facebook-pixel

Comment Vérifier si Votre Mot de Passe a Fuité : Guide Complet 2026

E
Equipe Securite Lunyb
··9 min read

Chaque année, des milliards d'identifiants sont exposés dans des fuites de données. En 2024, plus de 16 milliards de mots de passe ont été divulgués sur le dark web selon les dernières analyses de sécurité. La question n'est plus si tes mots de passe ont fuité, mais lesquels et quand. Bonne nouvelle : il existe des outils gratuits et fiables pour vérifier en quelques secondes si tes identifiants figurent dans une base de données compromise.

Dans ce guide complet, tu vas apprendre à vérifier si ton mot de passe a été compromis, comprendre comment fonctionnent ces vérifications, et surtout savoir quoi faire si tu découvres qu'un de tes comptes est exposé.

Qu'est-ce qu'un mot de passe compromis ?

Un mot de passe compromis est un identifiant qui a été exposé publiquement suite à une fuite de données, une attaque informatique ou une vente sur le dark web. Une fois qu'un mot de passe est dans la nature, il est ajouté à des dictionnaires utilisés par les pirates pour attaquer d'autres comptes.

Les fuites les plus courantes proviennent de :

  • Piratages de sites web : LinkedIn (700 millions de comptes en 2021), Facebook (533 millions), Yahoo (3 milliards)
  • Attaques par phishing : tu saisis ton mot de passe sur un faux site
  • Logiciels malveillants : keyloggers, infostealers comme RedLine ou Raccoon
  • Bases de données mal configurées : serveurs cloud laissés accessibles sans protection

Pourquoi vérifier régulièrement ses mots de passe ?

Selon la CNIL et le RGPD, les entreprises doivent notifier les fuites de données sous 72 heures. Mais dans la réalité, beaucoup de fuites ne sont détectées que des mois voire des années plus tard. Voici pourquoi la vérification proactive est essentielle :

  1. Attaques par credential stuffing : les pirates testent tes identifiants fuités sur des centaines d'autres sites
  2. Usurpation d'identité : accès à tes comptes bancaires, e-mails, réseaux sociaux
  3. Ransomware personnel : chantage à la publication de données privées
  4. Fraude financière : achats non autorisés, ouverture de comptes à ton nom

Les meilleurs outils pour vérifier un mot de passe compromis

1. Have I Been Pwned (HIBP)

Créé par le chercheur en sécurité Troy Hunt, Have I Been Pwned (haveibeenpwned.com) est la référence mondiale. La base de données contient plus de 12 milliards de comptes compromis issus de plus de 700 fuites vérifiées.

Comment l'utiliser :

  1. Va sur haveibeenpwned.com
  2. Entre ton adresse e-mail dans la barre de recherche
  3. Clique sur "pwned?"
  4. Consulte la liste des fuites dans lesquelles ton compte apparaît

Pour vérifier un mot de passe spécifique, utilise l'onglet "Passwords" : le service utilise la technique du k-anonymity qui n'envoie jamais ton mot de passe complet au serveur.

2. Google Password Checkup

Intégré à Google Chrome et au gestionnaire de mots de passe Google, cet outil analyse automatiquement tous les mots de passe enregistrés dans ton navigateur.

Accès : passwords.google.com → "Vérification des mots de passe"

Google te signale trois types de problèmes :

  • Mots de passe compromis (fuités dans une brèche connue)
  • Mots de passe réutilisés sur plusieurs sites
  • Mots de passe faibles (trop courts ou évidents)

3. Firefox Monitor (Mozilla)

Basé sur les données de Have I Been Pwned, Firefox Monitor (monitor.firefox.com) offre en plus un service de surveillance continue : tu reçois une alerte par e-mail si ton adresse apparaît dans une nouvelle fuite.

4. Apple Keychain (iCloud)

Sur iPhone et Mac, Apple analyse en continu les mots de passe enregistrés dans le trousseau iCloud. Va dans Réglages → Mots de passe → Recommandations de sécurité pour voir les alertes.

5. Gestionnaires de mots de passe (Bitwarden, 1Password, Dashlane)

La plupart des gestionnaires professionnels incluent un scanner de fuites. Bitwarden propose par exemple un rapport "Data Breach Report" gratuit dans sa version premium.

Comparatif des outils de vérification

Outil Gratuit Alertes continues Vérif. mot de passe Base de données
Have I Been Pwned✅ Oui✅ Oui (email)✅ Oui12+ milliards
Google Password Checkup✅ Oui✅ Auto (Chrome)✅ Oui4+ milliards
Firefox Monitor✅ Oui✅ Oui❌ NonBase HIBP
Apple Keychain✅ Oui✅ Auto (iOS/Mac)✅ OuiPropriétaire
BitwardenPartiel✅ Premium✅ OuiBase HIBP

Comment vérifier ton mot de passe en toute sécurité

Beaucoup d'utilisateurs hésitent à taper leur mot de passe sur un site tiers, et à raison. Voici les bonnes pratiques :

La technique du k-anonymity expliquée

Have I Been Pwned utilise un système ingénieux : ton mot de passe est d'abord haché localement dans ton navigateur (algorithme SHA-1). Seuls les 5 premiers caractères du hash sont envoyés au serveur, qui renvoie tous les hashes commençant par ces 5 caractères. La comparaison finale se fait sur ton appareil.

Résultat : le serveur ne connaît jamais ton mot de passe complet, ni même son hash complet.

Règles d'or pour la vérification

  1. Ne jamais utiliser un site inconnu ou suspect pour tester tes mots de passe
  2. Privilégier les outils open source avec vérification cryptographique
  3. Éviter les extensions de navigateur douteuses qui promettent de scanner tes identifiants
  4. Toujours vérifier l'URL (haveibeenpwned.com et non have-i-been-pwned.net)

Que faire si ton mot de passe a fuité ?

Si un de tes mots de passe apparaît dans une fuite, il faut agir vite. Voici la procédure en 7 étapes :

Étape 1 : Change immédiatement le mot de passe

Connecte-toi au compte concerné et change le mot de passe. Utilise un mot de passe fort, unique, d'au moins 16 caractères mélangeant lettres, chiffres et symboles.

Étape 2 : Change les mots de passe réutilisés

Si tu utilisais le même mot de passe ailleurs (mauvaise pratique très courante), change-le sur TOUS les comptes concernés. Les pirates testent systématiquement les identifiants fuités sur les grands services.

Étape 3 : Active l'authentification à deux facteurs (2FA)

Le 2FA ajoute une couche de sécurité même si ton mot de passe est compromis. Privilégie les applications comme Authy, Google Authenticator ou les clés physiques YubiKey plutôt que les SMS (vulnérables au SIM swapping).

Étape 4 : Vérifie l'activité récente du compte

Cherche des connexions suspectes, des e-mails envoyés que tu ne reconnais pas, des modifications de paramètres. Sur Gmail, va dans "Activité récente sur le compte" en bas de la page.

Étape 5 : Révoque les sessions actives

Dans les paramètres de sécurité de chaque service, déconnecte tous les appareils. Ainsi, si un pirate est connecté, il perd immédiatement l'accès.

Étape 6 : Surveille tes comptes bancaires

Si le compte compromis contenait des informations de paiement, contacte ta banque et surveille tes relevés pendant plusieurs mois.

Étape 7 : Signale l'incident si nécessaire

En France, tu peux signaler une usurpation d'identité sur cybermalveillance.gouv.fr. En Suisse, consulte notre guide sur comment déposer une plainte auprès du PFPDT.

Comment créer des mots de passe qui ne fuiteront (presque) jamais

Les caractéristiques d'un mot de passe robuste

  • Longueur : minimum 16 caractères (chaque caractère supplémentaire multiplie la difficulté de crackage)
  • Complexité : lettres majuscules, minuscules, chiffres, symboles
  • Unicité : un mot de passe différent pour chaque service
  • Aléatoire : pas de mots du dictionnaire, dates de naissance ou noms

La méthode des phrases de passe

Au lieu de "P@ssw0rd123", utilise une phrase mémorable : "MonChatMangeDes7CroquettesBleues!". Facile à retenir, quasi impossible à deviner par force brute.

Utiliser un gestionnaire de mots de passe

C'est la solution la plus efficace en 2026. Un bon gestionnaire génère, stocke et remplit automatiquement des mots de passe uniques et complexes. Options recommandées :

  • Bitwarden : open source, gratuit, excellent
  • 1Password : payant, interface soignée, très fiable
  • KeePassXC : totalement local, pour les paranoïaques
  • ProtonPass : suisse, chiffré de bout en bout

Protéger ta vie privée au-delà des mots de passe

La sécurité de tes mots de passe n'est qu'un aspect de ta protection en ligne. D'autres menaces méritent ton attention :

Pour partager des liens sensibles ou vérifier une URL suspecte avant de cliquer, tu peux utiliser un service comme Lunyb qui propose du raccourcissement d'URL avec protection contre les liens malveillants et statistiques anonymisées, respectant le RGPD et la loi suisse LPD.

Bonnes pratiques à adopter dès aujourd'hui

  1. Vérifie tes e-mails sur Have I Been Pwned une fois par trimestre
  2. Active les alertes Firefox Monitor pour être prévenu automatiquement
  3. Installe un gestionnaire de mots de passe et migre progressivement tes comptes
  4. Active le 2FA sur tous les comptes critiques (banque, e-mail, réseaux sociaux)
  5. Utilise des adresses e-mail alias (SimpleLogin, AnonAddy) pour cloisonner tes inscriptions
  6. Ne réutilise jamais un mot de passe même "pour un petit compte sans importance"

FAQ : Vérifier un mot de passe compromis

Est-ce vraiment sûr d'entrer mon mot de passe sur Have I Been Pwned ?

Oui, grâce à la technique du k-anonymity, ton mot de passe n'est jamais transmis en clair ni même son hash complet. Seuls les 5 premiers caractères du hash SHA-1 sont envoyés au serveur, ce qui rend impossible l'identification de ton mot de passe.

À quelle fréquence dois-je vérifier mes mots de passe ?

Une vérification trimestrielle est un bon rythme. Active en plus les alertes automatiques de Firefox Monitor ou Have I Been Pwned pour être notifié dès qu'une nouvelle fuite affecte tes comptes.

Mon mot de passe apparaît dans une fuite mais je ne me souviens pas m'être inscrit sur ce site, que faire ?

C'est fréquent. Change immédiatement le mot de passe partout où tu l'utilises. Il est possible que tu aies créé un compte il y a des années, ou qu'un tiers ait utilisé ton adresse pour s'inscrire. Vérifie aussi si le compte peut être supprimé.

Un gestionnaire de mots de passe est-il vraiment sûr ?

Oui, s'il utilise un chiffrement fort (AES-256) et un modèle "zero-knowledge" où seul toi peux déchiffrer ton coffre-fort. Bitwarden, 1Password et ProtonPass respectent ces standards. Le risque de te faire pirater est bien plus élevé si tu réutilises tes mots de passe.

Que faire si ma banque a subi une fuite de données ?

Contacte immédiatement ta banque, fais opposition sur ta carte si nécessaire, change tous tes identifiants bancaires, et surveille tes relevés pendant au moins 6 mois. En France, tu peux également signaler l'incident à la CNIL et déposer plainte auprès de la police en cas d'utilisation frauduleuse.

Conclusion

Vérifier régulièrement si tes mots de passe ont été compromis n'est plus une option en 2026, c'est une hygiène numérique de base. Avec les outils gratuits comme Have I Been Pwned, Google Password Checkup et les gestionnaires de mots de passe modernes, tu peux prendre le contrôle de ta sécurité en ligne en quelques minutes.

La combinaison gagnante : mots de passe uniques et longs, gestionnaire fiable, authentification à deux facteurs, et vérifications régulières. Adopte ces réflexes dès aujourd'hui, et tu diviseras drastiquement ton risque de te faire pirater.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles