Il y a quelques semaines, une amie m'a envoyé un message en panique. Son compte Instagram venait d'être piraté. Quelqu'un publiait des photos en son nom, répondait à ses messages, contactait ses abonnés. Elle se sentait violée, impuissante. Quand on a fini par se parler, sa première question était la bonne : « Mais Denis, concrètement, je fais quoi ? »
Every few weeks, someone corners me at a family dinner or sends me a message that goes something like this: "Denis, I know I should do something about my passwords, but... where do I even start?"
C'est exactement pour répondre à cette question que j'ai écrit cet article.
That's exactly the question this article answers.
I've been working in banking security for thirty years. I've seen systems worth millions protected with military-grade encryption — and I've seen those same systems compromised because someone reused the same password they set up in 2009 for a cooking forum. The gap between "knowing security matters" and "actually doing something about it" is enormous, and it's not because people are careless. It's because most of the advice out there is either too technical, too vague, or just plain terrifying.
Depuis trente ans, je travaille dans la sécurité des systèmes bancaires. J'ai vu des fraudes sophistiquées, des attaques bien orchestrées, des millions d'euros en jeu. Mais ce qui me touche le plus, ce sont les histoires comme celle de mon amie — des gens ordinaires, avec des vies numériques ordinaires, qui se retrouvent dévastés par quelque chose qui aurait pu être évité avec quelques précautions simples.
So I wrote this guide the way I wish someone had explained it to me before I spent decades learning it the hard way: practically, honestly, and without the drama. By the time you finish reading, you'll have a clear picture of what to do this weekend — no cybersecurity degree required.
Je ne suis pas là pour vous faire peur. La sécurité numérique, ce n'est pas une forteresse à construire en un week-end. C'est davantage comme apprendre à faire du vélo : quelques heures d'effort, et ensuite ça devient naturel. Cet article, c'est le coup de main d'un ami qui connaît le chemin.
Think of your online accounts like a bunch of rooms in a building. Some rooms hold your money. Some hold your private conversations. Some hold your memories, your work, your identity. Now imagine that one of those rooms holds master keys to all the others. That's your email account — and we're going to start there.
1. Votre boîte mail : le compte qui gouverne tous les autres
1. Your email: the account that rules them all
Imaginez un trousseau de clés. Toutes vos clés — appartement, voiture, bureau, cave, boîte aux lettres — sont accrochées à un anneau central. Si quelqu'un met la main sur cet anneau, il a accès à tout. Votre boîte mail, c'est exactement cet anneau central dans votre vie numérique.
Here is something most people don't think about until it's too late: your email account is not just a place to receive newsletters and argue about meeting times. It is the administrative headquarters of your entire digital life.
Voici pourquoi : presque tous vos comptes en ligne — votre banque, Netflix, votre mutuelle, Amazon, votre médecin en ligne — peuvent être réinitialisés par email. Il suffit de cliquer sur « J'ai oublié mon mot de passe », et hop, un lien arrive dans votre boîte mail. Si quelqu'un a accès à cette boîte, il peut réinitialiser n'importe lequel de vos comptes en quelques secondes.
Think about what happens when you forget a password on any website. You click "Forgot password?" — and what happens? An email arrives. You click the link, you create a new password, you're back in. Simple, right? Now flip that around. If someone else has access to your email account, they can go to any website where you have an account — your bank, your health insurance portal, your Netflix, your iCloud full of family photos — click "Forgot password?", receive the reset link in your inbox, and lock you out completely. In under ten minutes, a stranger could systematically take over your entire digital existence, one password reset at a time.
« Votre boîte mail n'est pas juste une boîte mail. C'est le passe-partout de votre vie numérique. »
"If someone has access to your email, they can take over your entire digital life in under ten minutes — one password reset at a time."
Ce n'est pas une faille. C'est une fonctionnalité conçue pour vous aider quand vous oubliez un mot de passe. Mais c'est aussi le talon d'Achille de tout votre écosystème numérique. Pensez-y autrement : votre boîte mail est comme le système nerveux central de votre corps. Les bras, les jambes, les organes — tout passe par là. Une atteinte au centre, et c'est tout le système qui est compromis.
Your email address is also the username you use to sign up for almost everything. It is, in the most literal sense, your digital identity. Protecting it is not optional, and it is not complicated — but it does require intentional action: a strong, unique password that you use nowhere else, and two-factor authentication. Those two steps, for your email alone, are worth more than any fancy security software you could buy.
C'est pour cette raison que nous allons commencer par là. Pas par votre mot de passe Netflix. Pas par votre compte Facebook. Par votre email. Protéger votre boîte mail en premier, c'est la décision la plus intelligente que vous puissiez prendre aujourd'hui.
That's why we're starting here. Not with your Netflix password. Not with your Facebook account. With your email. Protecting your inbox first is the smartest decision you can make today.
2. Le piège du mot de passe recyclé
2. The password reuse trap
Permettez-moi de vous raconter un scénario. Il est fictif, mais je vous assure qu'il se répète des centaines de milliers de fois chaque année.
Let me walk you through a scenario that plays out thousands of times every day.
En 2014, vous vous êtes inscrit sur un forum de passionnés de jardinage. Vous avez choisi un mot de passe que vous utilisiez partout à l'époque : le prénom de votre chien suivi de votre année de naissance. Quelque chose comme Brutus1985. En 2019, ce forum a été victime d'une fuite de données. Les pirates ont récupéré des millions d'adresses email et de mots de passe, puis les ont mis en vente sur le dark web. Votre adresse et votre mot de passe sont là, quelque part, dans une liste vendue pour quelques dizaines d'euros.
It's 2014. You sign up for an online recipe forum — one of those cheerful communities where people argue passionately about whether carbonara needs cream. You create an account with your usual email address and your go-to password: the one you've been using for years because it's easy to remember. Let's call it Bruges2008! — meaningful to you, hard for others to guess, feels perfectly reasonable.
Maintenant, un script automatique teste ce mot de passe sur Gmail, Outlook, Yahoo Mail... et tombe sur votre boîte mail principale. Bingo. En moins d'une heure, ils ont changé votre mot de passe, désactivé vos alertes, et commencé à explorer vos comptes. Banque, assurance, PayPal.
In 2019, that recipe forum gets hacked. Nobody tells you. The forum quietly disappears one day, and you forget it ever existed. But somewhere on the dark web, a file containing 2.3 million usernames and passwords — including yours — gets traded between criminals like baseball cards. Fast forward to today: someone runs that leaked password against your email address on Gmail, Outlook, your bank's login page. They don't type it manually — automated tools try thousands of combinations per second. And because you used Bruges2008! everywhere... they're in.
« Ce n'est pas parce qu'un site s'est fait pirater que vous êtes en danger. C'est parce que vous utilisez le même mot de passe partout. »
"Several billion username-and-password combinations are currently circulating on dark web marketplaces. Your data from a forgotten breach may already be among them."
Ce n'est pas de la science-fiction. Aujourd'hui, on estime que plus de 15 milliards de combinaisons email/mot de passe circulent sur le dark web. Votre ancien mot de passe de forum est peut-être parmi eux — vous ne le saurez jamais. Le site haveibeenpwned.com vous permet de vérifier si votre adresse email a été compromise dans une fuite connue. Allez-y, maintenant, pendant que vous lisez ceci.
This is called credential stuffing, and it works depressingly well. You can check whether your data has already leaked by visiting haveibeenpwned.com — a reputable, free service where you type your email address and it tells you if it has appeared in any known breach. Go ahead — do it now, while you're reading this.
Le problème n'est pas d'avoir été victime d'une fuite. Ces fuites arrivent même aux grandes entreprises qui font bien leur travail. Le problème, c'est l'effet domino que provoque la réutilisation des mots de passe. Un compte tombe, et tout le château de cartes s'effondre avec lui.
The problem isn't being caught in a breach — breaches happen even to well-run companies. The problem is the domino effect that password reuse creates. One account falls, and the whole house of cards collapses with it. The fix is conceptually simple: every account gets its own unique, strong password. The reason most people don't do this is equally simple: nobody can memorize forty different complex passwords. Which is exactly why the next section exists.
3. Les gestionnaires de mots de passe : votre coffre-fort numérique
3. Password managers: your digital safe
L'idée est élégante : vous n'avez besoin de retenir qu'un seul mot de passe — le mot de passe maître de votre coffre-fort. Le gestionnaire s'occupe de créer, stocker et remplir automatiquement des mots de passe uniques et complexes pour chacun de vos comptes. Xt#9mK$p2@LqWn pour votre banque. Rv7!cJ$4mPx&Qs pour Netflix. Vous ne les connaissez pas, vous n'avez pas besoin de les connaître. Le gestionnaire le fait pour vous.
A password manager is exactly what it sounds like: a secure application that remembers all your passwords for you, so you only have to remember one — the one that opens the manager itself. Imagine a heavy, fireproof safe in your home office. Inside it, a neatly organized notebook with every login you've ever created, each one a long, random string of characters that no human could guess or memorize. To open the safe, you use a single combination that only you know.
« Un seul mot de passe à retenir : celui du coffre-fort. Tout le reste est automatique. »
"You only have to remember one password — the one that opens the safe. Everything else is automatic."
C'est comme un trousseau intelligent qui crée une clé unique pour chaque serrure, les range toutes, et les sort automatiquement quand vous en avez besoin. Plusieurs options s'offrent à vous :
In practice, your password manager suggests a password like $wK9#mPzL2@qRt7v when you create an account. You click "use this." The manager saves it automatically. Next time you visit that site, the manager fills it in. You never type it, never see it, never need to remember it. It just works.
Si vous avez un iPhone, iPad ou Mac, vous avez déjà un gestionnaire gratuit et intégré. Il propose des mots de passe forts, les synchronise entre vos appareils Apple et vous avertit si l'un d'eux a été compromis. C'est votre point de départ le plus simple.
If you use an iPhone, iPad, or Mac, this is already built in and completely free. It generates strong passwords, stores them securely, and syncs them across all your Apple devices automatically. For many people, this is the easiest entry point.
Si vous êtes plutôt Android ou Google Chrome, le gestionnaire Google fait le même travail, gratuitement. Il est déjà là si vous avez un compte Google. Il fonctionne même sur iPhone si vous utilisez Chrome comme navigateur.
Built into Chrome and Android at no cost. If your life runs on Google, this is already available to you. Go to passwords.google.com to see what it's already stored on your behalf.
Réputé pour sa simplicité et sa robustesse, il est particulièrement apprécié en famille : vous pouvez partager certains mots de passe avec votre conjoint en toute sécurité. Fonctionne sur tous les appareils et tous les navigateurs.
Known for its polish and reliability. Excellent family sharing features — you can securely share specific passwords with your partner. Works across all devices and browsers, regardless of ecosystem.
De la même entreprise que NordVPN, une alternative sérieuse avec une interface très accessible. Indépendante d'Apple et de Google, elle fonctionne partout.
From the same company behind NordVPN. A solid, independent alternative with a clean interface and a generous free tier. Works everywhere.
Laquelle choisir ? Honnêtement, la meilleure est celle que vous allez réellement utiliser. La mise en place prend une après-midi. Vous commencez par vos comptes les plus importants — email, banque, assurance — et vous en ajoutez d'autres au fil du temps. Pas besoin de tout faire d'un coup.
Which one should you pick? Honestly, the best one is the one you'll actually use. Start with your most important accounts — email, bank, insurance — and add more over time. You don't need to migrate everything in one afternoon; doing it gradually is perfectly fine.
4. Le double verrou : la double authentification
4. MFA: the second lock on every door
Même avec un mot de passe solide et unique, il reste une vulnérabilité. Si quelqu'un réussit quand même à le voler — via un faux site, par exemple — il peut se connecter à votre place. C'est là qu'entre en jeu la double authentification, ou MFA (Multi-Factor Authentication). Et le premier endroit où l'activer, après votre email ? Votre gestionnaire de mots de passe. Pensez-y : c'est le coffre-fort qui contient toutes vos clés. Si quelqu'un y accède, il a tout. La MFA sur votre gestionnaire de mots de passe, c'est la base absolue.
Even a perfect password can be compromised. Someone looks over your shoulder. A company's servers get hacked and passwords leak in plain text. You fall for a convincing fake login page. It happens to careful people. Multi-factor authentication — MFA — adds a second requirement: something you have, in addition to something you know. And the first place to enable it, after your email? Your password manager. Think about it: it's the safe that holds all your keys. If someone gets in, they have everything. MFA on your password manager is the absolute baseline.
Et si le terme « authentification multi-facteurs » vous intimide un peu — rassurez-vous. Vous le faites déjà. Chaque fois que vous retirez de l'argent au distributeur, vous utilisez votre carte (ce que vous avez) et votre code PIN (ce que vous savez). C'est exactement le même principe. Si vous savez utiliser un distributeur de billets, vous savez faire de la MFA. Peu importe votre âge, peu importe votre niveau en informatique — c'est à la portée de tout le monde.
And if the term "multi-factor authentication" sounds intimidating — don't worry. You already do it. Every time you withdraw money from an ATM, you use your card (something you have) and your PIN (something you know). It's exactly the same principle. If you can use an ATM, you can do MFA. It doesn't matter how old you are or how comfortable you are with technology — this is within everyone's reach.
Concrètement, après avoir tapé votre mot de passe, on vous demande une deuxième preuve que c'est bien vous — généralement un code temporaire sur votre téléphone, ou une confirmation dans une application. Votre mot de passe prouve ce que vous savez. Votre téléphone prouve ce que vous avez. Un voleur peut deviner l'un, mais il est très peu probable qu'il possède aussi l'autre.
In practice, after entering your password, you're asked for a second proof that it's really you — usually a temporary code on your phone, or a confirmation in an app. Your password proves what you know. Your phone proves what you have. A thief might guess one, but it's very unlikely they also have the other.
« Votre mot de passe prouve ce que vous savez. Votre téléphone prouve ce que vous avez. Ensemble, ils forment un verrou que personne ne peut crocheter à distance. »
"A thief might steal your password — but they probably don't also have your phone in their pocket."
Vous connaissez déjà ce principe : c'est ItsMe
You already know this principle: it's called ItsMe
L'application d'identité numérique belge — plus de 7 millions d'utilisateurs
Belgium's digital identity app — over 7 million users
Si vous habitez en Belgique, vous utilisez probablement déjà ItsMe — cette petite application sur votre téléphone qui vous permet de vous connecter à votre banque, de confirmer des démarches administratives sur Tax-on-web ou mypension.be, de signer des documents. Chaque fois que vous utilisez ItsMe, vous faites de la double authentification : votre code PIN ItsMe + votre téléphone.
If you live in Belgium, you probably already use ItsMe — that little app on your phone that lets you log into your bank, confirm administrative procedures on Tax-on-web or mypension.be, or digitally sign documents. Every time you use ItsMe, you're doing multi-factor authentication: your ItsMe PIN + your phone.
ItsMe est certifié au niveau de confiance "élevé" du règlement européen eIDAS — le maximum possible. C'est l'un des systèmes d'identité numérique les plus sûrs d'Europe, utilisé par plus de 7 millions de Belges. Et vous vous en servez peut-être sans même réaliser à quel point c'est bien fait.
ItsMe is certified at the "High" assurance level under the European eIDAS regulation — the maximum possible. It's one of the most secure digital identity systems in Europe, used by over 7 million Belgians. And you may be using it without even realising how well-designed it is.
Ce que beaucoup de gens ignorent, c'est que ce même principe peut — et devrait — être appliqué à tous vos comptes importants. Pas seulement la banque. Gmail, Outlook, Facebook, LinkedIn, Amazon... La plupart de ces services proposent la double authentification. Elle est juste désactivée par défaut.
What many people don't realise is that this same principle can — and should — be applied to all your important accounts. Not just banking. Gmail, Outlook, Facebook, LinkedIn, Amazon... Most of these services offer two-factor authentication. It's just switched off by default.
- Votre email (Gmail, Outlook...) — c'est la clé de voûte : qui contrôle votre email peut réinitialiser tous vos autres mots de passe
- Votre banque en ligne — souvent déjà activé via ItsMe, mais vérifiez
- Apple ID / iCloud et Compte Google — accès à toutes vos données, photos, contacts
- WhatsApp — Paramètres → Compte → Vérification en deux étapes
- Facebook / Instagram — Paramètres → Sécurité et connexion
- LinkedIn, votre gestionnaire de mots de passe, tout service professionnel
- Your email (Gmail, Outlook...) — this is the master key: whoever controls your email can reset all your other passwords
- Your online banking — often already enabled via ItsMe, but check
- Apple ID / iCloud and Google Account — access to all your data, photos, contacts
- WhatsApp — Settings → Account → Two-step verification
- Facebook / Instagram — Settings → Security and login
- LinkedIn, your password manager, any professional service
Les applications d'authentification
Authenticator apps
Pour les services qui ne proposent pas ItsMe, les applications d'authentification sont la solution recommandée. Voici les deux principales :
For services that don't offer ItsMe, authenticator apps are the recommended solution. Here are the two main ones:
Application gratuite (iPhone et Android). Une fois configurée, elle génère un code de 6 chiffres qui change toutes les 30 secondes. Pas besoin de connexion internet — tout se passe sur votre téléphone. Pour l'activer : allez dans les paramètres de sécurité du service, choisissez « Application d'authentification », scannez le QR code avec l'application, et c'est fait.
Free app (iPhone and Android). Once linked to an account, it generates a six-digit code that refreshes every 30 seconds. No internet needed — everything happens locally on your phone. To set it up: go to the account's security settings, choose "Authenticator app", scan the QR code, and you're done.
Fonctionne de manière similaire, avec une fonctionnalité supplémentaire agréable : pour les comptes Microsoft, il envoie une notification avec un simple bouton « Approuver ». Pas besoin de retaper un code — vous confirmez d'un tapotement que c'est bien vous. Particulièrement pratique si vous utilisez Microsoft 365 ou Outlook.
Works similarly, but adds a convenient twist: for Microsoft accounts, it sends a push notification — just tap "Approve" instead of typing a code. It also shows the app name and location of the sign-in attempt, helping you spot suspicious logins. Especially handy if you use Microsoft 365 or Outlook.
Quand vous activez la double authentification, le service vous proposera des codes de secours — généralement 8 à 10 codes à usage unique. Imprimez-les ou notez-les sur papier, et rangez-les dans un endroit sûr (une enveloppe dans un tiroir fermé à clé, par exemple). Ces codes sont votre bouée de sauvetage si vous perdez votre téléphone. Sans eux, et sans votre téléphone, vous pourriez vous retrouver définitivement bloqué hors de votre propre compte.
Whenever you enable MFA, you'll be offered a set of backup codes — usually eight to ten single-use codes. Print them or write them on paper, and store them somewhere safe (a sealed envelope in a locked drawer, for example). These codes are your lifeline if you lose your phone. Without them, and without your phone, you could find yourself permanently locked out of your own account.
Votre liste du week-end
Your weekend checklist
Voilà. Le décor est posé. Maintenant, la question que vous vous posez sûrement : « D'accord, Denis, mais par où je commence concrètement ? »
You've read this far, which means you're already ahead of most people. Now let's turn reading into action. This weekend, carve out about 30 minutes — a Saturday morning with coffee works perfectly.
Ce week-end, bloquez trente minutes — une tasse de café, un peu de calme — et faites ces quelques choses dans l'ordre :
Work through this list in order — each item you complete is a meaningful step forward:
- Vérifiez si vos données ont fuité. Allez sur haveibeenpwned.com, entrez votre adresse email. Si elle apparaît dans des fuites, ne paniquez pas — c'est de l'information, pas une catastrophe. Cela signifie qu'il est temps de changer le mot de passe concerné.
- Choisissez et installez un gestionnaire de mots de passe. Trousseau Apple, Google, 1Password ou NordPass — peu importe, choisissez-en un. Enregistrez-y votre compte email avec un nouveau mot de passe fort.
- Activez la double authentification sur votre boîte mail. C'est le geste le plus important de la liste. Cherchez « Sécurité » dans les paramètres de votre Gmail ou Outlook, installez Google Authenticator ou Microsoft Authenticator, et sauvegardez vos codes de secours.
- Vérifiez votre banque en ligne. Votre banque propose certainement la MFA — peut-être via ItsMe, que vous utilisez déjà. Assurez-vous que c'est bien activé.
- Notez vos codes de secours sur papier. Pas sur votre téléphone. Pas dans un email. Sur papier, dans un endroit physique sûr.
- Check if your data has leaked. Go to haveibeenpwned.com and enter your main email address. If it appears in known breaches, don't panic — it's information, not a catastrophe. It means it's time to change the affected password.
- Choose and install a password manager. Apple Keychain, Google, 1Password or NordPass — it doesn't matter which. Pick one and save your email account with a new, strong password.
- Enable two-factor authentication on your email. This is the most important item on the list. Look for "Security" in your Gmail or Outlook settings, install Google Authenticator or Microsoft Authenticator, and save your backup codes.
- Check your online banking. Your bank almost certainly offers MFA — probably via ItsMe if you're in Belgium. Make sure it's actually enabled.
- Write down your backup codes on paper. Not on your phone. Not in an email. On paper, in a physically safe place.
C'est tout. Trente minutes, cinq étapes. La perfection est l'ennemie du bien, et une sécurité imparfaite vaut infiniment mieux que pas de sécurité du tout.
That's it. Thirty minutes, five steps. Each item you complete is a meaningful improvement, and progress is better than perfection.
« La sécurité numérique, ce n'est pas une destination. C'est juste quelques bonnes habitudes prises au bon moment. »
"Progress is better than perfection. Each step you take is a meaningful improvement."
Le bon moment, c'est maintenant
The right moment is now
Mon amie dont je vous parlais en introduction ? Elle a mis une semaine à récupérer ses accès. Elle a perdu des photos, des messages, des souvenirs. Le plus douloureux, pour elle, n'était pas l'aspect technique — c'était le sentiment d'avoir laissé quelqu'un fouiller dans sa vie privée.
Security isn't about fear. It's about freedom. When your accounts are properly protected, you can book that trip without worrying about your payment details, share photos with family without second-guessing the platform, and use the internet as the remarkable tool it actually is — confidently and without that low-level anxiety that comes from knowing you probably should have done something about this already.
Ce qui m'a le plus marqué dans cette histoire, c'est ceci : tout ce que je vous décris dans cet article aurait pu lui épargner tout ça. Pas des heures de formation. Pas un diplôme en informatique. Trente minutes, un dimanche après-midi.
You now know what to do. The steps are manageable, the tools are largely free, and the time investment is genuinely small compared to the peace of mind it brings. If you have questions, get stuck on a step, or want help reviewing your setup — that's exactly what I'm here for.
Chez Serendipity, le mot qui guide tout ce que je fais, c'est justement celui-là : la sérendipité. Ce moment où les bons outils, les bonnes décisions, se trouvent au bon endroit avant que vous en ayez besoin. La sécurité numérique n'est pas une réponse à une crise. C'est un cadeau que vous vous faites à vous-même, en avance.
There's a word I come back to often when I think about what I do: serendipity. Not in the romantic sense of happy accidents — but in the older, truer sense: the ability to make good decisions, thoughtfully and in advance, so that when something unexpected happens, you're ready.
Vous méritez de naviguer sur internet sans cette petite anxiété en arrière-plan. Alors cette semaine, faites-vous ce cadeau. Trente minutes. Un café. Et un peu moins de vulnérabilité.
You deserve to use the internet without that nagging anxiety in the background. So this week, give yourself that gift. Thirty minutes. A coffee. And a little less vulnerability.
Si vous avez des questions, si vous bloquez sur une étape, si vous voulez qu'on en parle — vous savez où me trouver.
If you have questions, get stuck on a step, or just want to talk it through — you know where to find me.
Denis
Denis
Commentaires (0)
Comments (0)
Aucun commentaire pour le moment. Soyez le premier !
No comments yet. Be the first!
Laisser un commentaire
Leave a comment