Identifier et sécuriser les comptes piratés

En tant qu'administrateur, si vous pensez qu'un compte a été piraté ou est susceptible de l'être, utilisez la liste de contrôle ci-dessous pour le sécuriser. Aidez les utilisateurs concernés à suivre les instructions de la liste de contrôle relative à la sécurité de Gmail.

Suivez la procédure de sécurité ci-dessous

Étape 1 : Suspendez temporairement le compte utilisateur susceptible d'avoir été piraté
  1. Suspendez le compte utilisateur pour empêcher tout accès non autorisé.

    Remarque : Si vous suspendez le compte d'un utilisateur, ses cookies de connexion et ses jetons OAuth sont réinitialisés.

  2. Examinez l'activité suspecte et restaurez le compte. Vous pouvez également envisager d'inscrire le domaine à la validation en deux étapes.
  3. Demandez à l'utilisateur concerné de vérifier que l'adresse de récupération du mot de passe est bien la sienne et de suivre les instructions de la liste de contrôle relative à la sécurité de Gmail.
Étape 2 : Examinez le compte à la recherche d'activités non autorisées
  1. Si l'utilisateur piraté est un administrateur G Suite, vérifiez dans les journaux d'audit qu'aucune modification de configuration n'a été récemment apportée. Si ce n'est pas le cas, ignorez cette étape.
  2. Contrôlez les appareils mobiles associés au compte concerné et effacez les données de ceux qui vous paraissent suspects.
  3. Vérifiez la présence d'activités suspectes :
    1. Consultez le journal d'audit des connexions dans la console d'administration pour accéder à la liste des connexions Web réussies et manquées dans votre domaine, sur une période allant jusqu'à 6 mois. Les connexions suspectes sont marquées d'une icône d'avertissement. Vous pouvez également récupérer les connexions des comptes de domaine via l'API G Suite Reports.
    2. Utilisez la recherche dans le journal des e-mails pour consulter les journaux de distribution associés à vos domaines et évaluer le trafic des messages vers et à partir des comptes piratés. Si le compte est géré par Vault, vous pouvez utiliser la recherche dans le journal des e-mails pour analyser l'activité des e-mails.
      Remarque : Si vos utilisateurs passent à G Suite Business ou à G Suite Enterprise, qui comprend Vault, ils peuvent récupérer des e-mails ou des documents qui ont été définitivement supprimés.
    3. Utilisez le rapport de sécurité pour évaluer l'exposition du domaine aux risques de sécurité des données. Nous vous recommandons de consulter ces rapports :
    4. Vérifiez qu'aucun paramètre malveillant n'a été créé. Vous pouvez récupérer les paramètres d'un compte utilisateur, tels que les paramètres de transfert, via l'API Gmail. Si vous pensez qu'un compte grandpublic@gmail.com a été utilisé dans le cadre de ce piratage, veuillez le signaler.
Étape 3 : Révoquez l'accès au compte utilisateur concerné
  1. Suivez les instructions de l'article Réinitialiser le mot de passe d'un utilisateur.
  2. Révoquez les jetons OAuth 2.0 du compte utilisateur concerné. 
  3. Certaines applications utilisant l'authentification OAuth 2.0 ne pourront plus accéder aux données une fois que vous aurez réinitialisé le mot de passe d'un utilisateur. L'utilisateur devra se connecter avec le nom et le nouveau mot de passe de son compte pour recevoir un nouveau jeton OAuth 2.0.
  4. Supprimez les mots de passe d'application créés par l'utilisateur.
Étape 4 : Autorisez à nouveau l'accès au compte utilisateur
  1. Levez la suspension du compte.
  2. Communiquez le nouveau mot de passe temporaire à l'utilisateur et demandez-lui d'en définir un nouveau, unique. Celui-ci ne doit pas être déjà utilisé sur d'autres sites Web ou dans d'autres applications.
  3. Activez la validation en deux étapes au sein du domaine et fournissez aux utilisateurs des clés de sécurité U2F, préférables aux codes de validation en deux étapes.
  4. Aidez les utilisateurs concernés à suivre les procédures de la liste de contrôle relative à la sécurité de Gmail. Assurez-vous par exemple que l'ensemble des filtres et des options de transfert d'un utilisateur final sont configurés de manière appropriée.
    1. Mettez à jour les options de récupération du compte.
    2. Vérifiez que le compte ne fait l'objet d'aucune activité inhabituelle.
    3. Vérifiez si certains messages sont manquants ou suspects.
    4. Vérifiez qu'aucune erreur ne figure dans vos contacts.
    5. Vérifiez vos paramètres Gmail.  

Procédure de sécurité supplémentaire 

Nous vous recommandons de suivre cette procédure de sécurité supplémentaire afin de garantir l'intégrité des comptes G Suite de vos utilisateurs.

Étape 1 : Inscrivez-vous à la validation en deux étapes avec clés de sécurité

L'inscription à la validation en deux étapes offre un niveau de sécurité supplémentaire pour les comptes utilisateur G Suite. Les utilisateurs doivent en effet saisir un code de validation en complément de leur nom d'utilisateur et de leur mot de passe pour accéder à leur compte. Pour en savoir plus, consultez l'article Ajouter la validation en deux étapes. Pour bénéficier d'une protection renforcée contre l'hameçonnage, nous recommandons l'utilisation de clés de sécurité plutôt que celle de codes de validation en deux étapes.

Étape 2 : Ajoutez, sécurisez ou mettez à jour les options de récupération du mot de passe

Pour savoir comment ajouter des adresses e-mail secondaires et des numéros de téléphone, consultez l'article Ajouter des options de récupération à votre compte administrateur. Nous vous recommandons de sécuriser vos adresses e-mail secondaires en modifiant le mot de passe, voire l'adresse elle-même.

Étape 3 : Activez les alertes relatives à l'activité des comptes

En tant qu'administrateur, vous pouvez décider de recevoir des alertes concernant l'activité d'un compte quand des événements importants se produisent, par exemple lorsque sont identifiées des connexions suspectes ou des modifications de paramètres de service par d'autres administrateurs.

Vous pouvez consulter le centre de sécurité de Google pour obtenir des recommandations générales sur la sécurisation de votre compte.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?