donnees vie privee

Have I Been Pwned : vérifier en 2 minutes si vos données ont fuité

Le tutoriel pas à pas pour vérifier vos e-mails et mots de passe sur Have I Been Pwned.

Par Étienne Aubry · · 8 min de lecture
Illustration : vérification de fuites de données sur Have I Been Pwned

Have I Been Pwned : vérifier en 2 minutes si vos données ont fuité

Vous voulez savoir si votre adresse e-mail ou votre numéro de téléphone fait partie d’une fuite de données connue ? Le service de référence mondial, gratuit, créé par le chercheur en sécurité Troy Hunt, s’appelle Have I Been Pwned — souvent abrégé en HIBP. Il indexe plus de 12 milliards de comptes provenant de plus de 700 fuites majeures publiques depuis 2007.

Ce tutoriel vous explique comment l’utiliser en pratique, comment interpréter le résultat, et surtout quoi faire ensuite. Spoiler : si vous êtes un internaute français actif depuis plus de 5 ans, vous êtes statistiquement déjà dans au moins une fuite. Ce qui compte, c’est ce que vous en faites.

Pourquoi vérifier ses fuites est devenu indispensable

Les violations de données ont bondi de +107 % en 2025 selon Cybermalveillance.gouv.fr. Free, Air France, Boulanger, SFR Business, plusieurs marketplaces — chaque trimestre apporte sa fuite massive. À chaque fuite, vos adresses e-mail, numéros, parfois mots de passe ou IBAN se retrouvent sur des forums spécialisés, puis sur le dark web, puis intégrés dans des bases automatisées utilisées par les escrocs pour leurs campagnes ciblées.

Concrètement, c’est ce qui explique :

  • Le pic de SMS frauduleux que vous recevez (votre numéro est dans une base de smishing).
  • Les appels de faux conseillers bancaires qui connaissent vos 4 derniers chiffres de carte (votre couple e-mail/téléphone est lié à votre profil bancaire dans une base agrégée).
  • Le pic de tentatives de connexion sur vos comptes (votre couple e-mail/mot de passe est testé automatiquement sur des centaines de sites — c’est le credential stuffing).

Vérifier régulièrement HIBP, c’est savoir ce que les attaquants savent déjà sur vous. Et donc savoir où prioriser vos protections.

Le tutoriel : vérifier votre e-mail

Étape 1 — Allez sur haveibeenpwned.com. Pas d’inscription, pas de paiement, pas de captcha en général. Le site est en anglais mais l’interface est très simple.

Étape 2 — Tapez votre adresse e-mail principale dans la barre de recherche centrale, puis cliquez « pwned? ».

Étape 3 — Lisez le résultat. Deux cas possibles :

  • Bandeau vert : « Good news — no pwnage found! ». Votre adresse n’apparaît dans aucune fuite indexée. Cela ne garantit pas que vous n’avez jamais été touché·e (certaines fuites privées ne sont pas indexées), mais c’est un bon signal.
  • Bandeau rouge : « Oh no — pwned! », suivi de la liste des fuites où votre adresse apparaît, avec date et description courte de chaque incident.

Étape 4 — Examinez la liste. Pour chaque fuite, vous voyez :

  • Le nom du service touché (par exemple « Free Mobile », « Dropbox », « Adobe »).
  • La date du piratage (souvent antérieure à la date de découverte).
  • Le type de données fuitées : Email addresses, Passwords, Phone numbers, Geographic locations, Dates of birth, IP addresses, etc.

Étape 5 — Hiérarchisez les actions. Une fuite avec « Passwords » est critique : changez immédiatement le mot de passe utilisé sur le service touché, et sur tout autre service où vous l’utilisiez. Une fuite avec « Email addresses » uniquement est moins grave (vous recevrez plus de spam mais pas de risque de prise de compte).

Vérifier vos mots de passe (Pwned Passwords)

HIBP propose un deuxième outil souvent ignoré : haveibeenpwned.com/Passwords. Il vous permet de vérifier si un mot de passe spécifique apparaît dans une base de mots de passe ayant fuité.

Étape 1 — Allez sur haveibeenpwned.com/Passwords.

Étape 2 — Tapez un mot de passe que vous utilisez. Le mot de passe n’est pas envoyé tel quel : seul son hash (signature mathématique non réversible) est envoyé, et même celui-ci est tronqué. C’est techniquement sûr.

Étape 3 — Lisez le résultat.

  • « Good news — this password wasn’t found! » : votre mot de passe n’apparaît pas dans les fuites connues. C’est un bon signe mais ne garantit pas sa robustesse — un mot de passe court comme « bonjour123 » peut être absent des fuites tout en étant trivial à craquer.
  • « Oh no — pwned! » suivi d’un nombre : votre mot de passe apparaît dans X fuites. Changez-le partout où vous l’utilisez. Un mot de passe apparu dans une fuite est testé automatiquement par les outils de credential stuffing — chaque jour de retard est une fenêtre d’exposition.

Cas particulièrement vicieux : un mot de passe « original » que vous avez créé peut très bien apparaître dans HIBP simplement parce que quelqu’un d’autre l’avait créé indépendamment et qu’il a fuité ailleurs. Comme les attaquants disposent de la même base, l’exposition est réelle.

Activer la veille permanente

Vérifier HIBP une fois est utile. Vérifier chaque mois est mieux. Être prévenu automatiquement à chaque nouvelle fuite est l’idéal.

Étape 1 — Allez sur haveibeenpwned.com/NotifyMe.

Étape 2 — Entrez votre adresse e-mail.

Étape 3 — Confirmez via le mail de validation reçu dans les minutes suivantes.

À partir de là, HIBP vous enverra automatiquement un mail à chaque nouvelle fuite indexée incluant votre adresse. C’est gratuit, c’est sans engagement, et c’est l’un des meilleurs investissements de 2 minutes de votre vie numérique.

Limites de HIBP à connaître

HIBP est excellent mais n’est pas exhaustif :

  • Certaines fuites ne sont pas publiées publiquement (notamment les fuites « commerciales » revendues directement sur des forums fermés).
  • Le délai entre une fuite réelle et son indexation HIBP peut être de plusieurs mois.
  • HIBP n’indexe que les e-mails, numéros et mots de passe — pas les IBAN, pas les numéros de carte, pas les photos d’identité.

Pour une couverture plus large, plusieurs services commerciaux existent (Have I Been Pwned Pro pour les pros, Aura, Identity Guard, etc.), mais HIBP suffit largement pour 95 % des particuliers.

Que faire si vous découvrez plusieurs fuites

Si vous découvrez que votre adresse est dans 8 ou 10 fuites différentes (ce qui est statistiquement la norme pour un internaute français actif depuis 10 ans), pas de panique. Trois actions structurent la suite :

1. Audit des mots de passe réutilisés. Listez les comptes critiques (mail principal, banque, principaux réseaux). Si vous utilisez le même mot de passe sur plusieurs, c’est l’urgence numéro un : il vous faut un mot de passe unique par compte, généré et stocké par un gestionnaire de mots de passe.

2. Activation de la 2FA partout. Suivez notre guide express pour activer la 2FA sur tous vos comptes. Même si votre mot de passe est compromis, la 2FA empêche la prise de contrôle.

3. Vigilance comportementale renforcée. Sachez que vos coordonnées sont entre les mains d’escrocs. Attendez-vous à recevoir des SMS d’arnaque, des appels de faux conseillers, des mails d’hameçonnage personnalisés. Le réflexe « je tape l’URL moi-même, je ne clique jamais sur un lien dans un SMS, je ne valide jamais une opération bancaire par téléphone » devient critique.

Aller plus loin : exercer son droit à l’oubli

Une fois la fuite identifiée, vous pouvez aussi exercer votre droit à l’effacement auprès du responsable du traitement (article 17 RGPD). Cela ne supprime pas les données déjà copiées par les attaquants, mais cela vous retire des traitements futurs.

La CNIL propose un modèle de courrier sur cnil.fr. Le service doit répondre sous 1 mois. En l’absence de réponse, vous pouvez saisir directement la CNIL.

Pour les abonnés Sérénité Cyber

L’abonnement Sérénité Cyber inclut une veille HIBP automatisée + alerte sous 24 heures à chaque nouvelle fuite, sur tous vos e-mails et numéros déclarés. Sans avoir à vérifier vous-même, sans rater une notification mail noyée dans le spam. C’est inclus dès 19 €/mois pour la formule Solo, 29 €/mois pour la formule Famille (jusqu’à 4 personnes). Le détail est sur la page Sérénité Cyber.

En résumé

Have I Been Pwned (haveibeenpwned.com) vous permet de vérifier en 2 minutes si votre adresse ou un mot de passe spécifique apparaît dans une fuite publique. Activez la notification automatique sur haveibeenpwned.com/NotifyMe. Si vous découvrez des fuites : auditez vos mots de passe réutilisés, activez la 2FA partout, et renforcez votre vigilance. Le service est gratuit, transparent, et c’est l’un des outils les plus utiles de l’hygiène numérique grand public.

Si vous êtes au Mans ou en Sarthe et que vous voulez un audit complet de vos expositions (HIBP + revue des comptes + plan d’action priorisé), je propose un Audit Sérénité Solo à 149 € (74,50 € après crédit d’impôt service à la personne). Détail sur la page audit. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Sérénité Cyber Solo

Le filet de sécurité mensuel. Veille sur vos fuites de données, hotline, et 1 intervention à distance incluse chaque mois.

M’abonner à Sérénité Solo

19 € / mois