Votre boîte Gmail donne souvent accès à bien plus que vos e-mails. Mot de passe, passkey, double authentification et réglages sensibles : voici les vérifications à effectuer pour éviter qu’un tiers ne prenne le contrôle de votre compte.

Une adresse Gmail est rattachée à un compte Google, généralement utilisé pour accéder à Drive, Photos, YouTube, Android et de nombreux services tiers. Si une personne parvient à le pirater, elle peut donc récupérer des informations sensibles, réinitialiser les mots de passe d’autres comptes ou surveiller les messages que vous recevez.
Quelques réglages permettent toutefois de réduire fortement les risques. L’essentiel consiste à protéger la connexion au compte, à préparer sa récupération et à vérifier qu’aucun appareil, service ou transfert de messages inconnu n’a déjà été autorisé.
Commencez par le bilan de sécurité de Google
Google propose un bilan personnalisé qui réunit les principaux réglages de sécurité du compte. C’est le meilleur point de départ pour repérer rapidement une alerte, un appareil inconnu ou une méthode de récupération obsolète. Google recommande d’effectuer régulièrement cette vérification.
Ouvrez le bilan de sécurité
- Connectez-vous à votre compte Google.
- Ouvrez la rubrique Sécurité et connexion.
- Sélectionnez Check-up sécurité.
- Consultez chacune des recommandations affichées.
- Corrigez en priorité les éléments signalés en jaune ou en rouge.
Le bilan peut notamment vous demander de confirmer une activité récente, de supprimer un ancien appareil ou de renforcer votre méthode de connexion.

Vérifiez les événements de sécurité récents
- Dans Sécurité et connexion, repérez la rubrique Activité de sécurité récente.
- Cliquez sur Examiner les événements de sécurité.
- Vérifiez les appareils, lieux et méthodes de connexion indiqués.
- Sélectionnez Non, ce n’était pas moi si vous ne reconnaissez pas une opération.
- Suivez immédiatement les instructions proposées par Google.
Une alerte inconnue peut correspondre à une tentative de connexion, à l’ajout d’un numéro de récupération ou à la création d’une nouvelle méthode d’authentification.

Déconnectez les appareils que vous n’utilisez plus
- Dans Sécurité et connexion, ouvrez la rubrique Vos appareils.
- Cliquez sur Gérer tous les appareils.
- Examinez chaque téléphone, ordinateur, tablette et session affichés.
- Ouvrez la fiche d’un appareil que vous ne reconnaissez pas ou que vous n’utilisez plus.
- Cliquez sur Se déconnecter.
Un même ordinateur peut apparaître plusieurs fois si plusieurs navigateurs ou sessions ont été utilisés. En cas de doute, déconnectez toutes les sessions portant le même nom, puis reconnectez uniquement vos appareils habituels.
Supprimez les applications tierces inutiles
Certaines applications peuvent être liées à votre compte uniquement pour vous identifier. D’autres disposent d’autorisations plus étendues leur permettant de consulter, créer, modifier ou supprimer des données Google.
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Ouvrez la rubrique Vos applications associées.
- Consultez les applications utilisant Se connecter avec Google.
- Vérifiez séparément celles qui disposent d’un accès aux données de votre compte.
- Sélectionnez une application que vous n’utilisez plus.
- Cliquez sur Ne plus utiliser Se connecter avec Google.
La suppression peut vous déconnecter du service concerné ou désactiver certaines de ses fonctions. Elle empêche toutefois l’application de continuer à consulter les données précédemment autorisées.
Protégez la connexion à votre compte Google
Le contrôle des appareils et applications ne suffit pas. Il faut également empêcher une personne connaissant votre mot de passe de se connecter à votre place.
Utilisez un mot de passe long et unique
- Choisissez un mot de passe que vous n’utilisez sur aucun autre site.
- Évitez les dates de naissance, prénoms, numéros de téléphone et suites prévisibles.
- Privilégiez une longue phrase de passe ou un mot de passe généré aléatoirement.
- Enregistrez-le dans un gestionnaire de mots de passe fiable.
- Ne le transmettez jamais par e-mail, message ou téléphone.
La réutilisation est particulièrement dangereuse pour une adresse e-mail. Une fuite sur un autre service peut permettre à des pirates de tester automatiquement le même mot de passe sur Google, puis de réinitialiser les accès à vos autres comptes.
Pour modifier votre mot de passe :
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Dans Comment vous vous connectez à Google, cliquez sur Mot de passe.
- Confirmez votre identité.
- Saisissez votre nouveau mot de passe.
- Validez la modification.
Créez une clé d’accès
Une clé d’accès, ou passkey, permet de se connecter avec le verrouillage de l’appareil : empreinte digitale, reconnaissance faciale, code PIN ou mot de passe de session.
Elle résiste mieux à l’hameçonnage qu’un mot de passe ou qu’un code temporaire. La clé d’accès ne peut pas être saisie sur un faux site imitant Google.
Pour en créer une :
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Dans Comment vous vous connectez à Google, sélectionnez Clés d’accès et clés de sécurité.
- Cliquez sur Créer une clé d’accès.
- Déverrouillez votre appareil.
- Suivez les instructions affichées.
Ne créez une clé d’accès que sur un téléphone ou un ordinateur personnel correctement verrouillé. Une personne capable de déverrouiller l’appareil pourrait également accéder au compte Google associé.
Vous pouvez créer plusieurs clés d’accès, par exemple sur votre smartphone et votre ordinateur. Il est également possible d’enregistrer une clé d’accès sur une clé de sécurité physique compatible FIDO2.
Activez la validation en deux étapes
La validation en deux étapes ajoute une vérification lorsque vous utilisez votre mot de passe. Elle limite les conséquences d’un mot de passe volé.
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Dans Comment vous vous connectez à Google, sélectionnez Validation en deux étapes.
- Cliquez sur Activer la validation en deux étapes.
- Suivez les instructions affichées.
Si vous vous connectez avec une clé d’accès, celle-ci remplace généralement le mot de passe et la seconde étape de validation.
Si vous continuez à utiliser un mot de passe, Google peut vous proposer plusieurs méthodes pour confirmer votre identité :
- Une clé de sécurité physique.
- Une invite envoyée sur un téléphone déjà connecté.
- Une application générant des codes temporaires, comme Google Authenticator.
- Un code envoyé par SMS ou communiqué par appel.
Privilégiez une clé de sécurité physique ou une invite Google. Les SMS peuvent dépanner, mais ils sont davantage exposés aux détournements de numéro.
Les applications d’authentification constituent une solution correcte lorsque le téléphone ne dispose pas d’une connexion Internet. Le code affiché peut cependant être volé par un faux site. Ne communiquez jamais un code temporaire à une personne qui vous contacte, même si elle prétend travailler pour Google.
Refusez les invites inattendues
Une invite Google affiche généralement l’appareil, l’heure et une estimation du lieu depuis lequel une connexion est demandée.
- N’approuvez jamais une invite que vous n’avez pas déclenchée.
- Sélectionnez l’option indiquant que vous n’êtes pas à l’origine de la tentative.
- Modifiez votre mot de passe si les demandes se répètent.
- Vérifiez immédiatement l’activité de sécurité récente.
Une personne qui vous appelle ou vous écrit pour vous demander d’approuver une invite tente probablement de prendre le contrôle de votre compte.
Préparez la récupération du compte
Des protections trop strictes peuvent se retourner contre vous si vous perdez votre téléphone ou votre clé de sécurité. Il faut donc configurer plusieurs solutions de secours avant qu’un problème ne survienne.
Vérifiez l’adresse et le numéro de récupération
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Vérifiez le numéro de téléphone de récupération.
- Vérifiez l’adresse e-mail de récupération.
- Remplacez les coordonnées que vous n’utilisez plus.
L’adresse de récupération doit être différente de l’adresse Gmail que vous cherchez à protéger et rester accessible sans passer par ce même compte Google. Ces informations servent notamment à récupérer le compte et à vous avertir lorsqu’une activité suspecte est détectée.
Générez des codes de secours
Les codes de secours permettent de se connecter lorsque le téléphone, la clé d’accès ou l’application d’authentification ne sont pas disponibles.
- Ouvrez Sécurité et connexion dans votre compte Google.
- Sélectionnez Validation en deux étapes.
- Ouvrez la rubrique Codes de secours.
- Cliquez sur Obtenir des codes de secours.
- Téléchargez-les ou imprimez-les.
- Conservez-les dans un endroit sûr.
Chaque code ne fonctionne qu’une seule fois. Ne les enregistrez pas uniquement dans Gmail ou sur le téléphone servant à la validation, car ils deviendraient inaccessibles en cas de perte de l’appareil ou de blocage du compte.
Vérifiez les réglages sensibles de Gmail
Sécuriser le compte ne suffit pas toujours après une intrusion. Un pirate peut avoir configuré un transfert automatique ou un filtre afin de continuer à recevoir certains messages après le changement du mot de passe.
Ces vérifications s’effectuent plus facilement depuis Gmail sur un ordinateur.
Contrôlez le transfert automatique
- Ouvrez Gmail.
- Cliquez sur l’icône Paramètres.
- Sélectionnez Voir tous les paramètres.
- Ouvrez l’onglet Transfert et POP/IMAP ou Transfert.
- Vérifiez qu’aucune adresse inconnue n’est renseignée.
- Sélectionnez Désactiver le transfert si vous n’utilisez pas cette fonction.
- Cliquez sur Enregistrer les modifications.
Si Gmail affiche un avertissement indiquant que vos messages sont transférés vers une adresse inconnue, modifiez immédiatement le mot de passe du compte et désactivez le transfert.
Examinez les filtres
Un filtre peut transférer uniquement certains messages, mais aussi les archiver, les marquer comme lus ou les supprimer automatiquement.
- Dans les paramètres de Gmail, ouvrez Filtres et adresses bloquées.
- Examinez chaque filtre enregistré.
- Repérez les règles contenant des actions comme Transférer, Supprimer, Ignorer la boîte de réception ou Marquer comme lu.
- Supprimez toute règle que vous n’avez pas créée.
Soyez particulièrement attentif aux filtres visant les messages de votre banque, de Google, d’un gestionnaire de mots de passe ou d’un service permettant de réinitialiser un compte.
Vérifiez les délégations
Gmail permet d’autoriser une autre personne à lire, envoyer et supprimer des messages sans lui communiquer le mot de passe du compte.
- Dans les paramètres de Gmail, ouvrez Comptes et importation.
- Repérez la section Déléguer l’accès à votre compte.
- Vérifiez les adresses affichées.
- Cliquez sur Supprimer à côté d’un délégué inconnu.
Si un délégué que vous n’avez pas ajouté apparaît, Google recommande de modifier immédiatement votre mot de passe.
Profitez-en pour vérifier les autres rubriques de cet onglet :
- Envoyer des e-mails en tant que.
- Consulter d’autres comptes de messagerie.
- Les éventuels comptes ou alias associés.
Consultez la dernière activité du compte
Gmail permet d’afficher les dernières connexions à la messagerie, avec leur date, leur heure, leur adresse IP et leur type d’accès.
- Revenez dans la boîte de réception Gmail.
- Faites défiler la page jusqu’en bas.
- À droite de Dernière activité sur le compte, cliquez sur Détails.
- Vérifiez les accès récents.
- Recherchez une adresse IP, un pays ou un type d’appareil inhabituel.
Cette page ne remplace pas le bilan de sécurité du compte Google, mais elle peut révéler une connexion à Gmail effectuée depuis un navigateur, un téléphone ou un logiciel de messagerie inconnu.
Apprenez à déjouer les tentatives de phishing
Les messages frauduleux ne contiennent pas toujours des fautes grossières. Ils peuvent reprendre parfaitement l’identité visuelle d’un service ou provenir du véritable compte piraté d’un proche.
Ne vous fiez donc pas uniquement à la qualité de la rédaction ou au logo affiché.
Méfiez-vous des actions demandées
Soyez particulièrement prudent lorsqu’un message vous demande de :
- Saisir votre mot de passe après avoir cliqué sur un lien.
- Communiquer un code reçu par SMS ou généré par une application.
- Approuver une invite Google inattendue.
- Scanner un QR code pour confirmer votre identité.
- Télécharger un programme ou une extension.
- Ouvrir une pièce jointe inhabituelle.
- Effectuer rapidement un paiement.
- Modifier des coordonnées bancaires.
- Contacter un prétendu service d’assistance.
Google ne vous demandera jamais votre mot de passe ou vos codes de validation par e-mail, message ou téléphone. Les identifiants et codes ne doivent être saisis que sur la véritable page de connexion de Google.
Passez directement par le service concerné
Lorsqu’un message signale un problème avec un achat, une livraison, un paiement ou votre compte :
- Ne cliquez pas sur le lien contenu dans le message.
- Fermez l’e-mail.
- Ouvrez vous-même l’application officielle ou saisissez l’adresse habituelle du service.
- Connectez-vous depuis cette page.
- Vérifiez si l’alerte apparaît réellement dans votre espace personnel.
Pour une demande provenant apparemment d’un proche ou d’un collègue, contactez la personne par un autre canal en utilisant ses coordonnées habituelles.
Vérifiez l’expéditeur et l’authentification
Dans Gmail :
- Ouvrez le message.
- Affichez les informations détaillées sur l’expéditeur.
- Vérifiez les lignes Envoyé par et Signé par.
- Assurez-vous que les domaines correspondent à l’organisation annoncée.
- Sur ordinateur, placez le pointeur sur un lien sans cliquer pour afficher sa véritable destination.
Une absence d’authentification ne prouve pas systématiquement qu’un message est frauduleux, mais elle doit vous inciter à éviter les pièces jointes, les liens et les réponses.
Signalez les messages suspects
- Ouvrez le message dans Gmail sur un ordinateur.
- Cliquez sur les trois points situés à côté de l'icône Répondre.
- Sélectionnez Signaler comme hameçonnage.
- Confirmez le signalement.
Lorsque vous signalez un message, Google peut en analyser une copie et examiner ses pièces jointes afin d’améliorer ses systèmes de détection.
Activez éventuellement la navigation sécurisée avec protection renforcée
La navigation sécurisée avec protection renforcée améliore la détection des sites frauduleux, extensions malveillantes, liens dangereux et téléchargements suspects dans Chrome et Gmail.
Pour l’activer :
- Ouvrez votre compte Google.
- Accédez à Sécurité et connexion.
- Repérez Navigation sécurisée avec protection renforcée pour votre compte.
- Activez l’option.
Cette protection analyse davantage d’informations en temps réel. Google indique qu’elle peut traiter des URL, des téléchargements, des extensions, des informations système et de courts extraits de pages, puis associer temporairement ces données au compte Google connecté. Il s’agit donc d’un compromis entre une détection plus rapide et le partage de données supplémentaires avec Google.
Prenez des précautions sur les appareils partagés
Consulter Gmail depuis un ordinateur public ou emprunté présente davantage de risques que l’utilisation d’un appareil personnel. Le navigateur peut conserver votre session, votre mot de passe ou certaines données de navigation, tandis qu’un appareil compromis peut enregistrer ce que vous saisissez à votre insu.
Limitez les traces laissées sur l’appareil
Si vous devez consulter Gmail sur un appareil qui ne vous appartient pas :
- Utilisez une fenêtre de navigation privée.
- Ne créez jamais de clé d’accès sur cet appareil.
- Refusez l’enregistrement du mot de passe.
- Ne cochez aucune option permettant de faire confiance à l’ordinateur.
- Déconnectez-vous de Google après utilisation.
- Fermez toutes les fenêtres de navigation privée.
La navigation privée limite les informations conservées par le navigateur, mais elle ne protège pas contre un ordinateur déjà infecté ou surveillé. Évitez donc autant que possible de consulter des messages sensibles ou de modifier les réglages de sécurité de votre compte depuis un appareil public.
L’appareil utilisé n’est toutefois pas le seul élément à prendre en compte. En déplacement, vous pouvez également être amené à vous connecter depuis un réseau Wi-Fi public ou administré par une organisation que vous ne connaissez pas.
Sécurisez aussi votre connexion sur les réseaux publics
Gmail protège déjà les échanges entre votre appareil et les serveurs de Google avec HTTPS. Sur un Wi-Fi public, une personne connectée au même réseau ne peut donc pas simplement intercepter le contenu de vos messages ou votre mot de passe.
L’utilisation d’un VPN peut néanmoins apporter une protection supplémentaire lorsque vous vous connectez depuis un hôtel, un aéroport, un café ou tout autre réseau que vous ne contrôlez pas. Il chiffre l’ensemble du trafic entre votre appareil et le serveur VPN, et pas uniquement les échanges avec Gmail.
Il peut ainsi protéger les communications d’autres applications ou services, limiter les informations visibles par l’administrateur du réseau et empêcher celui-ci de connaître directement les services auxquels vous vous connectez. Le fournisseur du VPN devient cependant un intermédiaire de confiance : mieux vaut donc choisir un service reconnu, dont la politique de confidentialité est claire.
Dans quels cas utiliser un VPN ?
Vous pouvez notamment activer un VPN lorsque vous :
- Utilisez un réseau Wi-Fi public ou inconnu.
- Faites transiter des données sensibles depuis plusieurs applications.
- Ne faites pas confiance à l’administrateur du réseau.
- Souhaitez limiter les informations accessibles au réseau local ou à votre fournisseur d’accès.
- Utilisez des applications dont vous ne connaissez pas précisément le niveau de chiffrement.
Un VPN ne protège toutefois pas contre les tentatives d’hameçonnage, les fausses pages de connexion, les pièces jointes malveillantes ou un appareil déjà compromis. Il complète donc les protections du compte Google, sans remplacer une clé d’accès, la validation en deux étapes et la vigilance face aux messages suspects.
Activez la Protection Avancée si votre profil est exposé
Google propose un Programme Protection Avancée aux personnes susceptibles d’être visées par des attaques ciblées, notamment les journalistes, activistes, équipes de campagnes électorales, responsables d’entreprise et administrateurs informatiques.
Le programme :
- Impose l’utilisation d’une clé d’accès ou d’une clé de sécurité.
- Limite l’accès des applications tierces aux données sensibles.
- Applique des vérifications plus strictes aux téléchargements suspects.
- Renforce la procédure de récupération du compte.
Ces protections peuvent rendre certaines applications tierces incompatibles ou compliquer la récupération du compte. Avant de l’activer, préparez plusieurs clés d’accès ou clés de sécurité et vérifiez vos informations de récupération.
Comprenez les limites du chiffrement de Gmail
Gmail utilise le chiffrement TLS pour protéger les messages pendant leur acheminement entre les serveurs de messagerie compatibles. Vous pouvez consulter le type de chiffrement d’un message en ouvrant ses informations de sécurité.
Ce chiffrement du transport ne correspond toutefois pas à un chiffrement de bout en bout. Une personne qui prend le contrôle de votre compte peut lire les messages présents dans la boîte, tout comme les services chargés de traiter et de stocker les e-mails doivent pouvoir y accéder pour assurer leur fonctionnement.
Google affirme en revanche ne pas analyser ni lire les messages Gmail afin de sélectionner les publicités personnalisées, celles-ci étant déterminées à partir d’autres activités associées au compte.
Les fonctions S/MIME et de chiffrement côté client proposées par Google sont principalement destinées à certains comptes professionnels ou scolaires. Pour un compte Gmail personnel, la protection la plus importante demeure donc celle de l’accès au compte, des appareils connectés et des méthodes de récupération.