facebook-pixel

Comment Vérifier si Votre Mot de Passe a Fuité (Guide 2026)

E
Equipe Securite Lunyb
··9 min read

Chaque année, des milliards d'identifiants circulent sur le dark web suite à des fuites de données. Si tu utilises le même mot de passe depuis 2018 sur plusieurs sites, il y a de fortes chances qu'il soit déjà compromis, même sans que tu le saches. La bonne nouvelle ? Vérifier si ton mot de passe a fuité prend moins de 30 secondes avec les bons outils.

Dans ce guide, je te montre exactement comment vérifier un mot de passe compromis, quels services utiliser en toute sécurité, et surtout quoi faire si tu découvres qu'un de tes mots de passe traîne dans une base de données piratée.

Qu'est-ce qu'un mot de passe compromis ?

Un mot de passe compromis est un mot de passe qui apparaît dans une base de données publiquement exposée suite à une violation de données (data breach). Cela signifie que des cybercriminels ont potentiellement accès à cette information et peuvent l'utiliser pour tenter de se connecter à tes comptes.

Les fuites peuvent provenir de :

  • Piratages de sites web : LinkedIn (2012 et 2021), Yahoo (2013), Adobe (2013), Dropbox (2012)…
  • Attaques par force brute réussies contre des serveurs mal sécurisés
  • Malwares infostealers qui volent les mots de passe stockés dans les navigateurs
  • Phishing à grande échelle
  • Fuites internes par des employés malveillants

Selon Have I Been Pwned, plus de 13 milliards d'identifiants uniques ont fuité au fil des années. Autant dire que la probabilité qu'un de tes anciens mots de passe soit dedans est très élevée.

Pourquoi c'est dangereux même si le compte concerné n'est plus utilisé ?

La vraie menace, c'est le credential stuffing. Les hackers utilisent ton couple email + mot de passe fuité d'un vieux forum de 2015 pour tester automatiquement les connexions sur Gmail, Amazon, PayPal, ta banque… Si tu réutilises le même mot de passe (comme 65% des internautes selon Google), tous ces comptes sont vulnérables.

Les 3 meilleurs outils pour vérifier un mot de passe compromis

1. Have I Been Pwned (HIBP)

Créé par le chercheur en sécurité Troy Hunt, Have I Been Pwned est la référence mondiale. C'est gratuit, open source, et utilisé même par le gouvernement britannique.

Comment l'utiliser :

  1. Va sur haveibeenpwned.com
  2. Entre ton adresse email dans le champ principal
  3. Clique sur "pwned?"
  4. Le site te montre toutes les fuites où ton email apparaît, avec la date et le type de données exposées

Pour vérifier un mot de passe spécifique, utilise la section "Passwords" (pwnedpasswords.com). Le site utilise un mécanisme appelé k-anonymity : ton mot de passe n'est jamais envoyé en clair, seuls les 5 premiers caractères de son hash SHA-1 le sont. C'est cryptographiquement sûr.

2. Le vérificateur intégré de Google Chrome

Si tu utilises Chrome et que tes mots de passe sont synchronisés avec ton compte Google, tu as un outil intégré et redoutablement efficace.

Étapes :

  1. Va sur passwords.google.com
  2. Connecte-toi à ton compte Google
  3. Clique sur "Vérification des mots de passe"
  4. Google te liste : les mots de passe compromis, les mots de passe faibles, et les mots de passe réutilisés

L'avantage : Google analyse en temps réel contre sa propre base de violations de données. L'inconvénient : ça ne vérifie que les mots de passe que tu as enregistrés dans Chrome.

3. Firefox Monitor (Mozilla)

Mozilla propose Monitor, un service similaire à HIBP mais avec une interface plus grand public. Tu peux même t'abonner pour recevoir des alertes automatiques si ton email apparaît dans une nouvelle fuite.

Comparaison des outils de vérification

Outil Gratuit Vérifie mot de passe Vérifie email Alertes automatiques Confidentialité
Have I Been Pwned ✅ Oui ✅ Oui (k-anonymity) ✅ Oui ✅ Oui Excellente
Google Password Checkup ✅ Oui ✅ Oui (chiffré) ❌ Non ✅ Oui Bonne
Firefox Monitor ✅ Oui ❌ Non ✅ Oui ✅ Oui Excellente
1Password Watchtower Payant ✅ Oui ✅ Oui ✅ Oui Excellente
Bitwarden Reports ✅ Freemium ✅ Oui ✅ Oui ✅ Oui Excellente

Comment vérifier ton mot de passe en toute sécurité

Règle d'or absolue : ne tape jamais ton mot de passe complet sur un site random qui prétend vérifier s'il est compromis. C'est la meilleure façon de le donner à un phisher.

Les 5 principes de vérification sécurisée

  1. Utilise uniquement des outils reconnus (HIBP, Google, Mozilla, gestionnaires de mots de passe établis)
  2. Vérifie que le site utilise HTTPS et le vrai domaine (attention aux typos comme "haveibeenpwnd.com")
  3. Préfère les outils qui utilisent le k-anonymity ou le hachage côté client
  4. Ne renseigne jamais mot de passe + email ensemble sur un formulaire de "vérification"
  5. Méfie-toi des extensions navigateur douteuses qui promettent de scanner tes mots de passe

Que faire si ton mot de passe a fuité ?

Pas de panique. Voici le plan d'action à suivre immédiatement, dans l'ordre :

Étape 1 : Changer le mot de passe compromis

Commence par le compte directement concerné par la fuite. Crée un nouveau mot de passe unique, long (au moins 16 caractères) et complexe. Utilise un gestionnaire de mots de passe pour le générer automatiquement.

Étape 2 : Identifier tous les comptes utilisant le même mot de passe

Si tu as réutilisé ce mot de passe ailleurs (avoue-le, on l'a tous fait), tous ces comptes sont à risque. Change-les tous. C'est fastidieux mais indispensable. Consulte notre guide essentiel sur la sécurité des mots de passe pour créer des mots de passe vraiment robustes.

Étape 3 : Activer l'authentification à deux facteurs (2FA)

Même si un mot de passe fuite à l'avenir, la 2FA empêchera l'accès à ton compte. Privilégie les applications comme Authy, Google Authenticator ou Aegis plutôt que les SMS (vulnérables au SIM swapping).

Étape 4 : Vérifier l'activité récente

Sur les comptes sensibles (email, banque, réseaux sociaux), vérifie l'historique des connexions. Y a-t-il des sessions actives inconnues ? Des connexions depuis des pays où tu n'as jamais été ? Déconnecte tout et change le mot de passe.

Étape 5 : Surveiller les tentatives d'usurpation

Un mot de passe fuité est souvent accompagné d'autres données personnelles. Reste vigilant face aux tentatives de phishing personnalisé (spear phishing) dans les semaines qui suivent. Si tu reçois des appels suspects, notre article sur comment signaler un numéro d'arnaque peut t'aider.

Comment éviter que ça se reproduise

Utilise un gestionnaire de mots de passe

C'est le conseil numéro 1. Bitwarden (gratuit et open source), 1Password, ou Proton Pass te permettent d'avoir un mot de passe unique par site, générés aléatoirement, sans avoir à les mémoriser. La plupart intègrent aussi un vérificateur de fuites en continu.

Adopte les passkeys quand c'est possible

Les passkeys (clés d'accès) remplacent progressivement les mots de passe. Basées sur la cryptographie asymétrique, elles ne peuvent pas être hameçonnées ni fuiter dans une base de données puisque le secret ne quitte jamais ton appareil. Google, Apple, Microsoft, GitHub et de plus en plus de services les supportent.

Limite ton exposition en amont

Chaque compte inutile est une fuite potentielle. Quand tu partages un lien ou remplis un formulaire, réfléchis à ce que tu communiques. Des outils comme Lunyb permettent de partager des liens raccourcis de manière sécurisée sans exposer d'informations sensibles dans l'URL, ce qui limite les traces laissées lors de la navigation.

Utilise des alias email

Services comme SimpleLogin, AnonAddy ou Apple's Hide My Email te permettent de créer un email unique par site. Si une fuite arrive, tu sais exactement d'où elle vient et tu peux désactiver l'alias en un clic.

Reste informé des grandes fuites

Abonne-toi aux alertes HIBP avec chacun de tes emails. Tu recevras un mail dès qu'une nouvelle violation contient tes données. Pour aller plus loin sur la protection en ligne, jette un œil à notre guide complet de cybersécurité 2026.

Les signaux d'alerte à surveiller

Parfois, ton mot de passe fuite sans que ça apparaisse encore dans les bases publiques. Voici les signes qui doivent te faire réagir immédiatement :

  • Emails de "tentative de connexion depuis un nouvel appareil" alors que tu n'as rien fait
  • Notifications de réinitialisation de mot de passe non demandées
  • Emails de confirmation de commande pour des achats que tu n'as pas faits
  • Amis qui reçoivent des messages étranges venant de toi
  • Ralentissements soudains de ton ordinateur (potentiel malware)
  • Sextorsion emails mentionnant un de tes vrais mots de passe (souvent issu d'une vieille fuite)

Cadre légal : RGPD et notifications de fuite

Depuis 2018, le RGPD impose aux entreprises de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données. Si tes données sont concernées et que le risque pour tes droits est élevé, l'entreprise doit aussi t'informer directement.

Concrètement, si tu reçois un email d'un service te disant "nous avons subi une violation, changez votre mot de passe", fais-le immédiatement. Et vérifie que l'email est légitime (attention au phishing qui exploite ces situations).

En cas de préjudice réel, tu peux déposer plainte auprès de la CNIL via cnil.fr. Certaines actions collectives ont même donné lieu à des indemnisations (comme celle contre Equifax aux États-Unis).

FAQ : Vérification des mots de passe compromis

Est-ce sûr d'entrer mon mot de passe sur Have I Been Pwned ?

Oui, à 100%. HIBP utilise le k-anonymity : ton mot de passe est haché localement dans ton navigateur, et seuls les 5 premiers caractères du hash sont envoyés au serveur. Il est cryptographiquement impossible pour HIBP de reconstituer ton mot de passe.

Mon mot de passe apparaît dans HIBP mais je ne l'ai utilisé nulle part, pourquoi ?

Les mots de passe courants (comme "MotDePasse123!") sont partagés par des millions d'utilisateurs. Si ton mot de passe apparaît dans la base, cela signifie que quelqu'un d'autre a utilisé exactement le même et qu'il a fuité. Change-le quand même : il fait partie des mots de passe testés en priorité par les attaquants.

Combien de temps après une fuite mon mot de passe apparaît-il dans les bases publiques ?

Ça varie énormément : de quelques jours à plusieurs années. Certaines fuites restent dans le circuit du dark web pendant longtemps avant d'être rendues publiques. C'est pourquoi il faut changer ses mots de passe régulièrement, pas seulement après une notification.

Dois-je changer tous mes mots de passe chaque année ?

Non, pas systématiquement. Les recommandations récentes du NIST et de l'ANSSI ont évolué : mieux vaut un mot de passe très fort et unique conservé longtemps qu'un mot de passe faible changé souvent. En revanche, change immédiatement tout mot de passe compromis, faible ou réutilisé.

Les gestionnaires de mots de passe peuvent-ils aussi fuiter ?

Techniquement oui (LastPass en a fait l'expérience en 2022). Mais les données sont chiffrées avec ton mot de passe maître, donc inutilisables sans lui. Choisis un gestionnaire à architecture zero-knowledge (Bitwarden, 1Password, Proton Pass) et utilise un mot de passe maître très fort avec 2FA activé.

Conclusion

Vérifier si ton mot de passe est compromis prend littéralement 30 secondes et peut t'éviter des mois de galère. Fais-le maintenant sur Have I Been Pwned, puis mets en place un gestionnaire de mots de passe et la 2FA sur tes comptes critiques. Et surtout, arrête de réutiliser le même mot de passe partout : c'est la faille numéro 1 exploitée par les cybercriminels en 2026.

La cybersécurité, c'est comme le sport : mieux vaut 10 minutes régulières que 3 heures de panique quand c'est trop tard.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles