Votre adresse email, votre mot de passe et peut-être votre numéro de téléphone circulent en ce moment sur des forums du dark web. Pas une hypothèse : selon Have I Been Pwned, plus de 13 milliards de comptes ont été répertoriés dans des fuites de données depuis 2013. En juillet 2024, la compilation RockYou2024 a exposé 9,9 milliards de mots de passe en clair. La probabilité que vous soyez concerné dépasse 50 %. La bonne nouvelle : il existe des méthodes précises pour le vérifier et des actions concrètes pour limiter les dégâts. Voici comment mener l’enquête sur votre propre identité numérique.
Les signaux faibles qui indiquent une compromission
Avant même de lancer une vérification formelle, plusieurs indices du quotidien indiquent qu’un de vos comptes a peut-être été compromis. Ces signaux sont souvent ignorés ou mal interprétés.
Le premier signal est un email de réinitialisation de mot de passe que vous n’avez pas demandé. Quelqu’un tente d’accéder à votre compte et a déclenché la procédure de récupération. Deuxième signal : des tentatives de connexion suspectes signalées par des services comme Gmail, Microsoft ou Facebook, souvent depuis des localisations inhabituelles (Kiev, São Paulo, Jakarta). Ces notifications arrivent par email ou dans les paramètres de sécurité de vos comptes.
Un troisième indicateur, plus subtil : une augmentation soudaine de spams très personnalisés. Si des emails frauduleux vous nomment par votre prénom, mentionnent votre banque habituelle ou votre ville, c’est souvent le signe que des données issues d’une fuite sont exploitées pour des campagnes de phishing ciblé. Les attaquants croisent les bases de données volées pour créer des messages plus convaincants, une technique appelée spear phishing.
Enfin, surveillez les accès à vos comptes bancaires et à France Connect. Des virements non reconnus, un changement d’adresse email de récupération ou un nouvel appareil connecté à votre compte Apple ou Google sont des signaux d’alerte maximale. Selon la CNIL, l’usurpation d’identité est l’une des conséquences les plus graves d’une fuite de données. Elle peut survenir des mois après la fuite initiale.
Fuite de données, phishing, piratage : des réalités distinctes
Ces trois termes désignent des menaces différentes qui se combinent souvent. Une fuite de données survient quand une entreprise (LinkedIn, Adobe, Free) est attaquée et que sa base de données clients est dérobée. Vous n’avez rien fait de mal : c’est le service qui a été compromis, pas vous directement.
Le phishing (ou hameçonnage) est une attaque qui vous cible personnellement. Un email ou SMS usurpe l’identité d’une banque, d’un opérateur ou d’un service public pour vous pousser à saisir vos identifiants sur un faux site. La fuite de données alimente souvent le phishing : les cybercriminels utilisent les emails et noms récupérés dans une brèche pour rendre leurs messages plus crédibles.
Le piratage de compte, lui, est la conséquence finale. L’attaquant utilise les identifiants obtenus (par fuite ou phishing) pour prendre le contrôle effectif de votre espace client, boîte email ou compte de réseau social. Une technique courante est le credential stuffing : tester automatiquement sur des milliers de sites les combinaisons email/mot de passe issues d’une fuite, en pariant sur la réutilisation de mots de passe. Selon Verizon (2024), 80 % des violations de données impliquent des identifiants volés ou réutilisés.
Les outils pour vérifier si vos données ont fuité
Plusieurs services gratuits ou freemium analysent les bases de données de fuites connues et vous indiquent si votre adresse email y apparaît. Voici les plus fiables.
Have I Been Pwned (haveibeenpwned.com) est la référence absolue. Créé en 2013 par Troy Hunt, expert en sécurité australien, il agrège plus de 13 milliards de comptes issus de centaines de fuites documentées. Il suffit d’entrer une adresse email pour obtenir la liste des services compromis, les types de données exposées (mot de passe, téléphone, adresse postale, données de carte bancaire) et la date de la brèche. L’outil propose aussi un service de notification gratuit en cas de nouvelle fuite impliquant votre adresse.
Mozilla Monitor (monitor.mozilla.org), anciennement Firefox Monitor, utilise la même base de données Have I Been Pwned mais ajoute une interface en français et une fonctionnalité de surveillance continue. La version gratuite alerte sur les nouvelles fuites. La version payante (Mozilla Monitor Plus) propose la suppression automatique de vos données chez des centaines de courtiers en données (data brokers).
Google propose aussi une vérification native : dans Chrome, le gestionnaire de mots de passe intégré signale les identifiants compromis. Les abonnés Google One bénéficient d’une analyse du dark web qui scanne non seulement l’email mais aussi le numéro de téléphone et d’autres informations personnelles.
Pour les vérifications complémentaires, F-Secure Identity Theft Checker et Cybernews Personal Data Leak Checker (qui indexe plus de 18 milliards de comptes) permettent d’affiner l’analyse. Ces outils ne remplacent pas Have I Been Pwned mais couvrent parfois des fuites non encore indexées.
| Outil | Données vérifiées | Notification continue | Prix |
|---|---|---|---|
| Have I Been Pwned | Email, mot de passe | Oui (gratuit) | Gratuit |
| Mozilla Monitor | Email, données de profil | Oui (gratuit) | Gratuit / ~9 €/mois (Plus) |
| Google One (dark web report) | Email, téléphone, adresse | Oui | Inclus dans Google One dès 1,99 €/mois |
| F-Secure Identity Theft Checker | Non | Gratuit | |
| Cybernews Leak Checker | Email, téléphone | Non | Gratuit |
Les fuites majeures que vous connaissez peut-être sans le savoir
Comprendre l’ampleur des fuites passées aide à mesurer le risque réel. Plusieurs brèches ont exposé des centaines de millions d’utilisateurs francophones.
En 2013, Adobe a subi une attaque qui a exposé 153 millions de comptes, dont les mots de passe chiffrés avec un algorithme obsolète. Cette fuite a servi de catalyseur à la création de Have I Been Pwned. En 2016, LinkedIn a perdu 117 millions de couples email/mot de passe lors d’une brèche survenue en 2012 mais rendue publique quatre ans plus tard. En 2021, les données scraped de 700 millions de profils LinkedIn ont été mises en vente, incluant des millions de Français.
En France, les fuites touchent aussi les services publics et les grandes entreprises. Free a subi en 2024 une cyberattaque exposant les données personnelles de 19,2 millions d’abonnés, dont des coordonnées bancaires (IBAN). Pôle Emploi (désormais France Travail) a été touché en 2023, avec 10 millions de dossiers compromis incluant numéros de sécurité sociale et historiques de formation.
La compilation MOAB (Mother Of All Breaches), divulguée en janvier 2024, est la plus grande jamais recensée : 26 milliards d’enregistrements agrégés depuis des dizaines de fuites antérieures, incluant des données issues de Dropbox, Twitter, Telegram et de nombreux services français. RockYou2024, publiée en juillet 2024 par un compte nommé « ObamaCare », compile 9,9 milliards de mots de passe uniques en clair. Ces deux compilations ne représentent pas de nouvelles intrusions mais montrent que les données accumulées restent exploitées des années après leur fuite initiale.
Que faire immédiatement si vos données ont fuité ?
Une fuite confirmée par Have I Been Pwned ou Mozilla Monitor nécessite une réponse structurée, sans attendre.
La première priorité est de changer le mot de passe du service compromis et de tous les services où vous utilisez le même mot de passe. C’est là que réside le vrai danger : selon NordPass (2024), 64 % des utilisateurs réutilisent le même mot de passe sur plusieurs comptes. Un attaquant qui obtient un mot de passe de LinkedIn va le tester sur votre banque, Amazon et votre messagerie dans les minutes qui suivent.
Activez immédiatement l’authentification à deux facteurs (2FA) sur tous vos comptes critiques : messagerie, banque, réseaux sociaux et tout service contenant des données de paiement. Préférez une application comme Google Authenticator ou Authy plutôt que le SMS, plus vulnérable aux attaques de type SIM swapping.
Si des données bancaires (IBAN, numéro de carte) sont impliquées, prévenez votre banque par téléphone et surveillez vos relevés pendant au moins six mois. La CNIL recommande aussi de déposer une pré-plainte en ligne sur pre-plainte.interieur.gouv.fr en cas de suspicion d’usurpation d’identité. Le site cybermalveillance.gouv.fr propose un accompagnement gratuit pour les particuliers victimes de cybercriminalité.
Adoptez enfin un gestionnaire de mots de passe comme Bitwarden (open source et gratuit), 1Password ou Dashlane pour générer et stocker des mots de passe uniques et complexes pour chaque service. C’est la mesure qui a le plus d’impact à long terme sur votre sécurité numérique.
Réduire le risque pour l’avenir
La prévention repose sur quelques principes simples mais systématiquement ignorés. Utiliser une adresse email dédiée aux inscriptions de services tiers (séparée de votre email principal) limite l’exposition de votre identité principale. Des services comme SimpleLogin ou AnonAddy génèrent des alias email jetables qui redirigent vers votre vraie adresse : en cas de fuite, vous désactivez l’alias.
Activez les alertes de connexion sur Google, Apple, Microsoft et Facebook. Chaque nouvel appareil connecté vous est signalé. Sur les services financiers, le service d’alertes SMS de votre banque vous notifie de chaque transaction en temps réel. Ces systèmes de détection précoce réduisent considérablement la fenêtre d’exploitation d’un compte compromis.
Vérifiez régulièrement Have I Been Pwned, idéalement une fois par trimestre ou après chaque annonce d’une cyberattaque médiatisée. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie des alertes sur les incidents majeurs affectant des services français sur cert.ssi.gouv.fr. La CNIL met à jour ses conseils pratiques sur cnil.fr après chaque brèche significative touchant des entreprises françaises.
La question n’est plus vraiment « est-ce que mes données ont fuité ? » mais « combien de fois et depuis quand ? » Changer sa posture de victime passive en observateur actif de son identité numérique reste la seule réponse durable à cette réalité.
