Guide5 min read

    Comment vérifier si mon mot de passe est compromis

    Plus de 12 milliards de mots de passe ont fuité depuis 2015. Voici comment vérifier sans risque si l'un des vôtres est compromis.

    Depuis 2015, plus de 12 milliards de couples e-mail / mot de passe ont fuité publiquement (Collection #1, RockYou2024, fuites LinkedIn, Yahoo, Dropbox…). Si votre mot de passe a été utilisé sur l'un de ces services compromis, il est dans la nature. Voici comment vérifier et réagir.

    Le service de référence : Have I Been Pwned

    Créé en 2013 par Troy Hunt (Microsoft Regional Director), Have I Been Pwned (HIBP) agrège les bases de données fuitées et permet de chercher un e-mail ou un mot de passe.

    Deux services distincts :

    • Pwned Emails — sur quelles fuites votre adresse e-mail apparaît.
    • Pwned Passwords — combien de fois un mot de passe précis apparaît dans les fuites.

    Comment vérifier sans envoyer le mot de passe

    Saisir son mot de passe dans un formulaire en ligne pose une question légitime : « Et si HIBP loggait ma requête ? » La réponse : HIBP ne reçoit jamais votre mot de passe complet, grâce au protocole k-Anonymity.

    Le protocole k-Anonymity expliqué

    1. Votre navigateur calcule SHA-1(motdepasse) → exemple 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 (mot de passe password).
    2. Le navigateur envoie uniquement les 5 premiers caractères : 5BAA6.
    3. L'API HIBP renvoie tous les hashes commençant par 5BAA6 (environ 500 entrées).
    4. Votre navigateur compare le hash complet local à cette liste sans révéler à HIBP lequel vous cherchiez.

    Conséquence : HIBP ne peut jamais savoir quel mot de passe vous avez testé. C'est mathématiquement prouvable.

    Outils intégrant HIBP automatiquement

    • 1Password — fonction « Watchtower » qui scanne vos mots de passe stockés et vous alerte.
    • Bitwarden — rapport de mots de passe exposés (Premium).
    • Dashlane — analyse du dark web.
    • Firefox Monitor — alertes par e-mail si votre adresse apparaît dans une nouvelle fuite.
    • Chrome / Edge — alerte intégrée si un mot de passe enregistré est dans une fuite connue.

    Le réflexe à adopter : activez les alertes automatiques HIBP sur toutes vos adresses e-mail principales.

    Tester la force de mon mot de passe

    Que faire si mon mot de passe est compromis ?

    1. Changez-le immédiatement sur le service concerné et sur tout autre service où vous l'avez réutilisé.
    2. Activez la 2FA si le service le propose.
    3. Adoptez un gestionnaire de mots de passe pour avoir un mot de passe unique par service.
    4. Vérifiez les connexions récentes dans les paramètres de sécurité (déconnectez les sessions inconnues).
    5. Surveillez vos relevés bancaires les semaines suivantes si un service financier était concerné.
    6. Activez les alertes sur Firefox Monitor / HIBP pour être prévenu de futures fuites.

    Comment ne plus jamais avoir un mot de passe compromis

    • 1 mot de passe par service — une fuite n'affecte qu'un compte.
    • Aléatoire et long — pas dans les dictionnaires.
    • Gestionnaire de mots de passe — un humain ne retient pas 100 mots de passe aléatoires.
    • 2FA partout — même si le mot de passe fuit, le compte reste protégé.

    Et les mots de passe les plus fréquents en 2026 ?

    Selon les analyses annuelles de NordPass et SplashData, le top 5 reste désespérément stable :

    1. 123456
    2. password
    3. qwerty / azerty
    4. admin
    5. 123456789

    Tous se cassent en moins d'une seconde. Si vous en utilisez un, changez-le maintenant.

    Pour aller plus loin

    ← Retour au blog
    Comment vérifier si mon mot de passe est compromis — Convertly PASSWORD