Articles / « Ils ont mon mot de passe » L'arnaque expliquée

« Ils ont mon mot de passe » L'arnaque expliquée

ump — Un mot de passe pourri new 2026-05-10 · Voir sur Substack ↗

Image extraite du Substack
Image qui sera attachée aux posts (selon les formats configurés sur le compte) https://substackcdn.com/image/fetch/$s_!Y_8T!,w_1456,c_limit,f_auto,q_auto:good,…
← Retour
📢 Tweet Teaser posted
259 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

"Ils ont mon mot de passe" ne prouve pas qu'ils ont piraté ton PC. Ça prouve qu'un service tiers s'est fait casser et que tu recyclais ce mdp. Le credential stuffing fait le reste. https://unmotdepassepourri.substack.com/p/ils-ont-mon-mot-de-passe-larnaque

📅 22/06 à 19h09 dans 29j
✓ Publié 22/06 à 19h09
🧵 Thread posted
1502 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Mail de sextorsion avec ton mot de passe en clair ? Pas de magie : ce mdp vient d'une fuite publique (breach). L'attaquant n'a jamais touché ton PC. Il compte sur ta peur pour convertir.

2/8

2/ Voir son mdp dans un mail ne prouve pas qu'on est ciblé. Ça prouve qu'un dev a mal config une BDD, qu'un admin a recyclé un mdp, qu'une lib tierce avait une faille. Toi, tu n'y pouvais rien.

3/8

3/ Le festival des breaches 2025 continue : des millions de credentials dans la nature. RGPD oblige la notif ? Oui. Respecté ? Rarement. Tu l'apprends souvent par l'attaquant lui-même.

4/8

4/ Distinction technique clé : compromettre une boîte mail avec un mdp connu = trivial si pas de MFA. Compromettre un PC = vecteur d'infection, exécution, bypass défenses. Pas à portée d'un spam de masse.

5/8

5/ Le seul levier réel : un mdp unique par service. Une fuite sur un forum de cuisine ne doit pas compromettre ta messagerie. Le credential stuffing devient inopérant. Le mail perd sa seule dent.

6/8

6/ Action maintenant : change le mdp exposé partout où tu le réutilises. Active le 2FA sur ta messagerie. Installe un gestionnaire de mdp. Ne réponds pas, ne paie pas, signale sur cybermalveillance.gouv.fr.

7/8

7/ L'arnaque évolue, pas les auteurs. Ils suivent ce qui convertit. Toi, tu casses la chaîne en cloisonnant : un compte piraté ne doit jamais en menacer un autre.

8/8

8/ Débrief complet ici, avec la mécanique réelle et les protections concrètes : https://unmotdepassepourri.substack.com/p/ils-ont-mon-mot-de-passe-larnaque

📅 29/06 à 12h17 dans 36j
✓ Publié 29/06 à 12h17
💡 Standalone #1 posted
207 chars
Sans lien · Matin 7h30–9h · 70% du mix

Un attaquant qui affiche ton mdp dans un mail n'a jamais touché ton PC. Il a juste téléchargé un dump public et espère que tu paniques. Credential stuffing + psycho, zéro 0day. Mais ça marche encore en 2025.

📅 25/06 à 08h10 dans 32j
✓ Publié 25/06 à 08h10
💬 Standalone #2 posted
226 chars
Sans lien · Matin 7h30–9h · 70% du mix

Le RGPD impose la notif en cas de breach. Dans les faits ? Tu l'apprends souvent par l'attaquant lui-même. La vraie défense n'est pas de choisir des services "sûrs" — ils n'existent pas. C'est un mdp unique par service. Point.

📅 07/07 à 08h02 dans 44j
✓ Publié 07/07 à 08h02
🔥 Provoc posted
212 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Ton entreprise déploie un EDR dernière génération mais laisse les users recycler le même mdp sur 12 services tiers. Le premier breach public casse toute la chaîne. Vous protégez l'endpoint, pas l'identité. Bravo.

📅 20/07 à 18h53 dans 57j
✓ Publié 20/07 à 18h53