La réponse est : oui. un utilisateur peut dans tous les cas changer son mot de passe, pour autant qu'il ait accès à la page "mon profil".
Quant à changer le nom d'utilisateur, c'est un paramètre dans la configuration du composant "Utilisateurs" : par défaut, la modification n'est pas autorisée, donc à vous de voir qu'elle est le statut de ce réglage.
Une autre possibilité tient à la nature de cet identifiant : s'il s'agit de l'adresse email (modification possible via un plugin ou un composant spécifique), et que cet adresse email a été changée, le nom d'utilisateur aussi.

Maintenant, s'il s'agit de l'identifiant "par défaut" de Joomla! (différent de l'adresse email) et qu'il n'est pas possible de le modifier dans la page "profil", quelque chose s'est passé.

Un Administrateur/Super Utilisateur peut faire cette modification. Vous dites que vous êtes 2 mais il y a 4 comptes ! Cela en fait 2 de trop qui devraient être, au moins, désactivés sinon supprimés. Qu'elle est la date de dernière connexion sur ces 2 comptes "extra" ?

Une bonne mesure de sécurité est d'activer le "journal des activités des utilisateurs" (dans les plugins) : de cette façon, vous enregistrer toutes les opérations effectuées par les membres. Vous y verr(i)ez la date d'une éventuelle modification ainsi que l'identité de l’utilisateur qui l'a réalisée. C'est une fonction que j'active sur tous les sites de mes clients.

Bonjour jfque et un grand merci pour votre rapide réponse.
Notre compte "Membre" est le même pour tous les membres de notre association. Il sert juste à accéder à des documents qui ne regardent que nous. Son email est donc "bidon" et l'identifiant est "membre".
Pour cette raison, nous n'avons pas donné l'accès à la page "mon profil". Pourtant, je soupçonne que c'est un(e) membre qui y est arrivé en passant par je ne sais quel chemin. Reste quand même la question énigmatique du "Nom" changé dans le profil du compte (?).
Vous me demandiez "Qu'elle est la date de dernière connexion sur ces 2 comptes "extra" ?". Elle ne veux plus rien dire puisque j'ai changé les mots de passe et testé ensuite leur validité.

En attendant, j'ai appliqué vos recommandations: j'ai désactivé les 2 comptes administrateur de "secours" et j'ai activé la surveillance des actions utilisateurs.
Merci encore.

Ne pas faire de lien vers une page ne signifie pas qu'on ne puisse pas accéder à cette page. Si, en étant connecté comme membre, vous tapez comme URL 'index.php?option=com_users&layout=edit&view=profi le', vous accédez à la page "profil".
Comme il n'y a pas moyen de désactiver cette possibilité, le mieux est de faire un override de la vue "profile" pour rediriger cet accès sur autre page (par exemple une page expliquant que la modification du profil n'est pas autorisée).

Enfin, pour information, avoir les mêmes codes d'accès pour plusieurs (ou tous) les utilisateurs n'est pas une bonne pratique (le jour où vous voulez exclure un membre, vous devez changer le mot de passe et le communiquer à tout le monde) et est même contraire aux directives du RGPD et de la CNIL.