Pilier : Individu | Niveau : Grand public | Temps de lecture : ~8 min

Have I Been Pwned — est-ce que tes données ont déjà fuité ?

Quelque part sur internet, il y a peut-être un fichier qui contient ton adresse email, ton mot de passe, ton numéro de téléphone — et tu ne le sais pas. Ce fichier ne vient pas d'un piratage de ton ordinateur. Il vient d'un service que tu utilisais, qui s'est fait attaquer, et dont les données ont fuité sur le dark web.

Ce n'est pas une hypothèse. C'est ce qui arrive à des millions de personnes chaque année. En 2024, la CNIL a enregistré une progression de 20% des violations de données personnelles notifiées — après déjà 14% l'année précédente. En septembre 2024, une base de données exposée contenait les informations de plus de 90 millions de lignes liées à des citoyens français. En octobre 2024, la fuite de l'opérateur Free a exposé 14 millions d'adresses email, avec noms, adresses postales, numéros de téléphone et IBAN.

La bonne nouvelle : il existe un outil gratuit, fiable et en deux clics pour savoir si ton adresse email figure dans ces fuites. Il s'appelle Have I Been Pwned.

C'est quoi une fuite de données ?

Quand tu crées un compte sur un site — un forum, une boutique en ligne, un service de streaming, une application — ce site stocke tes informations dans une base de données. Ton email, parfois ton mot de passe, parfois ton adresse ou ton numéro de téléphone.

Si ce site se fait pirater, ces données peuvent se retrouver entre les mains de personnes malveillantes. Elles sont souvent revendues sur des marchés du dark web, ou publiées publiquement dans des fichiers massifs qui circulent entre hackers.

Le problème : tu n'es généralement pas averti. Ou tu l'es des semaines voire des mois après. Pendant tout ce temps, tes identifiants peuvent être testés sur d'autres services — c'est ce qu'on appelle le credential stuffing : essayer des combinaisons email/mot de passe volées sur d'autres sites, en espérant que tu utilises le même mot de passe partout.

Et statistiquement, beaucoup de gens utilisent le même mot de passe partout.

Have I Been Pwned — qui est derrière ?

Have I Been Pwned (HIBP) a été créé en 2013 par Troy Hunt, expert en cybersécurité australien reconnu mondialement. Le projet est open source, transparent, et régulièrement audité.

Le principe est simple : Troy Hunt collecte les bases de données qui ont fuité — obtenues légalement, via des chercheurs en sécurité, des signalements, et des sources publiques — et les indexe. Aujourd'hui, la base contient plus de 13 milliards de comptes compromis issus de centaines de fuites documentées.

Tu entres ton adresse email. L'outil vérifie si elle apparaît dans sa base. Tu sais en quelques secondes si tu es concerné, et par quelles fuites.

Le site est en anglais mais son utilisation est intuitive — une barre de recherche, un bouton, un résultat.

Ce que tu vas trouver — et comment interpréter

Si le résultat est vert — "Good news, no pwnage found" Ton adresse n'apparaît dans aucune des fuites indexées. C'est une bonne nouvelle — mais ça ne signifie pas que tes données n'ont jamais fuité, juste qu'elles ne sont pas dans la base de HIBP. Profites-en pour activer l'alerte email (voir plus bas).

Si le résultat est rouge — "Oh no — pwned!" Ton adresse apparaît dans une ou plusieurs fuites. L'outil te liste exactement quels services ont été compromis, à quelle date, et quelles données ont été exposées — email, mot de passe, nom, téléphone, adresse, date de naissance selon les cas.

Ne panique pas — ça ne signifie pas que ton compte est en ce moment même en train d'être piraté. Ça signifie que tes données ont été exposées à un moment donné, et qu'il faut agir.

Ce que tu fais si ton adresse est dans la base

1. Change les mots de passe des services concernés Commence par les services listés dans les résultats. Change le mot de passe immédiatement, et utilises-en un nouveau unique — pas le même que celui que tu utilises ailleurs.

2. Vérifie si tu réutilises ce mot de passe ailleurs Si le mot de passe exposé est le même que celui que tu utilises sur ta messagerie, ta banque, ou d'autres services importants — change-les aussi en priorité.

3. Active l'authentification à deux facteurs (2FA) Sur tous les services qui le proposent, active le 2FA. Même si quelqu'un a ton mot de passe, il ne peut pas se connecter sans le second facteur. C'est la mesure la plus efficace après le changement de mot de passe.

4. Utilise un gestionnaire de mots de passe C'est l'occasion d'adopter un gestionnaire de mots de passe — Bitwarden (gratuit, open source), KeePass (local, sans cloud), ou Proton Pass. Il génère et retient des mots de passe uniques et complexes pour chaque service. Tu n'as plus besoin de retenir qu'un seul mot de passe maître.

La fonctionnalité alerte — active-la maintenant

Have I Been Pwned propose une option "Notify Me" : tu entres ton adresse email, et tu reçois une notification automatique dès que cette adresse apparaît dans une nouvelle fuite indexée.

C'est gratuit, ça prend trente secondes, et ça te permet d'agir rapidement si tes données font partie d'une future fuite — plutôt que de le découvrir par hasard des mois plus tard.

Et les mots de passe ?

HIBP propose aussi une vérification de mots de passe via Pwned Passwords — une base de plus de 900 millions de mots de passe qui ont été exposés dans des fuites.

Tu peux vérifier si un mot de passe spécifique apparaît dans cette base. La vérification est conçue de façon à ne jamais envoyer ton mot de passe en clair au serveur — elle utilise une technique cryptographique appelée k-anonymat qui garantit que même HIBP ne voit jamais ton mot de passe.

Si ton mot de passe apparaît dans la base — même si tu ne sais pas via quelle fuite — il faut le changer partout où tu l'utilises.

Ce que HIBP ne fait pas

Il est important de comprendre les limites de l'outil pour ne pas avoir une fausse impression de sécurité.

HIBP n'indexe que les fuites connues et documentées. Il existe des données volées qui circulent sans jamais être découvertes ou publiées publiquement — elles n'apparaîtront pas dans HIBP. Un résultat vert est rassurant, mais pas une garantie absolue.

HIBP ne te protège pas en temps réel. C'est un outil de vérification ponctuelle et d'alerte — pas un antivirus, pas un pare-feu. Il te dit ce qui s'est passé, pas ce qui est en train de se passer.

Les grandes fuites qui concernent les francophones

Pour te donner une idée concrète de l'ampleur du phénomène, voici quelques fuites majeures récentes qui concernent directement les utilisateurs belges et français :

Free (octobre 2024) — 14 millions d'adresses email, avec noms, adresses postales, numéros de téléphone et IBAN pour une grande partie des victimes.

France Travail (mars 2024) — données personnelles de potentiellement 43 millions de personnes inscrites ou ayant été inscrites.

Citoyens français (septembre 2024) — base compilée de diverses fuites, contenant 28 millions d'adresses email uniques avec noms, adresses IP, numéros de téléphone et données partielles de carte bancaire.

ALIEN TXTBASE (janvier 2025) — fuite massive via un canal Telegram, 284 millions de comptes compromis à l'échelle mondiale, incluant des identifiants de sites francophones.

Ces fuites ne viennent pas de ton ordinateur. Elles viennent de services que tu utilisais normalement, qui se sont fait attaquer.

En résumé

Have I Been Pwned est le premier réflexe de tout bon audit de sécurité personnelle. Deux minutes, une barre de recherche, et tu sais si tes données ont déjà fuité. Si c'est le cas, la marche à suivre est claire : changer les mots de passe concernés, activer le 2FA, et adopter un gestionnaire de mots de passe. Si ce n'est pas le cas, active l'alerte email — et continue à lire ODIN.

La vigilance comme bouclier. La connaissance comme arme.

Pour aller plus loin

Des questions ?

Tu veux comprendre ce que signifie un résultat spécifique, ou tu veux aller plus loin dans la sécurisation de tes comptes ? Tu peux nous contacter directement.

Nous contacter →

Article rédigé dans le cadre du projet ODIN — Observer, Détecter, Identifier, Neutraliser. Les données statistiques mentionnées sont vérifiées à la date de publication.