En février, une cyberattaque contre le site de La Fourchette a exposé les données de millions d’utilisateurs. Cependant, la majorité de ces utilisateurs ignorent que leurs données ont fuité. Leur adresse mail est désormais vulnérable, associée à des dizaines (voire des centaines) de comptes dont la plupart sont :
- Inactifs : autant de portes d’entrée pour d’éventuels hackers.
- Insuffisamment sécurisés : accessibles avec un simple mot de passe.
- Véritablement inutiles. Ces comptes sont la principale menace qui pèse sur votre sécurité en ligne. Parce qu’ils vous exposent à un risque grandissant de credential stuffing. Et parce qu’ils permettent à vos interlocuteurs d’invoquer un "manque de fonds", en cas de litige. Voici ce que nous allons aborder :
- Comment lister tous les comptes liés à votre adresse mail.
- Comment les sécuriser pour éviter les risques.
- Comment transformer cet inventaire en un bouclier contre les mauvais payeurs.
Réponse express : lister tous vos comptes en 3 étapes clés
Fini les listes interminables à la main ou les services prétendument miraculeux. Ici, nous allons droit au but, sans détour.
1. Scanner automatique (Deseat.me, holehe)
En deux minutes chrono, Deseat.me ratisse votre boîte mail pour recenser où traînent vos inscriptions (et il en trouve, même là où vous pensiez avoir oublié jusqu’à la couleur du logo). Holehe, lui, c’est le scalpel OSINT : il vérifie si votre adresse mail est associée à des comptes sur une flopée de services. Sauf que Deseat.me veut tout lire dans votre boîte – pratique mais invasif (niveau vie privée = dessous de paillasson). Holehe ne lit rien mais ne repère que les plateformes déjà dans son collimateur – donc partiel.
Avantages et inconvénients :
- Deseat.me :
- Avantages : Automatique, vaste couverture.
- Inconvénients : Confidentialité limitée (accès total à vos emails).
- Holehe :
- Avantages : Ciblé, open-source, pas d’accès direct à vos messages.
- Inconvénients : Résultats incomplets hors de sa liste noire.
Bref : Choisissez le poison avec lequel vous dormez le mieux.
2. Recherche manuelle (moteurs et réseaux sociaux)
Ici, on met les mains dans le cambouis avec Google et Reddit. Combinez opérateurs Google et outils comme Namechk.com pour gratter vos traces sur le web et les réseaux sociaux. Rakez aussi r/privacy ou r/osint sur Reddit, c’est là que débordent les fuites anonymes.
| Opérateur | Utilité |
|---|---|
site: |
Limite la recherche à un domaine précis. |
inurl: |
Filtre avec des mots-clés dans l’URL. |
intitle: |
Recherche les mots-clés dans le titre. |
filetype: |
Débusque des documents liés à votre email. |
Anecdote : Un collégue a retrouvé cinq vieux comptes obscurs juste avec site:oldsite.com inurl:profile "mon@mail" – effacé depuis 2011... Merci qui ?
3. Vérification et agrégation des résultats
Une fois le carnage terminé, centralisez tout ça dans un tableur ou un gestionnaire comme Bitwarden (les post-it collés au bord d’écran c’était marrant en 2002). Classez par typologie, virez les doublons et marquez chaque ligne selon l’état du compte.
Résumé clé :
- Exportez tous vos scans dans un seul fichier ou tableau.
- Utilisez Bitwarden pour suivre la suppression ou modification des comptes.
- Nettoyez sans pitié les doublons : aucune place pour les reliques numériques !
Voilà comment une simple boîte mail devient le point d’entrée pour cartographier toute votre vie numérique. On n’est pas chez Disney.
Méthode 2 – Recherche manuelle et techniques OSINT
Vous aimez la sueur froide dans le dos ? Parfait, la recherche manuelle c’est l’OSINT à l’ancienne : précision chirurgicale (ou doigt mouillé, selon votre humeur). Parcourir les recoins du web avec des outils que Google fournit gracieusement. Bref, on ne va pas faire semblant de cliquer sur trois boutons magiques.
Opérateurs Google avancés pour lister vos inscriptions
Tapez site:steamcommunity.com "votre_email" et observez les cadavres numériques remonter à la surface. Ajoutez inurl: pour fouiller dans les URLs contenant votre mail, intitle: pour traquer les titres de profils égarés, et filetype: pour débusquer les PDF ou CSV qui traînent vos infos personnelles. La magie ? Elle est rare. Les faux positifs ? Légion !
Fouille des liens de confirmation dans votre boîte (Gmail/Outlook)
Filtrer revient à trier ses ordures numériques : ce n’est pas glamour, mais c’est essentiel. Dans Gmail/Outlook, jouez avec des requêtes comme subject:confirmation ou subject:welcome. Résultat : une avalanche de mails d’inscription prêts à livrer leur lot de liens oubliés. Le tri fait mal au self-esteem (spoiler : vous n’étiez PAS obligé d’ouvrir ce compte TopAstuces en 2016).
- Exemples de requêtes :
- subject:welcome
- from:mailer@*/
Leveraging GitHub et forums pour retrouver des commits liés
Oubliez la poésie : cherchez votre e-mail sur GitHub dans la section des commits, sur r/Passwords ou les forums purulents type MEGA et Twitch leaks. Vous pensiez avoir été discret ? Raté.
"Ce scanner OSINT est aussi précis qu’un GPS dans un bunker."
Exploiter les gestionnaires de mots de passe (Bitwarden, navigateur)
Bitwarden exporte vos credentials en CSV : ouvrez-le, filtrez sur votre adresse mail puis dégainez un tableau croisé pour visualiser tous les domaines associés. Côté navigateur… même punition, résultat tout aussi effrayant.
- Exporter CSV
- Filtrer mail
- Lister domaines
On n’est pas chez Disney : ici chaque clic peut déterrer une relique numérique dont vous auriez préféré oublier l’existence.
Sécuriser et surveiller vos comptes après l’inventaire
Votre inventaire de comptes numériques, c’est comme ouvrir la boîte à gants d’une vieille voiture : ce que vous trouvez va probablement vous faire peur. La plupart des utilisateurs pensent être invulnérables une fois le "ménage" fait. Grosse blague. Les menaces débarquent à coup de phishing low-tech et de credential stuffing, pendant que les vendeurs de SaaS agitent leur baguette magique (en mousse). On n’est pas chez Disney.
Activer la 2FA et passer aux passkeys
Trois étapes qui piquent, mais indispensables :
1. Google : Allez dans Sécurité > Validation en deux étapes > Ajouter Google Authenticator ou une clé U2F. Un QR code, une confirmation, c’est plié (sauf pour ceux qui oublient leur mobile – et ça arrive plus qu’on croit).
2. Microsoft/Outlook : Paramètres du compte > Sécurité avancée > Activer la double authentification via SMS/app mobile/clés FIDO2. Microsoft adore vous envoyer trente notifications, préparez-vous à cliquer.
3. Steam/Twitch : Activez Steam Guard Mobile Authenticator / Authentification double Twitch dans les paramètres sécurité. Pour les vrais, passez direct aux passkeys compatibles FIDO2 (YubiKey ou équivalent).
- Google Authenticator
- Clé U2F/FIDO2
- Passkeys universelles (ça évite les SMS et autres antiquités)
En résumé : La 2FA n’est pas qu’un mot à la mode sur LinkedIn, c’est une nécessité.
Changer vos mots de passe et éviter le credential stuffing
Stop à la paresse numérique ! Générer un mot de passe unique pour chaque service avec Bitwarden ou un équivalent est la première ligne de défense contre 90 % des attaques opportunistes.
- Utilisez le générateur aléatoire intégré Bitwarden/KeepassXC : 16+ caractères, minuscules/majuscules/symboles non triviaux.
- Bannissez toute logique humaine (prénoms, années, codes postaux… les scripts OSINT raffolent des trucs évidents).
- Mettez à jour tous les comptes critiques en priorité : mail principal, paiement, cloud.
Anecdote : J’ai déjà récupéré un accès sur un compte RH d’entreprise grâce à un vieux combo fuité Yahoo+motdepasse123… Bref.
Mettre en place une veille via alerts et abonnements
La sécurité sans surveillance ? Aussi utile qu’un extincteur sans poudre. Trois outils vraiment efficaces :
- S’abonner HIBP : Inscrivez votre mail sur HaveIBeenPwned.com > Recevoir notifications > Validez via mail reçu (leur dashboard pue la simplicité mais ça marche).
- Configurer Google Alerts : Ajoutez votre adresse mail/pseudo dans les alertes personnalisées pour traquer tout ce qui fuite publiquement.
- Activer notifications holehe : Si vous scriptz un scan holehe régulier sur vos mails pro/perso, activez des alertes Discord/Telegram dès détection d’une nouvelle correspondance.
Checklist :
- S’abonner à HaveIBeenPwned (HIBP) ✅
- Configurer des alertes Google ✅
- Activer les notifications Holehe ✅
On n’est pas chez Disney : ici, on attend la fuite AVANT d’agir – c’est déjà trop tard.
Supprimer les comptes abandonnés (Deseat.me ou méthode manuelle)
Une relique numérique morte attire le malware comme la lumière attire les moustiques. Donc on purge !
- Lancer purge Deseat.me : Autorisez l’accès OAuth limité, laissez scanner votre boîte puis cliquez « supprimer » face chaque service inutile trouvé.
- Vérifier manuellement : Certains sites refusent l’automatisation – cherchez le lien « delete account », souvent planqué par sadisme UX pur.
- Archiver liste supprimée : Exportez votre liste nettoyée pour garder une trace (CSV sécurisé ou chiffrement local obligatoire – sinon autant tout afficher en vitrine).
En clair : Plus vous laissez traîner de profils dormants, plus vous ouvrez des portes aux ransomwares. Faites le ménage sans compromis.
Transformer l’inventaire en un bouclier anti-mauvais payeurs
Faites-le une fois, c’est utile. Automatisez-le, c’est vital. Croire qu’un inventaire suffit, c’est comme embaucher un vigile qui dort debout devant la porte. Un vrai bouclier, c’est la paranoïa automatisée : scanner vos comptes toutes les semaines (ou jours si vous êtes joueur), activer des alertes partout et dégager sans pitié les reliques numériques. Bref : ici, le firewall n’est pas logiciel… il est humain et insomniaque.
Checklist parano indispensable :
- Scanner régulièrement
- Activer 2FA
- Purger l'inutile
Se reposer sur ses lauriers, c’est offrir une opportunité en or aux mauvais payeurs du web.
