Sécurité 11 min de lecture

Vérifier si tes mots de passe ont fuité en 2026 : 3 méthodes simples

HaveIBeenPwned, gestionnaires intégrés, vérifications navigateur natives : trois méthodes qui se complètent, et la checklist concrète si une fuite te concerne.

Interface audit de securite mot de passe sur laptop

Les fuites de mots de passe ne sont plus un fait divers. Depuis 2023, chaque trimestre apporte sa salve d’incidents : un opérateur télécom, un site e-commerce, une plateforme de streaming, un forum oublié depuis dix ans. À chaque fois, ce sont des dizaines voire des centaines de millions d’identifiants qui se retrouvent dans la nature. En 2026, considérer que ton adresse mail figure dans au moins une base compromise est devenu une hypothèse raisonnable, pas une parano.

La vraie question n’est donc plus de savoir si tu es concerné, mais , quand et avec quel mot de passe. C’est très différent : une fuite datant d’un forum de jeu vidéo en 2014 n’a pas la même portée qu’un leak récent contenant ton mot de passe de boîte mail principale. Faire la part des choses évite à la fois la panique et l’inaction.

Dans ce guide, trois méthodes complémentaires pour auditer la situation, comprendre ce que chacune révèle, et une checklist concrète à appliquer si une fuite de mot de passe te concerne vraiment. L’objectif : passer dix minutes à vérifier, et savoir si tu peux dormir tranquille ou si tu dois agir dans l’heure.

Qu’est-ce qu’une fuite de mot de passe exactement

Le terme recouvre trois réalités très différentes, et c’est important de les distinguer pour comprendre ce qui circule.

La fuite serveur reste la plus médiatisée. Un service se fait pirater, sa base de données utilisateurs est exfiltrée, puis publiée ou vendue. Selon la qualité du chiffrement côté serveur, les mots de passe peuvent être en clair (catastrophique), en hash faible facilement cassable, ou en hash robuste qui résiste plusieurs années. Les fuites historiques d’Adobe, LinkedIn, Dropbox ou plus récemment de nombreux sites moyens entrent dans cette catégorie.

Le malware infostealer représente aujourd’hui la menace la plus active. Un logiciel malveillant installé sur un PC (souvent via un crack, un faux installeur, une extension Chrome douteuse) aspire les mots de passe enregistrés dans le navigateur, les cookies de session, parfois les portefeuilles crypto. Les vols sont ensuite agrégés dans des bases vendues sur Telegram et des forums spécialisés. Les volumes sont énormes : Redline, Raccoon, Lumma ont compromis des dizaines de millions de machines depuis 2022.

Le brute force et le credential stuffing arrivent en bout de chaîne. Les pirates récupèrent les couples email/mot de passe des fuites précédentes et les testent automatiquement sur des centaines d’autres services. Si tu utilises le même mot de passe partout, une seule fuite expose toute ta vie numérique.

Ces données circulent ensuite via des canaux variés : forums spécialisés (BreachForums et ses successeurs), chaînes Telegram, places de marché du dark web accessibles via Tor, mais aussi de plus en plus sur des plateformes mainstream sous forme de listes compilées. Le terme « combolist » désigne ces fichiers texte qui peuvent contenir des milliards de lignes email:motdepasse.

Méthode 1 : HaveIBeenPwned (HIBP)

Le service créé par le chercheur australien Troy Hunt est devenu la référence mondiale. Son fonctionnement est simple : tu saisis ton adresse mail sur haveibeenpwned.com, le site te liste les fuites connues dans lesquelles ton compte apparaît, avec la date et le type de données compromises.

HIBP agrège aujourd’hui plus de 13 milliards de comptes répartis dans des centaines de fuites validées. Troy Hunt vérifie manuellement chaque ajout pour éviter les faux leaks, ce qui en fait une source fiable, contrairement à certains imitateurs douteux qui demandent un paiement.

Trois usages valent le coup :

  • Vérifier ton email principal et chaque adresse secondaire que tu utilises (perso, pro, jetable).
  • S’abonner aux notifications : HIBP envoie un mail dès qu’une nouvelle fuite contient ton adresse. Gratuit, et c’est probablement la seule alerte sécu vraiment utile à activer.
  • Tester un mot de passe spécifique via la section « Pwned Passwords ». Le système utilise du k-anonymity : seuls les 5 premiers caractères du hash sont envoyés, le service ne connaît jamais ton mot de passe.

Les limites sont importantes à comprendre. HIBP n’indexe que les fuites publiques ou parvenues à Troy Hunt. Les vols d’infostealers récents, les bases privées vendues entre cybercriminels, les leaks confidentiels n’apparaissent pas forcément. Une absence dans HIBP ne prouve donc pas qu’aucun mot de passe n’a fuité, juste qu’aucune fuite publique connue ne te liste. C’est déjà beaucoup, mais pas exhaustif.

Méthode 2 : les gestionnaires de mots de passe intégrés

Si tu utilises déjà un gestionnaire (et si ce n’est pas le cas, mon comparatif 2026 peut t’aider à choisir), il intègre presque certainement une fonction d’audit qui croise tes identifiants stockés avec les bases de fuites connues.

Bitwarden Health Reports (version premium) scanne tes mots de passe et te signale ceux qui apparaissent dans HIBP, les doublons réutilisés sur plusieurs sites, les mots de passe faibles, et les comptes sans 2FA activée. Le rapport est lisible et permet de prioriser les changements.

1Password Watchtower fait la même chose avec une interface très soignée, et ajoute des alertes sur les sites ayant été compromis depuis ta dernière connexion. Pratique pour ne pas oublier les comptes dormants.

Dashlane et NordPass proposent des fonctions équivalentes sous le nom de « Dark Web Monitoring » ou « Health Check », avec un focus marketing sur le scan dark web qui reste souvent surévalué.

L’avantage de ces audits sur HIBP seul : ils croisent les bases publiques avec l’ensemble de tes identifiants stockés, pas seulement ton adresse mail. Tu vois directement quels comptes spécifiques sont concernés, et tu peux changer le mot de passe en deux clics. C’est radicalement plus actionnable.

Les gestionnaires intégrés aux écosystèmes (Trousseau iCloud chez Apple, Google Password Manager) proposent désormais le même type d’analyse, gratuitement. La qualité varie, mais sur iPhone, le rapport « Recommandations de sécurité » du trousseau est devenu très complet en 2025-2026.

Méthode 3 : les vérifications navigateur natives

Pour ceux qui stockent leurs identifiants directement dans Chrome, Edge ou Safari sans gestionnaire externe, chaque navigateur propose désormais sa propre alerte intégrée.

Chrome : va dans Paramètres > Saisie automatique et mots de passe > Gestionnaire de mots de passe > Check-up. Google scanne tes identifiants enregistrés contre ses propres bases de fuites (qui recoupent largement HIBP) et te signale les mots de passe compromis, réutilisés ou faibles. Le check-up tourne aussi en arrière-plan et te notifie en temps réel.

Edge propose une fonction similaire via Paramètres > Profils > Mots de passe > Surveillance des mots de passe. Microsoft utilise sa propre base alimentée par les renseignements de Defender, ce qui apporte parfois des détections différentes de Chrome.

Safari : sur macOS et iOS, ouvre Réglages > Mots de passe > Recommandations de sécurité. Apple utilise une comparaison cryptographique privée qui ne révèle jamais tes mots de passe à ses serveurs. Le rapport classe les alertes par priorité (compromis, réutilisé, mot de passe facile à deviner).

Ces vérifications natives ont un gros avantage : zéro configuration. Si tu enregistres déjà tes mots de passe dans le navigateur, l’audit se fait tout seul. La limite, c’est qu’elles ne couvrent que les identifiants stockés dans ce navigateur. Les comptes accédés depuis un autre appareil ou un autre browser passent sous le radar.

Si un de tes mots de passe a fuité : 4 étapes immédiates

Une alerte tombe, un mot de passe est compromis. La procédure dans l’ordre, à appliquer dans l’heure pour les comptes sensibles (mail, banque, réseaux sociaux principaux).

1. Change le mot de passe et rends-le unique. Utilise un générateur de mot de passe pour créer une chaîne aléatoire de 16 caractères minimum. Le pire réflexe serait de remplacer MotDePasse2024 par MotDePasse2026. Si tu n’as pas de gestionnaire, c’est le moment de t’y mettre.

2. Active la 2FA ou une passkey. Sur tout compte qui le permet, l’authentification à deux facteurs (idéalement via une app type Aegis ou Authy, pas par SMS) rend la fuite du mot de passe quasi inoffensive. Les passkeys, qui se généralisent en 2026 sur les gros services, vont encore plus loin en éliminant le mot de passe lui-même.

3. Vérifie les accès récents. La plupart des services exposent un historique de connexions dans les paramètres de sécurité. Repère les sessions inconnues, les appareils que tu ne reconnais pas, les localisations bizarres. Déconnecte toutes les sessions actives et reconnecte-toi proprement.

4. Surveille les emails associés. Une fuite mène souvent à des tentatives de phishing ciblé. Les pirates connaissent ton nom, ton mail, parfois ton numéro. Les arnaques type faux conseiller bancaire exploitent précisément ces données pour personnaliser l’attaque et te mettre en confiance. Méfiance maximale sur les appels et mails dans les semaines qui suivent.

Prévenir plutôt que guérir

L’audit ponctuel est utile, mais la vraie sécurité se joue dans l’hygiène quotidienne. Trois piliers permettent de réduire drastiquement le risque sans devenir parano.

Le gestionnaire de mots de passe reste le point de bascule. Tant que tu réutilises trois mots de passe sur cinquante services, chaque fuite est potentiellement catastrophique. Avec un gestionnaire, chaque compte a un mot de passe unique de 16+ caractères, et une fuite ne compromet qu’un seul service. Bitwarden gratuit suffit largement pour un usage perso.

La 2FA partout où c’est possible, et en priorité sur les comptes qui servent à la récupération des autres : email principal, numéro de téléphone, compte Google ou Apple. Si quelqu’un prend le contrôle de ton mail, il peut réinitialiser tout le reste. C’est le maillon faible à blinder en priorité absolue.

Les alertes proactives font le reste. Inscription aux notifications HIBP, activation des audits dans ton gestionnaire, surveillance navigateur active. Tu n’as plus à vérifier manuellement : tu reçois un mail dès qu’une nouvelle fuite te concerne, et tu peux agir dans la foulée.

Pour évaluer si ton mot de passe actuel résiste, mon outil de test estime le temps nécessaire à un attaquant pour le casser par force brute. Si le résultat est inférieur à plusieurs siècles, c’est qu’il est temps de changer.

Questions fréquentes

HaveIBeenPwned est-il vraiment sûr ? On me demande de saisir mon email.

Oui. Troy Hunt est un chercheur en sécurité reconnu, le service est utilisé officiellement par des gouvernements (FBI, NCSC britannique), Mozilla et 1Password l’intègrent dans leurs produits. Ton adresse mail n’est ni stockée ni utilisée pour autre chose que la requête. Pour tester un mot de passe, le système n’envoie jamais le mot de passe complet au serveur.

Mon mot de passe apparaît dans une fuite vieille de 10 ans et je l’ai déjà changé. C’est encore un problème ?

Si tu as effectivement changé le mot de passe sur le service concerné et sur tous les autres où tu le réutilisais à l’époque, le risque direct est nul. La précaution restante : surveiller le phishing personnalisé, car ton email reste dans la base et peut servir à du ciblage.

Pourquoi les sites de « dark web monitoring » payants annoncent toujours plus de fuites que HIBP ?

Marketing principalement. Beaucoup gonflent leurs chiffres en comptant chaque ligne d’une combolist comme une fuite séparée, ou en incluant des leaks non vérifiés. HIBP est plus conservateur car Troy Hunt valide chaque source. Pour 95% des particuliers, HIBP plus l’audit de ton gestionnaire suffisent.

Et si je n’utilise jamais le même mot de passe deux fois, je suis tranquille ?

C’est déjà excellent et tu élimines 90% du risque. Restent deux menaces : les infostealers qui aspirent les mots de passe directement sur ta machine (donc même uniques, ils fuit), et les fuites de tokens de session qui contournent le mot de passe. D’où l’intérêt complémentaire de la 2FA et d’une hygiène antivirus sérieuse.