Votre mot de passe a-t-il déjà fuité ? Guide de terrain des fuites de données

L'année où les fuites ont cessé de faire la une

En octobre 2025, un seul jeu de données a ajouté 183 millions d'identifiants uniques à Have I Been Pwned, le service de notification de fuites tenu de longue date par le chercheur en sécurité Troy Hunt. Cette collection, baptisée du nom de l'entreprise qui l'a mise au jour, Synthient, n'a pas été dérobée à une seule société lors d'un piratage spectaculaire. Elle a été assemblée sur près d'un an à partir des marchés clandestins où les criminels s'échangent le butin des logiciels infostealers, ces programmes qui aspirent silencieusement les mots de passe enregistrés sur une machine infectée. Environ 91 % de ces identifiants figuraient déjà dans des fuites antérieures ; quelque 16,4 millions d'adresses étaient entièrement inédites.

Cette nuance compte, car l'affaire a été largement et faussement présentée comme une « fuite Gmail ». Google a dû publier un démenti officiel précisant que les informations faisant état d'une fuite Gmail « touchant des millions d'utilisateurs » étaient fausses : les identifiants provenaient de logiciels malveillants présents sur des appareils individuels, et non d'une faille des serveurs de Gmail. La distinction entre un service qui se fait pirater et votre propre machine qui se fait dérober est l'une des notions les plus utiles à intégrer en matière de sécurité moderne ; nous y reviendrons.

Quelques mois plus tôt, en juin 2025, des chercheurs de Cybernews avaient décrit environ 16 milliards de couples identifiant-mot de passe exposés au sein d'une trentaine de bases non sécurisées. Le chiffre est vertigineux et a été couvert avec emphase, mais là encore la lecture attentive importe : il ne s'agissait pas d'un nouveau méga-piratage unique. C'était une compilation, en grande partie du butin d'infostealers recyclé et re-recyclé, brièvement laissé en lecture libre sur un stockage cloud mal configuré. La leçon de 2025 n'est pas qu'une fuite en particulier était apocalyptique. C'est que les identifiants volés sont devenus une marchandise immense et continuellement réapprovisionnée, et que les mêmes mots de passe reviennent encore et encore.

Fuite, violation, piratage : trois mots employés à tort comme synonymes

Un peu de précision ici vous évite à la fois la panique et l'insouciance.

• Une violation (ou piratage) survient quand un attaquant pénètre les systèmes d'une entreprise et en extrait des données, votre fiche de compte parmi des millions d'autres. La violation d'Adobe en 2013 (153 millions d'enregistrements) ou la divulgation, en 2016, des fuites de Yahoo (révisées à terme à la totalité des 3 milliards de comptes) en sont des cas d'école. Vous n'avez rien fait de mal ; c'est le service qui a été compromis.
• Une fuite est plus large. Elle englobe les violations, mais aussi les données exposées par mauvaise configuration, une base laissée ouverte sur Internet, un espace de sauvegarde rendu public par erreur, ou une compilation d'anciennes fuites re-publiée. L'affaire des « 16 milliards » était une fuite de compilations, pas une nouvelle intrusion.
• Le vol par infostealer est la troisième catégorie, désormais dominante. Un logiciel malveillant présent sur votre appareil lit les mots de passe enregistrés dans le navigateur et les exfiltre. Aucune entreprise n'a été piratée. Le maillon faible était un ordinateur infecté, souvent via une application piratée, une extension de navigateur malveillante ou un téléchargement piégé. Les données Synthient relevaient massivement de ce type.

Pourquoi cette typologie importe-t-elle ? Parce que votre réaction en dépend. Après la violation d'un service, vous changez le mot de passe de ce service. Après un vol par infostealer, changer un seul mot de passe ne suffit pas : le logiciel a probablement récupéré tout ce que stockait le navigateur, il faut donc nettoyer l'appareil et renouveler chaque identifiant enregistré. Et dans les trois cas, le facteur unique qui détermine si une fuite est un désagrément mineur ou une catastrophe en chaîne est le même : avez-vous réutilisé le mot de passe ?

Le credential stuffing : pourquoi la réutilisation est l'arme véritable

Supposons que votre mot de passe d'un forum de loisirs fuite. En soi, qu'un attaquant accède à votre compte sur un forum à l'abandon ne vaut presque rien. Le danger est dans la suite, et il porte un nom : le credential stuffing (bourrage d'identifiants).

Les attaquants prennent les immenses listes de couples e-mail:mot de passe ayant fuité et les injectent dans des outils automatisés qui essaient chaque couple sur des centaines de services populaires, banques, messageries, commerces, réseaux sociaux, à raison de milliers de tentatives par minute via des botnets. Ils ne devinent pas. Ils parient qu'une part non négligeable des gens a utilisé les mêmes e-mail et mot de passe sur le forum que sur leur banque ou leur boîte mail principale. Ce pari se vérifie assez souvent pour être extrêmement rentable. Les taux de réussite d'une campagne de credential stuffing sont généralement faibles en pourcentage, mais rapportés à des milliards d'identifiants, une fraction de pour cent suffit à produire un déluge de comptes compromis.

C'est là tout le nœud du sujet. Un mot de passe unique confine l'effet de souffle d'une fuite à un seul compte. Un mot de passe réutilisé transforme une fuite en passe-partout. Les chiffres de 183 millions et de 16 milliards sont alarmants précisément parce qu'ils constituent les munitions du credential stuffing, et parce que la réutilisation des mots de passe reste assez répandue pour rendre ces munitions efficaces.

Cela éclaire une vérité contre-intuitive : la résistance d'un mot de passe au cassage par force brute ne compte presque plus une fois qu'il a fuité. Un mot de passe aléatoire de 20 caractères qui figure dans un corpus de fuites est, du point de vue du credential stuffing, tout aussi compromis que 123456. La longueur vous protège contre la devinette. Seules l'unicité et le renouvellement rapide vous protègent contre une fuite.

Comment un service est censé stocker votre mot de passe

Pour comprendre pourquoi un vérificateur de fuites peut fonctionner sans vous mettre en danger, il faut savoir ce qu'un service bien conçu stocke en premier lieu. Un service compétent ne conserve jamais votre mot de passe en clair. Il stocke plutôt une empreinte (un hash) : le résultat d'une fonction à sens unique qui transforme cheval correct agrafe pile en une chaîne de longueur fixe à partir de laquelle l'original ne peut, en pratique, être retrouvé. À la connexion, le service calcule l'empreinte de ce que vous avez saisi et la compare à l'empreinte stockée.

Deux raffinements rendent le procédé robuste. Le sel est une valeur aléatoire unique mêlée à chaque mot de passe avant le hachage, de sorte que deux utilisateurs ayant le même mot de passe obtiennent des empreintes différentes et que les « tables arc-en-ciel » pré-calculées deviennent inutiles. Et les services modernes emploient des algorithmes de hachage volontairement lents, bcrypt, scrypt ou Argon2, conçus pour être coûteux à calculer, afin qu'après une fuite un attaquant ne puisse tester que quelques milliers d'essais par seconde plutôt que des milliards. Quand vous lisez qu'une fuite a exposé des mots de passe « hachés et salés » avec un algorithme robuste, le risque concret est bien moindre que lorsque les mots de passe étaient mal stockés, comme la violation d'Adobe en 2013 l'a tristement démontré.

Bien sûr, le salage et le hachage lent protègent contre la reconstitution du mot de passe d'origine à partir d'une empreinte volée. Ils ne servent à rien une fois que le mot de passe en clair circule déjà, ce qui est exactement la situation créée par les infostealers et les anciennes fuites en clair. C'est précisément la brèche qu'un vérificateur de fuites adresse : il vous dit si votre mot de passe précis se trouve déjà dehors, en clair, dans un corpus connu.

Le tour de force : vérifier un secret sans le révéler

Voici le paradoxe apparent. Pour savoir si votre mot de passe figure dans une liste de 900 millions de mots de passe ayant fuité, il faudrait en apparence soit télécharger la liste entière (des dizaines de gigaoctets), soit envoyer votre mot de passe à un serveur, l'acte même que vous cherchez à éviter. La sortie élégante repose sur une technique appelée k-anonymity (k-anonymat), proposée pour cet usage par Junade Ali chez Cloudflare et intégrée au service Pwned Passwords de Have I Been Pwned. Notre propre vérificateur de mot de passe compromis emploie exactement ce modèle, entièrement dans votre navigateur.

Il fonctionne en quatre étapes :

• Hacher localement. Votre navigateur calcule l'empreinte SHA-1 du mot de passe saisi. SHA-1 est cryptographiquement retiré pour les signatures, mais il n'est utilisé ici que comme empreinte stable, et ce choix est délibéré : il correspond au format du corpus Pwned Passwords. L'empreinte est une chaîne hexadécimale de 40 caractères, par exemple 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8.
• N'envoyer qu'un préfixe. Le navigateur n'envoie à l'API que les cinq premiers caractères de cette empreinte, 5BAA6. Ce préfixe est tout ce qui quitte votre appareil.
• Recevoir une botte de foin. Le serveur répond avec tous les suffixes d'empreintes ayant fuité qui commencent par ces cinq caractères, chacun suivi du nombre de fois où il a été observé. Comme il n'existe que 16⁵ = 1 048 576 préfixes possibles, n'importe quel préfixe correspond à une foule d'empreintes sans rapport, de l'ordre de plusieurs centaines. Le serveur ne peut pas savoir laquelle, le cas échéant, est la vôtre.
• Comparer localement. Votre navigateur parcourt cette liste reçue à la recherche du suffixe de votre empreinte complète. S'il trouve une correspondance, votre mot de passe est dans le corpus, et le compteur indique combien de fois. Sinon, rien n'indique qu'il ait fuité. La comparaison se fait sur votre machine ; la réponse n'est jamais renvoyée.

Voilà ce que « préservant la vie privée » signifie concrètement. Le serveur voit un préfixe de cinq caractères partagé par des centaines de mots de passe et n'apprend rien sur le compte, la personne ou le mot de passe complet vérifié. Le service absorbe cela à une échelle extraordinaire, de l'ordre de 18 milliards de requêtes par plage chaque mois, sans jamais avoir besoin du secret sous-jacent. Dans notre outil, la propriété est même plus forte : comme la comparaison est du pur JavaScript côté client, votre mot de passe ne touche jamais nos serveurs.

Que faire dès qu'un mot de passe ressort compromis

Un résultat positif n'est pas une catastrophe ; c'est une information exploitable. Procédez avec calme.

• Changez-le partout où vous l'avez utilisé, en commençant par les clés du royaume. La messagerie d'abord, car une boîte mail compromise permet à un attaquant de réinitialiser tous vos autres comptes via les liens « mot de passe oublié ». Ensuite la banque, puis tout ce qui touche au paiement.
• Rendez chaque remplacement unique. Un nouveau mot de passe réutilisé sur trois sites, ce sont trois futurs problèmes. Générez-en un distinct par compte ; notre générateur de mots de passe produit des chaînes longues et aléatoires sur-le-champ.
• Adoptez un gestionnaire de mots de passe. C'est le seul moyen réaliste de détenir des dizaines de mots de passe uniques. Il les crée, les stocke et les saisit, ne vous laissant qu'une phrase de passe maîtresse à retenir. Notre guide des gestionnaires de mots de passe détaille le choix et la mise en place.
• Activez un second facteur. La double authentification (2FA) fait qu'un mot de passe ayant fuité ne suffit plus à se connecter. Privilégiez une application d'authentification ou une clé matérielle au SMS, vulnérable au détournement de carte SIM.
• Utilisez une passkey là où elle est proposée. Les passkeys, fondées sur le standard WebAuthn (recommandation du W3C depuis 2018) et FIDO2, remplacent le mot de passe par une paire de clés cryptographiques liée au domaine réel du site. Une passkey de votre banque ne peut physiquement pas servir sur un site d'hameçonnage qui en imite l'apparence, ce qui rend toute la catégorie de l'hameçonnage et du credential stuffing inopérante. Les grandes plateformes d'Apple, Google et Microsoft les prennent désormais largement en charge.

Une limite qu'il faut énoncer honnêtement : un outil préservant la vie privée comme le nôtre vérifie les mots de passe, pas les adresses e-mail. Pour savoir si votre adresse e-mail est apparue dans des fuites nommées, et lesquelles, rendez-vous directement sur haveibeenpwned.com. Vérifier une adresse exige une API authentifiée qui ne peut tourner sans risque dans une page web, et une adresse est directement identifiante d'une façon qu'un préfixe de mot de passe ne l'est pas.

Ce que recommandent désormais réellement les organismes de référence

Les conseils officiels ont discrètement convergé, et ils renversent une génération de mauvaises habitudes. Le NIST américain, dans ses Lignes directrices sur l'identité numérique (SP 800-63B), demande désormais aux organisations de vérifier les nouveaux mots de passe face aux corpus de fuites et de rejeter ceux qui y figurent, de cesser d'imposer des changements périodiques sauf indice de compromission, et d'abandonner les règles de composition obligatoires (le « doit contenir une majuscule, un chiffre et un symbole » qui ne faisait que pousser les gens vers des schémas prévisibles comme Motdepasse1!). La longueur et l'unicité comptent ; la complexité arbitraire et la rotation, non.

En France, les conseils sont cohérents et librement accessibles. Cybermalveillance.gouv.fr, la plateforme d'État d'assistance aux victimes, et la CNIL, l'autorité de protection des données, préconisent les mêmes habitudes fondamentales après une fuite : changer rapidement le mot de passe concerné et partout où il a été réutilisé, ne jamais partager un mot de passe entre services, les stocker dans un gestionnaire, et activer l'authentification multifacteur sur les comptes importants. Pour comprendre plus en profondeur ce qui rend un mot de passe individuellement résistant, notre anatomie d'un mot de passe robuste en détaille les mécanismes.

Rien de tout cela n'est ésotérique. Toute la défense tient en trois phrases. Utilisez un mot de passe unique par compte. Laissez un gestionnaire les retenir. Ajoutez un second facteur, ou une passkey, partout où vous le pouvez. Un vérificateur de fuites n'est que le diagnostic qui vous indique par où commencer.