­gres­si­ve­ment les clés d’accès (passkeys), une tech­no­lo­gie moderne de connexion sans mot de passe déjà prise en charge par Google et Apple. Une passkey est une clé basée sur des mé­ca­nismes de chif­fre­ment, stockée lo­ca­le­ment sur votre appareil. Lors de la connexion, l’au­then­ti­fi­ca­tion s’effectue à l’aide de données bio­mé­triques, comme une empreinte digitale ou Face ID, ou via le code PIN de l’appareil.

Fonc­tion­ne­ment des clés d’accès :

  • Lors de la première con­fi­gu­ra­tion, une paire de clés est générée, composée d’une clé publique et d’une clé privée
  • Seule la clé publique est transmise à Meta
  • Lors de la connexion, l’identité est confirmée lo­ca­le­ment sur l’appareil
  • Meta vérifie la signature cor­res­pon­dante, sans que le mot de passe ne soit jamais transmis

Meta propose désormais les passkeys dans plusieurs pays via les versions actuelles des ap­pli­ca­tions Facebook et Instagram.

Aller au menu principal