Comment savoir si son email a été hacké ? (Have I Been Pwned)
Nicolas,
Chaque année, des milliards d'adresses email et de mots de passe sont dérobés lors de fuites de données massives chez des entreprises du monde entier. La plupart des victimes ne le savent jamais — jusqu'au jour où leur compte bancaire est vidé, leur identité usurpée ou leur messagerie utilisée pour envoyer du spam. Votre adresse email a peut-être déjà été compromise sans que vous le sachiez. Voici comment le vérifier en quelques secondes et quoi faire si c'est le cas.
Qu'est-ce qu'une fuite de données (data breach) ?
Une fuite de données (ou data breach) survient lorsque des cybercriminels parviennent à s'introduire dans les systèmes informatiques d'une entreprise et à dérober les données personnelles de ses utilisateurs. Ces données incluent généralement les adresses email, les mots de passe (parfois en clair, parfois chiffrés), les numéros de téléphone, les adresses postales et parfois même les informations bancaires.
Ces données volées sont ensuite revendues sur le dark web, utilisées pour des attaques de phishing ciblées ou exploitées directement pour accéder aux comptes des victimes sur d'autres services où elles utilisent le même mot de passe.
À retenir : même si vous n'avez jamais été directement victime d'un piratage, votre adresse email peut avoir été compromise lors d'une fuite chez un service tiers que vous utilisez — réseau social, boutique en ligne, forum, application...
Qu'est-ce que Have I Been Pwned ?
Have I Been Pwned (HIBP) est un service gratuit créé en 2013 par le chercheur en sécurité australien Troy Hunt. Il agrège les données provenant de centaines de fuites de données connues et vous permet de vérifier en quelques secondes si votre adresse email ou votre mot de passe figure dans ces bases de données compromises.
Le nom "Have I Been Pwned" est une référence au terme de jargon informatique "pwned" (déformation de "owned"), utilisé par les hackers pour signifier qu'un système ou un compte a été compromis.
Aujourd'hui, Have I Been Pwned recense plus de 12 milliards de comptes compromis issus de plus de 700 fuites de données majeures, dont LinkedIn, Adobe, Dropbox, Yahoo, Facebook et bien d'autres.
Comment utiliser Have I Been Pwned ?
La vérification est simple, rapide et entièrement gratuite :
- Étape 1 : rendez-vous sur haveibeenpwned.com
- Étape 2 : saisissez votre adresse email dans le champ de recherche
- Étape 3 : cliquez sur "pwned?" pour lancer la vérification
- Étape 4 : le site vous indique si votre email apparaît dans des fuites connues et lesquelles
Si votre adresse email est compromise, le site affiche en rouge la liste des fuites dans lesquelles elle apparaît, avec la date de chaque fuite et les types de données exposées. Si elle est saine, le résultat s'affiche en vert.
Bon à savoir : Have I Been Pwned ne stocke pas les mots de passe en clair. Le service utilise un procédé de hachage (k-anonymat) pour vérifier si votre mot de passe est compromis sans jamais le transmettre en intégralité sur internet.
Les fuites de données les plus importantes recensées
| Service piraté | Année | Comptes compromis | Données exposées |
|---|---|---|---|
| Yahoo | 2013-2014 | 3 milliards | Emails, mots de passe, questions secrètes |
| 2012 / 2021 | 700 millions | Emails, mots de passe, données professionnelles | |
| 2019 | 533 millions | Numéros de téléphone, emails, localisation | |
| Adobe | 2013 | 153 millions | Emails, mots de passe chiffrés |
| Dropbox | 2012 | 68 millions | Emails, mots de passe hachés |
| Twitter/X | 2022 | 400 millions | Emails, numéros de téléphone |
Quels signes indiquent que votre email a été piraté ?
Au-delà de la vérification sur Have I Been Pwned, certains signes doivent vous alerter :
- Vous recevez des emails de confirmation d'inscription à des services que vous n'avez jamais demandés
- Vos contacts reçoivent des spams qui semblent provenir de votre adresse email
- Vous ne pouvez plus vous connecter à votre messagerie avec votre mot de passe habituel
- Vous recevez des alertes de connexion depuis des pays ou appareils inconnus
- Des achats ou actions non autorisés apparaissent sur des comptes liés à votre email
- Votre dossier "Envoyés" contient des messages que vous n'avez pas rédigés
Que faire si votre email a été compromis ?
1. Changez immédiatement votre mot de passe
Si votre email apparaît dans une fuite de données, changez votre mot de passe sans attendre sur le service concerné ET sur tous les autres services où vous utilisez le même mot de passe. C'est la première action à effectuer.
2. Activez l'authentification à deux facteurs (2FA)
L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire : même si un pirate connaît votre mot de passe, il ne pourra pas accéder à votre compte sans le code temporaire envoyé sur votre téléphone.
3. Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane...) vous permet de créer et stocker des mots de passe uniques et complexes pour chaque service, éliminant ainsi le risque lié à la réutilisation des mots de passe.
4. Vérifiez vos autres comptes
Si votre email a été compromis, vérifiez immédiatement tous les comptes liés à cette adresse : réseaux sociaux, banques, boutiques en ligne, services de streaming... Changez les mots de passe de tous les comptes importants.
5. Activez les alertes de Have I Been Pwned
Have I Been Pwned propose un service d'alerte gratuit par email : vous serez automatiquement notifié si votre adresse email apparaît dans une nouvelle fuite de données détectée par le service.
6. Signalez à la CNIL si nécessaire
Si vous êtes victime d'une usurpation d'identité ou d'une utilisation frauduleuse de vos données personnelles, vous pouvez signaler l'incident à la CNIL (Commission Nationale de l'Informatique et des Libertés) via son site officiel.
Comment créer un mot de passe vraiment sécurisé ?
Un bon mot de passe doit respecter ces critères :
| Critère | Recommandation | Exemple |
|---|---|---|
| Longueur | Minimum 12 caractères | Plus c'est long, mieux c'est |
| Complexité | Majuscules, minuscules, chiffres, symboles | K#9mP!xL2qR$ |
| Unicité | Un mot de passe différent par service | Jamais le même deux fois |
| Imprévisibilité | Aucun mot du dictionnaire, pas de données personnelles | Pas de date de naissance |
Alternatives à Have I Been Pwned
D'autres services permettent de vérifier si vos données ont été compromises :
- DeHashed — base de données très complète, certaines fonctionnalités payantes
- Firefox Monitor — service de Mozilla basé sur les données de Have I Been Pwned
- Google Password Checkup — intégré à votre compte Google, vérifie vos mots de passe enregistrés
- Leaked.site — alternative avec une interface simple et gratuite
Votre email est en sécurité ? Gardez-le ainsi
Savoir si son email a été compromis est une chose, mais adopter les bonnes habitudes de cybersécurité pour éviter que cela ne se reproduise en est une autre. Les règles sont simples : un mot de passe unique par service, l'authentification à deux facteurs partout où c'est possible, et une vérification régulière sur Have I Been Pwned.
Dans un monde où les fuites de données sont devenues quasi quotidiennes, la vigilance n'est plus une option — c'est une nécessité. Prenez deux minutes maintenant pour vérifier votre adresse email : c'est l'une des actions les plus importantes que vous puissiez faire pour protéger votre identité numérique.
Bon à savoir : Have I Been Pwned est utilisé par des gouvernements, des entreprises et des millions de particuliers dans le monde entier. Son créateur Troy Hunt collabore régulièrement avec les forces de l'ordre pour analyser les fuites de données et alerter les victimes.