Vérifier si vos mots de passe ont été compromis — et que faire si c'est le cas
16 milliards d'identifiants circulent en ce moment sur le dark web. En 2 minutes et un outil gratuit, vous pouvez savoir si les vôtres en font partie — et agir avant qu'il ne soit trop tard.
Vous utilisez peut-être en ce moment un mot de passe qui circule librement sur le dark web. Pas parce que vous avez fait une erreur. Simplement parce qu'un service que vous utilisez a été piraté — et que vos identifiants ont fuité avec les données de millions d'autres utilisateurs.
Ce scénario est beaucoup plus courant qu'on ne le croit. En 2025, plus de 16 milliards d'identifiants de connexion circulaient illégalement sur internet. Des adresses email, des mots de passe, des noms d'utilisateur — issus de centaines de fuites de données accumulées au fil des années.
La bonne nouvelle : il existe des outils gratuits pour savoir si vous êtes concerné. Et les actions à mener ne prennent pas plus d'une heure.
Étape 1 — Vérifier si votre email a été compromis
Have I Been Pwned (haveibeenpwned.com)
C'est l'outil de référence, créé par Troy Hunt, chercheur en sécurité reconnu. Il recense des milliards d'identifiants issus de fuites de données connues.
Comment l'utiliser :
- Rendez-vous sur haveibeenpwned.com
- Saisissez votre adresse email dans le champ de recherche
- Cliquez sur "pwned?"
Le résultat vous indique si votre adresse apparaît dans des bases de données compromises, et lesquelles. Si le fond passe au rouge avec le message "Oh no — pwned!", votre adresse email a été exposée dans au moins une fuite.
Ce que vous verrez : - Le nom des services concernés (LinkedIn, Adobe, Dropbox...) - La date approximative de la fuite - Les types de données exposées (email, mot de passe, nom, téléphone...)
⚠️ Une adresse "pwned" ne signifie pas forcément que votre compte actuel est en danger — surtout si vous avez changé votre mot de passe depuis. Mais c'est un signal à prendre au sérieux.
Firefox Monitor (monitor.mozilla.org)
Alternative francophone proposée par Mozilla, elle s'appuie sur les mêmes données que Have I Been Pwned mais avec une interface en français et des alertes automatiques par email en cas de nouvelle fuite.
Étape 2 — Vérifier si vos mots de passe ont été exposés
Vérifier votre adresse email, c'est bien. Vérifier si un mot de passe spécifique circule, c'est encore mieux.
Have I Been Pwned — Passwords
Sur haveibeenpwned.com/Passwords, vous pouvez taper un mot de passe pour savoir s'il apparaît dans des bases de données de mots de passe compromis.
Rassurez-vous sur la sécurité : l'outil utilise une technique appelée k-anonymity. Votre mot de passe n'est jamais envoyé tel quel au serveur — seuls les 5 premiers caractères de son empreinte chiffrée sont transmis. Vous pouvez utiliser cet outil en toute sécurité.
Si un mot de passe apparaît des millions de fois dans les bases compromises ("123456" a été exposé plus de 37 millions de fois), changez-le immédiatement partout où vous l'utilisez.
Étape 3 — Ce qu'il faut faire si vous êtes concerné
3a. Changez le mot de passe du service concerné
Commencez par le service qui a été piraté. Connectez-vous et changez immédiatement votre mot de passe pour un nouveau mot de passe unique et solide (voir étape 4).
3b. Changez le même mot de passe partout où vous l'utilisez
C'est là que ça se complique. Si vous utilisez le même mot de passe sur plusieurs services — ce que font la majorité des internautes — chaque compte qui partage ce mot de passe est potentiellement compromis.
Listez tous les services où vous utilisez ce mot de passe et changez-les un par un. Profitez-en pour attribuer un mot de passe différent à chacun.
3c. Activez l'authentification à deux facteurs (2FA)
Même avec un mot de passe volé, un attaquant ne peut pas accéder à votre compte si le 2FA est activé. C'est votre filet de sécurité.
Activez-le en priorité sur :
- Votre messagerie principale (Gmail, Outlook...)
- Vos réseaux sociaux
- Vos services bancaires et de paiement
- Vos outils de travail (CRM, hébergement, outils cloud)
La plupart des services proposent le 2FA dans leurs paramètres de sécurité. Vous recevrez un code par SMS ou via une application dédiée (Google Authenticator, Authy) à chaque connexion depuis un nouvel appareil.
3d. Surveillez vos comptes pendant quelques semaines
Après une fuite, restez vigilant. Vérifiez vos relevés bancaires, vos boîtes email pour détecter des tentatives de connexion inattendues, et les notifications d'activité suspecte sur vos comptes.
Étape 4 — Adopter un gestionnaire de mots de passe
C'est l'action la plus importante sur le long terme. Un gestionnaire de mots de passe vous permet de :
- Générer automatiquement des mots de passe longs, complexes et uniques pour chaque service
- Les stocker de façon chiffrée et sécurisée
- Les remplir automatiquement sur vos sites et applications
- N'avoir qu'un seul mot de passe maître à retenir
Les options recommandées
| Outil | Prix | Points forts |
|---|---|---|
| Bitwarden | Gratuit (open source) | Transparent, audité, synchronisation multi-appareils |
| 1Password | ~3€/mois | Interface soignée, très complet, idéal en famille ou équipe |
| Proton Pass | Gratuit / Payant | Hébergement européen, axé confidentialité |
| Dashlane | Gratuit / Payant | Interface française, surveillace dark web intégrée |
Notre recommandation pour débuter : Bitwarden. Il est gratuit, open source (son code est auditable publiquement), et disponible sur tous les appareils et navigateurs.
Comment démarrer avec Bitwarden
- Créez un compte sur bitwarden.com
- Choisissez un mot de passe maître solide — c'est le seul que vous devrez retenir. Idéalement une phrase de passe longue (ex. : "MonChatMange3PoissonsRouges!")
- Installez l'extension navigateur sur Chrome, Firefox ou Edge
- Au fur et à mesure de vos connexions, Bitwarden vous proposera d'enregistrer vos identifiants
- Pour chaque nouveau compte, utilisez le générateur intégré pour créer un mot de passe unique
Récapitulatif des actions à mener
| Action | Durée estimée | Priorité |
|---|---|---|
| Vérifier son email sur Have I Been Pwned | 2 minutes | Immédiate |
| Changer les mots de passe des services compromis | 15 à 30 min | Immédiate |
| Activer le 2FA sur les comptes critiques | 15 à 20 min | Haute |
| Installer un gestionnaire de mots de passe | 20 à 30 min | Haute |
| Migrer progressivement tous ses mots de passe | Quelques semaines | Moyenne |
En résumé
La plupart des piratages de comptes ne sont pas des attaques sophistiquées. Ce sont des attaquants qui essaient des identifiants issus d'anciennes fuites sur d'autres services — en pariant sur le fait que vous réutilisez vos mots de passe. Et ils ont souvent raison.
Deux actions suffisent à neutraliser cette menace pour l'essentiel : un gestionnaire de mots de passe pour avoir des identifiants uniques partout, et le 2FA pour rendre inutilisable un mot de passe même volé.
Cela prend une heure. Et ça peut éviter des années d'ennuis.
Article rédigé par l'équipe PyTechSolutions — Développement web, Python & IA.