Close Menu
mardi 26 mai 2026
SOLDES 🔥
Tutoriels

Comment savoir si votre compte a été piraté (Have I Been Pwned) ?

Comment savoir si votre compte a été piraté (Have I Been Pwned) ?
Photo : Markus Spiske sur Unsplash

Chaque semaine, une nouvelle fuite de données expose des millions de comptes : LinkedIn 2021, Facebook 2019, Dropbox 2016, Adobe 2013, Yahoo 2014… La question n’est plus de savoir si votre email est compromis quelque part, mais . Le service Have I Been Pwned, fondé par le chercheur en sécurité australien Troy Hunt, vous permet de vérifier gratuitement si votre adresse email ou un de vos mots de passe figure dans une fuite connue. Voici comment l’utiliser et réagir si vous êtes compromis.

Qu’est-ce que Have I Been Pwned ?

Have I Been Pwned (HIBP, prononcé « haveibinepound ») est un service gratuit et indépendant qui agrège toutes les fuites de données publiques depuis 2013. Plus de 12 milliards de comptes y sont référencés en 2026, issues d’environ 700 sites piratés dont les bases ont fuité sur le dark web.

Le service vous permet de vérifier en quelques secondes :

  • Si une adresse email apparaît dans une ou plusieurs fuites connues
  • Si un numéro de téléphone figure dans des fuites comme celle de Facebook 2019
  • Si un mot de passe est apparu dans une base piratée (même s’il n’est pas lié à votre compte)
  • Quels services particuliers ont été hackés historiquement

HIBP est recommandé par les CNIL européennes, le FBI, le CISA américain et intégré nativement dans 1Password, Firefox Monitor et de nombreux outils de sécurité. C’est la référence absolue du domaine.

Comment vérifier si son email a fuité ?

  1. Rendez-vous sur haveibeenpwned.com
  2. Tapez votre adresse email dans la barre de recherche centrale
  3. Cliquez sur pwned?
  4. Résultat affiché en quelques secondes

Deux issues possibles :

  • Good news (encadré vert) : votre email n’est dans aucune fuite référencée
  • Oh no — pwned! (encadré rouge) : votre email est dans X fuites de données

En cas de fuite, la page affiche la liste complète des sites concernés avec la date, le type de données exposées (mot de passe, hash, nom, téléphone, IP, etc.) et un descriptif de la fuite.

Comment vérifier si un mot de passe a fuité ?

Le service propose aussi une base de hashes de mots de passe publiés dans des fuites. Vous pouvez vérifier si un mot de passe spécifique est connu publiquement.

  1. Allez sur haveibeenpwned.com/Passwords
  2. Tapez le mot de passe à vérifier (transmission sécurisée via k-anonymity, voir paragraphe sécurité)
  3. Cliquez sur pwned?
  4. Résultat affiché immédiatement

Si le mot de passe a été vu dans des fuites, HIBP indique le nombre de fois qu’il a été trouvé dans des bases piratées. Exemple : password123 apparait dans plus de 2,3 millions de fuites. Tout mot de passe vu même une seule fois est considéré comme compromis.

Important sur la sécurité : HIBP utilise un protocole appelé k-anonymity. Votre mot de passe est hashé localement dans votre navigateur, et seuls les 5 premiers caractères du hash sont envoyés au serveur. HIBP renvoie alors la liste complète des hashes commençant par ces 5 caractères, et la comparaison finale est faite côté client. Votre mot de passe n’est jamais transmis en clair.

Comment activer les alertes automatiques ?

HIBP propose un service de notification gratuit. Vous êtes prévenu par email dès qu’une nouvelle fuite contenant votre adresse est ajoutée à la base.

  1. Allez sur haveibeenpwned.com/NotifyMe
  2. Entrez votre adresse email
  3. Cliquez sur notify me of pwnage
  4. HIBP envoie un email de vérification, cliquez sur le lien de confirmation

Faites cette inscription pour chaque adresse email importante que vous possédez (email perso, email pro, aliases). Vous recevrez un email si l’une d’entre elles apparaît dans une nouvelle fuite. Service gratuit à vie.

Que faire si votre email est compromis ?

Si HIBP indique que votre email est dans une ou plusieurs fuites, suivez ce plan d’action dans l’ordre :

  1. Identifiez les sites concernés : HIBP les liste avec date et nature des données exposées
  2. Changez immédiatement les mots de passe sur ces sites précis
  3. Changez le mot de passe partout où vous utilisiez le même : ne réutilisez jamais de mot de passe
  4. Activez la 2FA sur tous vos comptes importants : voir notre tutoriel Comment configurer la 2FA sur Windows ?
  5. Vérifiez l’activité suspecte sur vos comptes (connexions inhabituelles, mails envoyés sans votre intervention)
  6. Surveillez votre compte bancaire pendant 3 à 6 mois pour détecter des fraudes en cascade

Si la fuite concerne votre email principal (Gmail, Outlook), c’est la priorité absolue. Cet email est la clé maître : un pirate qui y accède peut réinitialiser tous vos autres comptes.

Quels gestionnaires de mots de passe utiliser ?

Pour avoir un mot de passe unique et fort par site sans devoir tous les mémoriser, vous avez besoin d’un gestionnaire de mots de passe. Quelques références fiables en 2026 :

  • Bitwarden : open source, gratuit illimité, options premium à 10 €/an. Notre recommandation
  • 1Password : payant (3 €/mois), UX premium, support entreprise
  • Proton Pass : open source, suite Proton (Mail, VPN, Drive)
  • KeePass / KeePassXC : 100 % open source, local, fichier .kdbx que vous sauvegardez

À éviter : LastPass (multiples breaches 2022-2023, méthode de chiffrement controversée), gestionnaires intégrés aux navigateurs (Chrome, Safari) sans 2FA active.

Comment créer des mots de passe forts ?

Trois règles essentielles pour un mot de passe résistant en 2026 :

  • Longueur minimum 16 caractères (chaque caractère ajouté multiplie par 60-100 le temps de crack)
  • Mélanger 4 types : majuscules, minuscules, chiffres, caractères spéciaux
  • Unique par site : jamais le même mot de passe sur 2 comptes différents

Méthode pratique : utilisez la méthode de la phrase de passe. Au lieu de P@ssw0rd!, prenez Mon-chat-Mistigris-mange-1-souris-bleue!. Plus long, plus facile à retenir, infiniment plus sûr.

Ou mieux : laissez votre gestionnaire de mots de passe générer automatiquement un mot de passe aléatoire de 32 caractères que vous n’avez même pas besoin de mémoriser.

Comment utiliser Have I Been Pwned selon votre profil

Le réflexe minimum à adopter cette semaine

Si la cybersécurité n’a jamais été votre sujet, faites le minimum vital : vérifiez votre adresse email principale sur haveibeenpwned.com et changez les mots de passe des services listés comme compromis. C’est 10 minutes d’effort, mais 80 % du risque éliminé. Si l’email apparaît dans plus de 5 fuites, c’est le moment d’adopter un gestionnaire de mots de passe comme Bitwarden (gratuit) pour ne plus réutiliser les mêmes identifiants partout.

L’usage solide pour qui prend la sécurité au sérieux

Pour aller plus loin : vérifiez toutes vos adresses email (perso, pro, alias jetable, ancien email de fac). Inscrivez-vous au service Notify Me de HIBP pour recevoir une alerte automatique à chaque nouvelle fuite. Combinez avec l’activation 2FA sur tous vos comptes importants (voir Comment configurer la 2FA sur Windows ?) et une règle stricte : mot de passe unique par service, généré aléatoirement par un gestionnaire.

L’approche pro pour entreprises et développeurs

Pour les dev, freelances et entreprises : HIBP propose une API officielle payante (3,50 $/mois) qui permet de checker programmatiquement les emails. Couplez avec le Domain Search qui vérifie d’un coup tous les emails en @votredomaine.com. Pour les structures plus grosses, intégrez l’API dans votre stack de monitoring sécurité (Grafana, Splunk, SIEM custom) pour recevoir des alertes en temps réel dès qu’un employé figure dans une nouvelle fuite. Couplez avec le service Pwned Passwords (gratuit, illimité) pour bloquer en amont les mots de passe déjà compromis lors de l’inscription d’utilisateurs sur votre service.

Share.

À lire également

Laisser un commentaire

Offrez-moi un café