Have I Been Pwned : fuites de données, ce qu’il faut savoir

Have I Been Pwned (souvent abrégé HIBP) est l’un des services les plus connus pour savoir si une adresse e-mail (ou parfois un numéro) apparaît dans des fuites de données recensées publiquement. Ce n’est pas un concurrent de ton banquier ou de ton antivirus : c’est une cartographie partielle de fuites déjà documentées, utile pour réagir vite — à condition de comprendre ce qu’elle montre… et ce qu’elle ne montre pas.

Si tu cherches surtout « données qui ont fuité » ou « savoir si mes données personnelles ont été piratées », la suite te donne un ordre d’actions (mots de passe, 2FA, arnaques) une fois l’alerte confirmée — en complément d’un bilan qui croise fuites, web et courtiers.

Dans cet article, on vulgarise ce qu’est Have I Been Pwned, comment l’utiliser intelligemment (sans en faire une baguette magique), puis tout ce qu’il faut faire en cas de fuite : côté sécurité des comptes, côté arnaques, et côté réduction de ton empreinte quand c’est pertinent. Pour une vue d’ensemble sur la vérification et l’audit, voir aussi notre article Fuites de données : comment vérifier si tes infos ont fuité ?.

Have I Been Pwned, c’est quoi exactement ?

Have I Been Pwned est un site créé par l’expert en sécurité Troy Hunt. L’idée est simple : agréger des bases de fuites déjà publiées ou circulant sur le web, et te permettre de tester ton adresse e-mail pour voir si elle figure dans l’une d’elles.

• « Pwned » (prononcé à l’anglaise, « ponéd ») vient du jargon gamer / sécurité : être « pwned », c’est en gros se faire avoir, subir une compromission.
• Le service est gratuit pour la consultation de base (vérifier un e-mail). Des options payantes existent côté notifications ou usage pro (alertes pour une équipe, intégrations) : l’objectif reste d’informer, pas de remplacer ton gestionnaire de mots de passe.

Important : Have I Been Pwned ne pirate rien et ne « récupère » pas tes mots de passe chez les sites : il croise ton e-mail avec des jeux de données déjà exposés ailleurs. C’est donc un outil de sensibilisation et de détection a posteriori, pas une garantie absolue.

Comment savoir si ton e-mail a été « pwned » ?

Sur haveibeenpwned.com (site officiel en anglais, interface très simple), tu saisis ton adresse e-mail. Le service t’indique :

• si l’adresse apparaît dans une ou plusieurs fuites connues de la base ;
• souvent le nom du service ou de la fuite (ex. compromission d’un forum, d’un réseau social, d’un jeu en ligne).

Pour le mot de passe, les versions récentes du site utilisent des mécanismes techniques (comme le hash k-anonymat) pour vérifier si un mot de passe a circulé dans des fuites sans envoyer ton mot de passe en clair au serveur. L’objectif est de te dire : « ce mot de passe a déjà fuité quelque part, ne le réutilise pas » — pas de stocker ton secret chez eux.

Faut-il payer pour Have I Been Pwned ?

Non pour une recherche ponctuelle sur ton e-mail. Les offres payantes concernent surtout des alertes ou usages avancés. Pour un particulier, commencer par la recherche gratuite suffit souvent.

Have I Been Pwned stocke-t-il mon mot de passe ?

Le site est conçu pour limiter ce qui transite et ce qui est stocké ; la communauté de sécurité suit le projet depuis des années. En revanche, aucun outil en ligne ne remplace la bonne pratique : mots de passe uniques par site, gérés par un coffre-fort (gestionnaire de mots de passe), et 2FA dès que possible.

Ce que Have I Been Pwned ne te dit pas (limites utiles à connaître)

Pour éviter les faux sentiments de sécurité ou d’insécurité :

1. Toutes les fuites n’y sont pas. Certaines ne sont jamais publiées, d’autres arrivent avec du retard, d’autres encore concernent des canaux privés. Absence de résultat ≠ zéro risque.
2. Une fuite ancienne reste dangereuse si tu as réutilisé le même mot de passe ailleurs : les attaquants automatisent les tests sur d’autres sites (credential stuffing).
3. Ton numéro de téléphone peut fuiter par d’autres chemins (revendeurs, arnaques, fuites d’opérateurs) : ce n’est pas toujours visible dans les mêmes bases que l’e-mail.

D’où l’intérêt d’un bilan d’empreinte plus large (fuites et visibilité sur le web et chez les courtiers) : par exemple notre audit gratuit intègre une couche fuites pour t’aider à prioriser les actions — en complément, pas en doublon absurde avec les bases publiques.

Fuite de données : que faire concrètement ? (plan d’action)

Voici un ordre de marche raisonnable dès que tu apprends qu’un compte ou une fuite te concerne (via Have I Been Pwned, un e-mail du service, la presse, ou ton employeur).

1. Confirmer la source (éviter le faux message)

Les arnaques surfent sur les fuites. Avant de cliquer :

• privilégie le site officiel du service (URL tapée à la main ou favori), pas le lien d’un e-mail douteux ;
• vérifie si le service a publié un communiqué ou une page d’incident.

2. Changer le mot de passe du compte concerné

• Choisis un mot de passe long, unique, généré par ton gestionnaire.
• Si tu utilisais le même mot de passe sur d’autres sites : change-les tous (ou au minimum les comptes sensibles : mail, banque, santé, cloud, admin).

3. Activer la double authentification (2FA)

La 2FA (application type authenticator ou clé de sécurité) réduit fortement le risque même si un mot de passe a fuité. Active-la surtout sur :

• ta boîte mail (pivot de récupération de comptes) ;
• ton mobile (compte Apple / Google) ;
• les réseaux sociaux et espaces de stockage.

Plus de détails dans notre page Se protéger des fuites de données (mots de passe, 2FA, habitudes).

4. Révoquer les sessions / appareils inconnus

Sur les services qui le permettent (messagerie, réseaux sociaux, etc.) : déconnecte les sessions actives, surveille l’historique de connexion, et signale ce qui est inconnu.

5. Surveiller les usages abusifs

• Phishing : e-mails ou SMS te demandant de « te reconnecter » avec urgence ;
• fraude : tentatives d’ouverture de ligne, de virement, de changement d’RIB (signalement à ta banque et, si besoin, à la gendarmerie / police ou cybermalveillance.gouv.fr selon les cas).

6. Côté données « hors compte » : réduire l’empreinte

Une fuite ne concerne pas que des login / mot de passe : ton e-mail et ton téléphone peuvent aussi traîner chez des courtiers en données ou sur le web public. Là, la réponse n’est pas seulement technique : tu peux demander la suppression ou l’opposition dans le cadre du RGPD lorsque c’est applicable — c’est tout l’objet de nos parcours effacement et de la compréhension des trois sources de l’audit (web, courtiers, fuites).

Phishing après une fuite : les bons réflexes

Les attaquants savent que les gens changent leurs mots de passe après une annonce de fuite. Ils envoient des faux e-mails imitant Netflix, la Poste, ton banquier, etc.

• Ne donne jamais ton mot de passe par e-mail ou par téléphone « au support » qui t’appelle sans que tu aies demandé.
• Quand tu dois réinitialiser un mot de passe, passe par le site officiel ou l’app officielle.
• Si un message te met la pression (« compte suspendu dans 1 h »), c’est souvent une arnaque.

Notification d’une fuite : tes droits en Europe (rappel court)

Quand une organisation traite des données personnelles (RGPD) et qu’une fuite présente un risque pour tes droits, elle peut devoir t’informer (et notifier l’autorité). En France, l’autorité de référence est la CNIL. Ce cadre ne remplace pas les actions techniques ci-dessus : les deux vont de pair — droit et sécurité.

Checklist rapide (à enregistrer ou imprimer)

1. Vérifier le canal (site officiel, pas le lien douteux).
2. Mot de passe unique sur le compte touché + partout où tu réutilisais l’ancien.
3. 2FA sur mail, cloud, banque, réseaux.
4. Sessions et alertes de connexion.
5. Vigilance phishing / arnaques pendant plusieurs semaines.
6. Bilan empreinte (fuites + visibilité) pour la suite : lancer un audit gratuit.

---

Have I Been Pwned est un bon réflexe pour prendre conscience des fuites passées et corriger des mauvaises habitudes (mots de passe réutilisés). Ce n’est qu’une pièce du puzzle : la prévention (2FA, coffre-fort), la vigilance aux arnaques, et la maîtrise de ta présence en ligne complètent la stratégie. Pour aller plus loin sur le volet « savoir si tu as fuité » côté rapport structuré, relis notre article Fuites de données : comment vérifier si tes infos ont fuité ? — puis lance ton analyse quand tu es prêt·e à passer à l’action.