Un mot de passe fuité signifie qu’il a circulé dans une fuite de données (base piratée, combo list, dark web) ou qu’il a été réutilisé sur un site compromis. Ce n’est pas une simple alerte théorique : des acteurs peuvent tenter une reprise de compte (credential stuffing) ou cibler tes autres services si tu réutilises le même mot de passe. Voici quoi faire en quelques minutes, puis comment limiter l’exposition de tes autres données personnelles en France et en Union européenne.
1. Vérifier si ton mot de passe (ou ton e-mail) a fuité
| Étape | Action | Délai indicatif |
|---|---|---|
| 1 | Saisis ton adresse e-mail sur Have I Been Pwned (HIBP) | 1 min |
| 2 | Consulte les fuites listées (nom du service, date, types de données) | 1 min |
| 3 | Si HIBP signale des mots de passe compromis, considère-les invalides immédiatement | — |
Un audit gratuit Data Knight recoupe aussi les fuites de données avec ton e-mail et ton téléphone (France / UE), aux côtés du web public et des courtiers en données — utile si tu veux une vue d’ensemble au-delà d’un seul mot de passe.
Pour le détail sur HIBP et la lecture des résultats, voir Have I Been Pwned : fuites de données, ce qu’il faut savoir et Tes données ont fuité ? Comment vérifier en 3 minutes.
2. Changer le mot de passe — dans le bon ordre
Règle d’or : change d’abord le mot de passe du compte le plus sensible (e-mail principal, banque en ligne, compte Google ou Apple), puis les services liés à la fuite signalée.
- Nouveau mot de passe unique par service (20 caractères ou plus si possible, ou phrase secrète).
- Active l’authentification à deux facteurs (2FA) sur l’e-mail et les comptes financiers.
- Ne réutilise jamais un ancien mot de passe, surtout s’il apparaît dans une fuite.
| Situation | Priorité |
|---|---|
| Même mot de passe sur plusieurs sites | Changer tous les comptes concernés |
| Fuite avec mot de passe en clair | Changer immédiatement + 2FA |
| Fuite ancienne, mot de passe déjà changé | Vérifier qu’aucune adresse de récupération n’est compromise |
3. Au-delà du mot de passe : données liées et RGPD
Une fuite expose souvent plus que le mot de passe : nom, adresse, téléphone, date de naissance, parfois des identifiants réutilisables ailleurs. En France et dans l’UE, le RGPD te donne des droits sur ces données chez les responsables de traitement qui les détiennent encore :
| Droit | Usage concret après une fuite |
|---|---|
| Accès (art. 15) | Savoir quelles données le service concerné détient encore |
| Effacement (art. 17) | Demander la suppression si la finalité n’existe plus — voir Article 17 RGPD |
| Rectification (art. 16) | Corriger une adresse ou un numéro erroné |
Le mot de passe en lui-même n’est en général pas effaçable chez un tiers une fois diffusé sur le dark web ; l’enjeu est de couper la réutilisation (changement + 2FA) et de réduire les autres traces (courtiers, annuaires, web public).
4. Credential stuffing : pourquoi agir vite
Le credential stuffing consiste à tester des couples e-mail / mot de passe volés sur d’autres sites. Même un mot de passe « faiblement exposé » peut suffire si tu l’as réutilisé. D’où l’intérêt de :
- Mots de passe uniques (gestionnaire de mots de passe recommandé).
- 2FA partout où c’est proposé.
- Limiter les données que les courtiers peuvent croiser (effacement RGPD sur les bases qui te concernent).
Pour le ciblage publicitaire et les traceurs, un opt-out navigateur complète la hygiène numérique — sans remplacer le changement de mot de passe.
5. Ce que Data Knight peut faire (et ce qu’il ne fait pas)
| Data Knight | Hors périmètre |
|---|---|
| Audit web public, courtiers, fuites (e-mail, téléphone) | Récupérer ou « effacer » un mot de passe déjà sur le dark web |
| Effacer mes traces : demandes d’effacement RGPD vers courtiers et sites | Remplacer ton gestionnaire de mots de passe |
| Suivi des réponses et relances | Garantir l’absence de toute fuite future |
Après l’audit, tu choisis les cibles à traiter ; nous envoyons les demandes conformes au RGPD lorsque tu nous en donnes l’autorisation. Détails : Comment ça marche et Se protéger des fuites.
En résumé
- Vérifie ton e-mail sur HIBP (ou via un audit).
- Change immédiatement les mots de passe concernés et active la 2FA.
- Demande l’effacement des autres données te concernant chez les courtiers et sites listés dans ton bilan.
- Ne panique pas : un plan en 5 minutes réduit fortement le risque de reprise de compte.
Ton mot de passe ou ton e-mail apparaît dans une fuite ? Lance un audit gratuit pour voir l’étendue de ton exposition (fuites, courtiers, web public), puis Effacer mes traces pour agir sur les données effaçables.
Voir aussi : Tes données ont fuité ? Comment vérifier en 3 minutes · Have I Been Pwned : fuites de données · Courtiers en données : comment retirer tes infos (RGPD) ? · Article 17 RGPD : droit à l’effacement.
