Depuis 1994 — plus de trente ans à décrypter l'informatique pour vous amilog6.com
Incidents de sécurité6 min de lecture

Mots de passe compromis : comment le savoir et réagir

La question n'est plus vraiment de savoir si l'un de vos identifiants a déjà fuité quelque part, mais où et depuis quand. Vérifier prend deux minutes.

L'ampleur du problème en 2026

En juin 2026, des chercheurs de Cybernews ont découvert une base de données librement accessible contenant plus de 24 milliards d'identifiants, soit environ 8,3 To de données compilées à partir de 36 sources différentes. Une part importante provient de journaux de logiciels voleurs d'identifiants (infostealers) plutôt que d'anciennes fuites statiques — ce qui signifie que ces identifiants sont plus récents, donc plus dangereux s'ils sont encore utilisés. En France, la CNIL a reçu 6 167 notifications de violations de données en 2025, en hausse de 10% sur un an. La fuite France Travail, révélée en 2024 et ayant exposé les données de près de 43 millions de demandeurs d'emploi, reste la plus importante violation de données de l'histoire française — elle a valu à l'organisme une amende de 5 millions d'euros de la CNIL en janvier 2026.

Vérifier son adresse email : Have I Been Pwned

Créé en 2013 par le chercheur en sécurité Troy Hunt, Have I Been Pwned (HIBP) reste en 2026 la référence : il agrège plus de 900 fuites majeures connues (LinkedIn, Adobe, Dropbox, Yahoo, Facebook, Twitter/X et bien d'autres). Rendez-vous sur haveibeenpwned.com, entrez votre adresse email, cliquez sur "pwned?". Un résultat vert signifie qu'aucune fuite connue ne concerne cette adresse à ce jour — ce qui ne garantit pas l'absence de risque futur. Un résultat rouge liste chaque fuite concernée, avec sa date et le type de données exposées (mot de passe, téléphone, adresse). Vous pouvez aussi vous abonner gratuitement aux notifications pour être alerté automatiquement à chaque nouvelle fuite touchant votre adresse.

Vérifier un mot de passe précis, sans risque

HIBP propose aussi un outil dédié (haveibeenpwned.com/Passwords) pour vérifier si un mot de passe précis a déjà été vu dans une fuite connue. Le procédé technique (k-anonymat) hache votre mot de passe localement dans le navigateur et n'envoie au serveur que les 5 premiers caractères du hash — votre mot de passe complet n'est jamais transmis. Un mot de passe repéré ne serait-ce qu'une seule fois dans une fuite doit être considéré comme compromis, quel que soit le nombre d'occurrences affiché.

Les alternatives intégrées à votre navigateur

Si vous utilisez Chrome ou un compte Google, le Gestionnaire de mots de passe Google propose une "Vérification des mots de passe" qui compare automatiquement vos identifiants enregistrés aux bases de fuites connues, y compris celles de HIBP, et signale directement les mots de passe compromis, faibles ou réutilisés. Les utilisateurs Firefox disposent de l'équivalent avec Mozilla Monitor (monitor.firefox.com), synchronisé en temps réel avec HIBP.

Si un compte apparaît compromis : la marche à suivre

  1. Changez le mot de passe immédiatement sur le service concerné, et sur tout autre service où vous l'auriez réutilisé — c'est l'action la plus urgente et la plus efficace.
  2. Activez l'authentification à deux facteurs si ce n'est pas déjà fait, de préférence via une application dédiée plutôt que par SMS.
  3. Vérifiez l'activité récente du compte : connexions inhabituelles, appareils inconnus, modifications de paramètres que vous n'avez pas faites.
  4. Passez à un gestionnaire de mots de passe si un même mot de passe se retrouve compromis sur plusieurs comptes — voir notre comparatif Bitwarden / 1Password / KeePass.
Vous ne pouvez rien faire pour empêcher qu'un site que vous utilisez subisse une fuite — même les services les plus réputés y sont exposés. Ce qui reste sous votre contrôle, c'est de limiter les dégâts : un mot de passe unique par service (voir notre guide sur la vraie méthode) fait qu'une fuite chez un service tiers ne compromet jamais vos autres comptes.