Mon compte a été piraté : infraction pénale et preuves à conserver

« On m’a piraté mon compte » est une phrase fréquente, mais juridiquement elle ne raconte pas toute l’histoire. Cela peut signifier que quelqu’un a trouvé votre mot de passe et est entré dans votre e-mail. Cela peut signifier qu’il a changé le téléphone de récupération sur Instagram. Cela peut signifier qu’il a lu des messages personnels, envoyé des fraudes à vos amis, pris des fichiers dans le cloud, effectué des achats, ouvert un prêt, retiré de l’argent d’un compte ou divulgué des données clients.

C’est pourquoi la première question n’est pas seulement « est-ce une infraction pénale ? ». La bonne question est : qu’a exactement fait l’autre personne à l’intérieur du compte ? Est-elle entrée sans autorisation ? A-t-elle lu des communications ? Copié des données ? Changé des mots de passe ? Vous a-t-elle fait chanter ? A-t-elle causé un dommage financier ? A-t-elle utilisé votre compte pour tromper des tiers ?

La réponse compte pour deux raisons. Premièrement, parce que des actes différents peuvent activer des dispositions pénales différentes. Deuxièmement, parce que les preuves disparaissent rapidement : les sessions se ferment, les IP ne sont pas visibles pour l’utilisateur, les profils changent de nom, les messages sont supprimés, les notifications disparaissent. Si vous agissez correctement pendant les premières heures, le dossier devient beaucoup plus clair.

La conclusion pratique est simple : sécurisez d’abord le compte, conservez les preuves sans les altérer, puis adressez-vous à la plateforme, à la banque lorsqu’il existe un problème financier, à la Direction de la poursuite de la cybercriminalité ou à un avocat lorsque le dommage ou le risque est sérieux.

Quand le fait que « mon compte a été piraté » peut être une infraction pénale

Dans le langage courant, on parle de « piratage » pour beaucoup de situations différentes. En droit pénal, toutefois, ce n’est pas l’étiquette qui est punie, mais l’acte précis. L’accès non autorisé à un système ou à des données est différent de la violation du secret des communications. La suppression de fichiers est différente de la fraude informatique. La détention ou la circulation de mots de passe est différente du simple usage d’un compte resté ouvert sur un ordinateur partagé.

Le tableau ci-dessous n’est pas une consultation juridique. C’est une carte pratique pour comprendre comment une affaire est analysée.

L’important est de ne pas confondre la cause technique avec la conséquence juridique. Il peut s’agir de phishing, c’est-à-dire que vous avez saisi votre mot de passe sur une fausse page. Il peut s’agir du vol d’un cookie de session. Il peut s’agir d’un ancien mot de passe issu d’une fuite. Le compte peut être resté connecté sur un appareil d’autrui. Ces détails affectent la preuve, pas nécessairement l’existence d’un acte injuste.

Les 30 premières minutes

Lorsque vous comprenez que quelque chose ne va pas, il est normal de paniquer. Ne commencez toutefois pas par une publication publique du type « on m’a piraté ». Commencez par limiter le dommage.

Sécurisez d’abord l’e-mail principal. Presque tous les autres comptes en dépendent. Si l’auteur contrôle l’e-mail de récupération, il peut reprendre l’accès aux réseaux sociaux, au cloud, aux marketplaces et aux notifications bancaires. Changez le mot de passe depuis un appareil sûr. Vérifiez si des e-mails ou téléphones de récupération inconnus ont été ajoutés. Consultez les sessions actives et déconnectez tous les appareils inconnus.

Activez ensuite ou reconfigurez une authentification forte à deux facteurs. Préférez une application d’authentification ou une passkey lorsque c’est possible. Si vous utilisez les SMS, vérifiez qu’il n’y a pas eu changement de numéro ou transfert SIM suspect. Téléchargez des codes de secours et conservez-les en dehors du compte qui vient d’être compromis.

S’il existe une dimension financière, appelez immédiatement la banque ou le prestataire de paiement. Ne vous contentez pas d’un e-mail. Demandez le blocage de la carte, le contrôle de l’e-banking, la contestation de l’opération et un numéro d’incident. Si de l’argent a été envoyé vers un compte tiers, demandez que soit engagée immédiatement une procédure de rappel ou d’alerte de la banque du bénéficiaire, lorsque cela est possible.

Enfin, informez vos proches si l’auteur envoie des messages depuis votre compte. Ne donnez pas de détails révélant de nouveaux éléments de sécurité. Un simple message depuis un autre canal, comme « ne répondez pas aux messages de mon compte et n’envoyez pas d’argent », suffit pour la première heure.

Avant qu’elles disparaissent : quelles preuves conserver

L’erreur la plus fréquente est que la victime essaie de tout « nettoyer » immédiatement. Elle supprime des messages, efface des posts, ferme des conversations, change des données sans enregistrer l’état précédent. C’est compréhensible, mais cela peut affaiblir la preuve.

Il n’est pas nécessaire de rester exposé pour conserver des preuves. Il faut agir de manière organisée. Avant les grands changements, gardez ce que vous pouvez depuis un appareil sûr.

Dans les captures d’écran, faites apparaître, lorsque possible, la date et l’heure du système. Ne coupez pas l’URL de la page. Ne masquez pas tout le profil ou le nom d’utilisateur de l’auteur. En revanche, si des coordonnées bancaires, numéros de carte, données personnelles complètes de tiers ou documents sensibles apparaissent, gardez-les pour les autorités ou l’avocat et ne les publiez pas.

Pour les e-mails, il est utile de conserver le message original, pas seulement une photographie. Les en-têtes peuvent contenir des informations techniques sur le trajet de l’e-mail. Cela ne signifie pas que le citoyen doit les analyser seul, mais il est préférable qu’ils ne soient pas perdus.

Ce qu’il ne faut pas faire

N’essayez pas de « pirater en retour ». Même si vous pensez savoir qui est l’auteur, la contre-attaque peut vous exposer à un risque juridique et technique. N’achetez pas des services prétendument de récupération proposés par des inconnus qui vous écrivent en commentaire. Beaucoup de ces profils sont une seconde fraude contre la même victime.

N’envoyez à personne vos mots de passe, OTP ou codes de secours. Aucune plateforme sérieuse, banque ou autorité policière n’a besoin que vous lui donniez votre mot de passe pour vous aider. Ne payez pas de rançon pour récupérer l’accès à un compte social, sauf après une évaluation technique et juridique sérieuse. Il n’existe généralement aucune garantie que vous récupérerez le compte ou qu’ils ne demanderont pas davantage.

Ne nommez pas publiquement une personne sans preuves. Le fait qu’un compte portait le nom de quelqu’un ne signifie pas que cette personne est l’auteur. Elle peut aussi être victime. L’accusation publique sans documentation peut ouvrir un second problème, comme la diffamation ou la violation de données personnelles.

Quand s’adresser à la Direction de la poursuite de la cybercriminalité

S’il n’existe qu’un soupçon simple sans dommage, commencez par la récupération du compte et la sécurité. Mais s’il existe un accès illégal, un chantage, un dommage financier, une menace, une fuite de données personnelles, l’utilisation du compte pour des fraudes ou l’implication d’un mineur, l’affaire ne doit pas rester uniquement dans un signalement de plateforme.

En Grèce, il est possible de déposer une plainte via gov.gr pour des cas de fraude informatique et de cybercriminalité. Le Registre national des procédures administratives mentionne également une procédure de plainte pour les crimes du cyberespace. Les instructions publiques indiquent aussi des canaux de communication avec la Direction de la poursuite de la cybercriminalité, comme une ligne téléphonique et un e-mail.

La plainte n’a pas besoin d’être parfaite pour être déposée. Elle doit toutefois être précise. Au lieu de « on m’a piraté », écrivez :

• quel compte a été compromis,
• quand vous l’avez constaté,
• ce qui a exactement changé,
• si de l’argent ou des données ont été perdus,
• quels liens, noms d’utilisateur, e-mails, IBAN ou adresses de wallet sont apparus,
• ce que vous avez déjà fait auprès de la plateforme et de la banque,
• quels fichiers de preuve vous conservez.

Si l’affaire concerne un dommage financier sérieux ou une personne suspecte connue, parlez avec un avocat avant d’agir publiquement. Pour certaines infractions et demandes, il existe des délais, des formes et des choix qui n’apparaissent pas dans un guide général en ligne.

Si le compte est professionnel

Un compte personnel piraté est sérieux. Un compte professionnel piraté peut être encore plus complexe. S’il s’agit d’un e-mail d’entreprise, d’un logiciel comptable, d’un CRM, d’un e-shop, d’un cloud avec contrats, commandes ou données clients, il ne suffit pas de changer le mot de passe et de continuer.

Il faut répondre à des questions pratiques :

• Quelles données étaient accessibles ?
• Y avait-il des données personnelles de clients, salariés ou partenaires ?
• Existe-t-il un indice qu’elles ont été copiées ou transmises ?
• L’auteur a-t-il envoyé des e-mails depuis une adresse d’entreprise ?
• Y a-t-il eu un business email compromise, c’est-à-dire un changement d’IBAN sur une facture ou un faux ordre de paiement ?
• Quand l’incident a-t-il commencé et quand a-t-il cessé ?

Dans le RGPD, il existe une obligation de notification d’une violation de données personnelles à l’Autorité hellénique de protection des données compétente lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Dans certains cas, il existe aussi une obligation d’informer les personnes concernées elles-mêmes. L’Autorité hellénique de protection des données à caractère personnel dispose d’une section d’information sur la notification d’un incident de violation.

Cela ne signifie pas que chaque login suspect devient automatiquement une notification. Cela signifie toutefois que l’entreprise doit l’évaluer, le consigner et ne pas se fier à l’espoir qu’« il ne s’est rien passé ». Pour les comptes professionnels, l’enquête technique et la documentation juridique doivent avancer ensemble.

Exemples pratiques

Liste de contrôle pour le citoyen

1. Je change le mot de passe de l’e-mail principal depuis un appareil sûr.
2. Je déconnecte les appareils inconnus et vérifie les sessions actives.
3. J’active ou je reconfigure la 2FA.
4. Je vérifie l’e-mail/téléphone de récupération, les règles de transfert et les applications connectées.
5. Je conserve captures d’écran, URL, e-mails, alertes, transactions et chronologie.
6. J’informe la banque s’il existe des données de paiement ou un dommage financier.
7. Je fais un signalement officiel à la plateforme.
8. J’informe amis ou clients si le compte envoie des fraudes.
9. Je dépose plainte auprès des autorités lorsqu’il existe un accès illégal, un dommage, un chantage ou une fuite grave.
10. Je demande une aide juridique ou technique lorsque l’affaire est professionnelle, financièrement importante ou concerne les données personnelles de tiers.

Questions fréquentes

Est-ce toujours une infraction pénale si quelqu’un est entré dans mon compte ?

Il peut souvent exister une dimension pénale, mais il faut voir comment la personne est entrée, si elle avait une autorisation, ce qu’elle a fait après l’entrée et s’il existe un dommage ou une violation de communications ou de données. La simple phrase « il est entré dans mon compte » exige des faits concrets.

Si je lui avais autrefois donné le mot de passe, mais qu’il est maintenant entré sans autorisation ?

Un consentement ancien ne signifie pas une autorisation permanente pour tout accès futur. Si quelqu’un utilise un ancien mot de passe tout en sachant qu’il n’a plus de droit, l’affaire peut être évaluée différemment. Conservez les preuves montrant que l’accès a eu lieu sans autorisation actuelle.

Les captures d’écran suffisent-elles ?

Les captures d’écran sont utiles, mais pas toujours suffisantes. Il vaut mieux conserver aussi les e-mails originaux, les URL, les fichiers d’export lorsqu’ils existent, les preuves de paiement et les IDs de ticket. Plus la preuve est proche de la source initiale, mieux c’est.

Puis-je demander à la plateforme l’IP de l’auteur ?

Les plateformes ne donnent généralement pas ce type d’information directement à l’utilisateur pour des raisons de sécurité et de protection des données. Elles peuvent toutefois les conserver et les communiquer dans le cadre d’une procédure légale, lorsqu’elles sont demandées par l’autorité compétente.

Dois-je d’abord porter plainte ou d’abord changer les mots de passe ?

Commencez par limiter le dommage : changez les mots de passe, bloquez les paiements et déconnectez les appareils inconnus. En parallèle, conservez les preuves. La plainte suit avec un dossier plus clair.

Que faire si des messages de fraude ont été envoyés à mes amis ?

Informez-les immédiatement depuis un autre canal sûr de ne pas envoyer d’argent et de ne pas cliquer sur les liens. Demandez-leur de vous envoyer des captures des messages, avec heure et profil. Si quelqu’un a perdu de l’argent, il doit aussi agir auprès de sa banque et des autorités.

Qu’est-ce qui change si un e-mail professionnel a été piraté ?

S’ajoutent des obligations d’entreprise : contrôle des systèmes, information des clients lorsque nécessaire, évaluation d’une violation de données personnelles, possible notification à l’Autorité hellénique de protection des données et gestion du risque pour les factures, paiements et informations confidentielles.

Est-il utile de signaler si je ne sais pas qui est l’auteur ?

Oui, notamment lorsqu’il existe un dommage financier, un chantage, une fuite de données ou l’utilisation du compte pour des fraudes. De nombreuses affaires commencent sans auteur identifié. Les éléments techniques et les trajets de paiement peuvent prendre de la valeur plus tard.

Conclusion pratique

Le compte piraté n’est pas seulement un problème technique. C’est un problème d’accès, de preuves, d’identité, de patrimoine et de données personnelles. Si vous le traitez uniquement comme « changer un mot de passe », vous pouvez laisser derrière vous un dommage financier, des fraudes contre des tiers ou des obligations juridiques que vous n’avez pas vues à temps.

Le bon ordre est : sécurité, preuves, signalement, démarche institutionnelle. Je sécurise le compte. Je conserve les éléments sans les altérer. J’informe la banque ou la plateforme lorsque nécessaire. Je dépose plainte lorsqu’il existe une infraction ou un dommage sérieux. Et je demande une aide spécialisée lorsque l’affaire touche des données professionnelles, de l’argent, des mineurs ou un chantage.

Le présent article constitue une information générale. Il ne remplace pas un conseil juridique individualisé et ne peut pas déterminer à lui seul si votre affaire nécessite une plainte, une action, des mesures provisoires, une expertise technique ou une notification de violation de données.

Sources et références utiles

• Ministère grec de la Justice, Codes et Code pénal : Ministère de la Justice - Codes
• gov.gr, plaintes auprès de la police hellénique pour fraude informatique : gov.gr - plainte pour fraude informatique
• Registre national des procédures administratives, plainte pour crimes du cyberespace : https://mitos.gov.gr/index.php/ΔΔ:Καταγγελία_για_εγκλήματα_κυβερνοχώρου
• Autorité nationale de cybersécurité, recommandations aux citoyens : https://cyber.gov.gr/antimetopisi-apeilon/systaseis-pros-polites/
• Autorité hellénique de protection des données, notification d’un incident de violation : HDPA - notification de violation
• RGPD, règlement (UE) 2016/679 : https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32016R0679
• Google Account Help, secure a hacked or compromised account : Google - récupération de compte
• Microsoft Support, recover a hacked or compromised Microsoft account : https://support.microsoft.com/account-billing/how-to-recover-a-hacked-or-compromised-microsoft-account
• Facebook Help, hacked account flow : Facebook - récupération d’un compte piraté
• Instagram Help, hacked account : Instagram - récupération de compte
• Pexels cover reference, cottonbro studio : https://www.pexels.com/photo/laptop-with-cyber-security-text-on-the-screen-5483240/