Saw Tools

Vérificateur de mot de passe compromis

Découvrez si un mot de passe est apparu dans une fuite de données connue — sans jamais le révéler.

Guide associé Comment fonctionnent les fuites de données

Votre mot de passe ne quitte jamais votre navigateur. Il est haché localement, et seuls les 5 premiers caractères de ce hash sont envoyés à l'API Have I Been Pwned (le modèle k-anonymity). Le service ne peut jamais voir ce que vous avez saisi.

PUBLICITÉ

Comment fonctionne ce vérificateur

Quand vous cliquez sur Vérifier, votre navigateur calcule localement le hash SHA-1 du mot de passe. Il n'envoie ensuite que les 5 premiers caractères de ce hash à l'API « Pwned Passwords » de Have I Been Pwned. Le serveur répond avec tous les hash fuités partageant ce préfixe de 5 caractères — généralement plusieurs centaines — et la comparaison finale a lieu sur votre appareil. Cette technique, appelée k-anonymity, fait que le service n'apprend jamais votre mot de passe, ni même son hash complet.

Ce que vous dit un résultat

  • Trouvé dans une fuite. Cette chaîne exacte de mot de passe figure dans des bases qui ont fuité publiquement. Les attaquants injectent ces listes dans des attaques automatisées de « credential stuffing ». Considérez le mot de passe comme grillé : changez-le partout où il a été utilisé.
  • Non trouvé. Le mot de passe n'est pas apparu dans les fuites indexées à ce jour. C'est rassurant, mais ce n'est pas une garantie de solidité — un mot de passe court ou prévisible peut tout de même être cassé. La longueur et l'unicité comptent avant tout.

Pourquoi la réutilisation est le vrai danger

Une fuite isolée a rarement de l'importance en soi. Le danger vient de la réutilisation : quand le même mot de passe protège votre e-mail, votre banque et un forum piraté en 2019, une seule fuite ouvre les trois. C'est pourquoi les experts en sécurité insistent sur un mot de passe unique par compte — et pourquoi un vérificateur comme celui-ci est surtout utile comme déclic pour cesser de réutiliser. Pour le tableau complet, lisez notre guide sur comment surviennent les fuites de données et quoi faire.

Est-ce la même chose que « Have I Been Pwned » ?

Cet outil interroge la même base de confiance, via la même API publique. La différence : cette page vérifie les mots de passe entièrement côté navigateur. Pour vérifier si une adresse e-mail a été prise dans une fuite, utilisez directement haveibeenpwned.com — cette recherche nécessite une clé authentifiée qui ne doit jamais être exposée dans un navigateur.

Que faire si votre mot de passe a fuité

Un résultat positif ? Pas de panique — agissez avec méthode. L'objectif : rendre ce mot de passe inutile à quiconque le détient, et empêcher le problème de se reproduire.

  • Changez-le maintenant, en commençant par vos comptes les plus sensibles (l'e-mail d'abord — c'est la clé maîtresse qui réinitialise tout le reste).
  • Rendez chaque nouveau mot de passe unique et long. Générez-en un en deux clics avec notre générateur de mot de passe cryptographiquement sécurisé.
  • Activez la double authentification partout où elle est proposée — idéalement une application d'authentification ou une passkey plutôt que le SMS.
  • Arrêtez de mémoriser et de réutiliser. Un gestionnaire de mots de passe retient un mot de passe unique pour chaque compte à votre place. Voyez notre comparatif 2026 des gestionnaires de mots de passe pour en choisir un.

Gestionnaires de mots de passe recommandés

La parade la plus efficace contre les mots de passe fuités, c'est de ne plus jamais en réutiliser — et c'est précisément ce qu'un gestionnaire rend sans effort. En voici trois que nous recommandons, classés par cohérence avec notre approche privacy-first.

Cette section contient des liens d'affiliation. Si vous souscrivez via ces liens, SAW TOOLS reçoit une commission, sans surcoût pour vous — c'est ce qui nous permet de garder nos outils gratuits.

Proton Pass

Suisse · Privacy-first

  • Chiffrement de bout en bout, code open source audité
  • Créé par les fondateurs de ProtonMail
  • Surveillance des fuites et alias d'e-mail intégrés

À partir de 1,99 €/mois (gratuit disponible)

Essayer Proton Pass

NordPass

Grand public · Audité

  • Architecture zero-knowledge, audits réguliers
  • Synchronisation illimitée tous appareils
  • Détection de fuites de données intégrée

À partir de 1,79 €/mois (gratuit disponible)

Essayer NordPass

Dashlane

Français · Premium

  • Entreprise française basée à Paris
  • VPN intégré sur les plans payants
  • Surveillance du dark web en temps réel

À partir de 3,33 €/mois (gratuit limité)

Essayer Dashlane

Vous préférez du 100 % open source sans aucun lien commercial ? Bitwarden est une excellente alternative gratuite et auto-hébergeable. Nous ne touchons aucune commission sur cette recommandation.

Questions fréquentes

Est-il prudent de saisir mon mot de passe dans ce vérificateur ?

Oui. L'outil utilise le modèle k-anonymity : votre mot de passe est haché en SHA-1 dans votre navigateur, et seuls les 5 premiers caractères de ce hash sont envoyés à l'API Have I Been Pwned. Le mot de passe lui-même, et même son hash complet, ne quittent jamais votre appareil — le service ne peut pas savoir ce que vous avez saisi.

Comment un site peut-il vérifier mon mot de passe sans jamais le voir ?

Votre navigateur calcule le hash SHA-1 localement, puis n'envoie que les 5 premiers caractères. Le serveur renvoie tous les hash fuités qui partagent ces 5 caractères (des centaines de candidats), et la comparaison finale a lieu sur votre appareil. Le serveur ne sait jamais lequel — s'il y en a un — était le vôtre.

Que signifie « apparu dans X fuites » ?

Cela signifie que cette chaîne exacte de mot de passe est apparue X fois dans les fuites répertoriées par Have I Been Pwned. Cela ne veut pas forcément dire qu'un de vos comptes a été piraté — mais cela signifie que ce mot de passe est connu publiquement des attaquants et ne doit plus jamais être réutilisé.

Mon mot de passe n'a pas été trouvé — suis-je en sécurité ?

Ne pas figurer dans la base est une bonne chose, mais ce n'est pas une garantie de solidité. Cela signifie seulement qu'il n'est pas apparu dans les fuites indexées à ce jour. Un mot de passe court ou prévisible peut tout de même être cassé. Visez la longueur, l'aléa, et un mot de passe unique par compte.

Puis-je vérifier mon adresse e-mail avec cet outil ?

Cet outil vérifie les mots de passe, car l'API Pwned Passwords est gratuite et fonctionne entièrement côté navigateur. Pour vérifier si une adresse e-mail apparaît dans une fuite, utilisez directement haveibeenpwned.com — la recherche par e-mail nécessite une clé authentifiée qui ne peut pas être exposée en toute sécurité dans un navigateur.