19 JUIN 2026
● OPÉRATIONNEL
DÉCODEUR CYBER
LES ALERTES DU CERT-FR · VULGARISÉES · POUR TOUS
CERT-FR ↗
GUIDE9 MIN DE LECTURE· 1 JUIN 2026

Vérifier si mon mot de passe est compromis : 6 outils fiables en 2026

Comment savoir si votre mot de passe est compromis en 2026 ? Have I Been Pwned, FrenchBreaches, Mozilla Monitor : guide pratique et outils français.

D

Décodeur Cyber

Veille cybersécurité & vulgarisation

Comment savoir si mon mot de passe est compromis : le guide complet 2026

Avec plus de 250 millions de données françaises exposées depuis janvier 2026 (ANTS, Free, Laforêt, Nemea, Almerys…), la question n'est plus de savoir si vos identifiants ont fuité, mais et quand. Bonne nouvelle : il existe des outils gratuits et fiables pour le vérifier en 30 secondes. Voici comment vérifier si votre mot de passe est compromis, quels services privilégier en France, et que faire si la réponse est oui.

Pourquoi vérifier si votre mot de passe est compromis (vraiment) ?

Une fuite de données n'est dangereuse qu'à partir du moment où les attaquants l'exploitent. Et ils l'exploitent vite. La technique reine s'appelle le credential stuffing : des bots testent automatiquement, sur des centaines de sites (banque, e-commerce, messagerie), les couples e-mail / mot de passe issus des fuites publiques. Si vous réutilisez le même mot de passe sur plusieurs services — ce que font encore 65 % des internautes selon le baromètre 2025 de la CNIL — une seule fuite suffit à compromettre toute votre vie numérique.

Vérifier ses identifiants régulièrement, c'est :

  • Détecter une compromission avant les escrocs.
  • Identifier précisément quels comptes changer (pas besoin de tout changer).
  • Repérer les vieux comptes oubliés à supprimer (la « dette numérique »).
  • Anticiper les vagues de phishing post-fuite.

Les 6 meilleurs outils pour vérifier un mot de passe compromis en 2026

1. Have I Been Pwned — la référence mondiale (gratuit)

Have I Been Pwned (HIBP), créé par le chercheur australien Troy Hunt, agrège plus de 12 milliards de comptes compromis issus d'environ 700 fuites publiques depuis 2013. C'est le service le plus reconnu de la communauté cyber.

Comment l'utiliser :

  1. Rendez-vous sur haveibeenpwned.com
  2. Saisissez votre adresse e-mail dans la barre centrale
  3. Cliquez sur « pwned? »
  4. Le site affiche en vert (« Good news ») ou en rouge la liste des fuites contenant votre adresse

Bonus : la rubrique « Pwned Passwords » permet de tester un mot de passe directement (sans jamais l'envoyer en clair grâce à un hachage SHA-1 partiel). Si le mot de passe apparaît, abandonnez-le immédiatement.

Forces : exhaustif, totalement gratuit, intègre les fuites internationales majeures.
⚠️ Limites : moins bon sur les fuites strictement françaises et certains incidents récents.

2. FrenchBreaches — l'outil français spécialisé (gratuit)

FrenchBreaches est la référence francophone pour les fuites touchant les services français. La plateforme documente en temps réel des incidents souvent invisibles dans les outils internationaux : ANTS, Almerys, Médiathèques de Haute-Garonne, Mairie de Lyon, Madeindesign, Laforêt, Nemea Groupe…

Comment l'utiliser :

  • Recherche par e-mail, numéro de téléphone, nom d'utilisateur ou identité
  • Résultat en quelques secondes avec la liste des fuites concernées
  • Aucun stockage des données en clair, requêtes purgées sous 24 h

Forces : couverture unique sur l'écosystème français, alertes nominatives détaillées.
⚠️ Limites : moins étendu sur les fuites internationales (à combiner avec HIBP).

3. Mozilla Monitor — l'alerte automatique gratuite

Mozilla Monitor (anciennement Firefox Monitor) est l'alternative gratuite de la fondation Mozilla, propulsée par les données de Have I Been Pwned. Son atout : un système d'alerte e-mail automatique.

Comment l'utiliser :

  1. Créez un compte Mozilla (ou utilisez le vôtre)
  2. Ajoutez vos adresses e-mail à surveiller
  3. Recevez une alerte instantanée à chaque nouvelle fuite incluant l'une de vos adresses

Forces : surveillance passive, interface en français, fondation à but non lucratif.
⚠️ Limites : dépend du flux HIBP, donc moins exhaustif sur la France.

4. Le vérificateur de votre gestionnaire de mots de passe

Si vous utilisez Bitwarden, 1Password, Dashlane, NordPass ou Proton Pass, vous avez probablement déjà l'outil sous la main. Ces gestionnaires intègrent un scan automatique comparant vos identifiants enregistrés aux bases de fuites publiques.

OutilFonctionnalité d'auditTarif
BitwardenReports → Exposed Passwords / Data BreachGratuit
1PasswordWatchtowerInclus dans l'abonnement
DashlaneDark Web MonitoringPlan Premium
Proton PassPass MonitorGratuit (limité) puis payant
NordPassData Breach ScannerInclus

💡 Important : en février 2026, des chercheurs de l'ETH Zurich ont révélé 27 vulnérabilités dans plusieurs gestionnaires cloud (12 chez Bitwarden, 7 chez LastPass, 6 chez Dashlane). Toutes ont été corrigées depuis. Tenez votre gestionnaire à jour et activez le MFA dessus.

5. Le vérificateur Google (intégré à Chrome et Android)

Si vous enregistrez vos mots de passe dans Chrome, Google les vérifie automatiquement. Accès : Paramètres Chrome → Mots de passe → Vérifier les mots de passe, ou directement sur passwords.google.com.

Google vous indique :

  • Les mots de passe compromis (présents dans une fuite connue)
  • Les mots de passe réutilisés sur plusieurs sites
  • Les mots de passe faibles

Forces : intégré, gratuit, mise à jour permanente.
⚠️ Limites : impose de stocker ses mots de passe dans l'écosystème Google.

6. Cybernews Password Leak Check — le complément ponctuel

Cybernews Password Leak Check permet de tester un mot de passe (et non une adresse) contre une base de plus de 15 milliards d'identifiants exposés. Pratique pour évaluer la robustesse d'un nouveau mot de passe avant de le réutiliser.

⚠️ Règle d'or : ne tapez jamais votre mot de passe actuel sur un site auquel vous n'avez pas pleinement confiance. Préférez HIBP qui utilise un hachage SHA-1 partiel (k-anonymity) : le mot de passe entier ne quitte jamais votre navigateur.

Comparatif rapide des outils

OutilRecherche parSpécialité FRAlertes autoPrix
Have I Been PwnedE-mail / mot de passe⭐⭐Oui (e-mail)Gratuit
FrenchBreachesE-mail, tél, nom, identité⭐⭐⭐⭐⭐NonGratuit
Mozilla MonitorE-mail⭐⭐OuiGratuit
Bitwarden / Proton PassCoffre complet⭐⭐⭐OuiGratuit (de base)
Google Password CheckupMots de passe Chrome⭐⭐⭐OuiGratuit
CybernewsMot de passe seul⭐⭐NonGratuit

🎯 Combo recommandé pour la France : HIBP + FrenchBreaches + un gestionnaire de mots de passe avec audit intégré. À eux trois, vous couvrez >95 % des fuites susceptibles de vous toucher.

Que faire si mon mot de passe est compromis ?

Vous venez de découvrir une fuite. Pas de panique : voici la marche à suivre, par ordre de priorité.

Étape 1 — Changer le mot de passe du compte concerné

Dans les 10 minutes. Choisissez un mot de passe unique d'au moins 14 caractères. La recommandation CNIL 2024 précise les critères de robustesse.

Étape 2 — Identifier tous les comptes qui partagent ce mot de passe

C'est l'angle mort le plus dangereux. Si vous avez réutilisé le mot de passe sur d'autres services, chacun de ces comptes est virtuellement compromis. Faites la liste et changez-les tous.

Étape 3 — Activer la double authentification (MFA / 2FA)

Sur la messagerie, la banque, les réseaux sociaux, le cloud. Privilégiez une application d'authentification (Aegis, Google Authenticator, 2FAS) plutôt que le SMS, vulnérable au SIM swapping.

Étape 4 — Adopter un gestionnaire de mots de passe

Si ce n'est pas déjà fait. Bitwarden et Proton Pass offrent une version gratuite très complète. Vous n'aurez plus qu'un seul mot de passe maître à mémoriser, et tous les autres seront uniques et aléatoires.

Étape 5 — Surveiller votre boîte mail et vos comptes bancaires

Les vagues de phishing post-fuite arrivent typiquement sous 7 à 14 jours. Méfiez-vous des mails imitant les services concernés. Pour les démarches officielles, Cybermalveillance.gouv.fr propose une fiche-réflexe complète.

Faut-il s'inquiéter à chaque alerte ?

Non. Toutes les fuites ne se valent pas. Évaluez le risque selon trois critères :

  • Quel mot de passe a fuité ? S'il s'agit d'un mot de passe réutilisé ou de votre mot de passe principal, c'est critique. Un mot de passe unique sur un forum oublié = faible risque.
  • Le mot de passe était-il haché ? Une fuite avec bcrypt/argon2 est beaucoup moins grave qu'une fuite en clair (comme dans le cas Laforêt 2026).
  • D'autres données sensibles ont-elles fuité ? IBAN, pièces d'identité et numéros de téléphone augmentent fortement le risque d'usurpation.

FAQ : vos questions fréquentes

Mon mot de passe est sur HIBP, dois-je en changer dans tous les services ?
Oui, partout où vous l'utilisez. Le credential stuffing teste mécaniquement les couples e-mail / mot de passe sur des centaines de sites.

Est-ce dangereux de saisir mon e-mail sur Have I Been Pwned ?
Non. HIBP est un service de référence audité par la communauté cyber depuis 2013. Vos adresses ne sont pas stockées en clair.

Comment savoir si quelqu'un utilise déjà mes identifiants ?
Surveillez les e-mails de « nouvelle connexion depuis un appareil inconnu », vérifiez l'historique des sessions actives de votre messagerie (Gmail, Outlook), et activez les alertes de votre banque.

Les gestionnaires de mots de passe sont-ils sûrs malgré les failles 2026 ?
Oui. Les vulnérabilités d'ETH Zurich nécessitaient un contrôle total des serveurs de l'éditeur. Le risque réel reste très inférieur à celui de la réutilisation de mots de passe.

Mozilla Monitor ou Have I Been Pwned : lequel choisir ?
Les deux puisent dans les mêmes données. Mozilla Monitor a l'avantage des alertes automatiques en français. Pour la France, doublez avec FrenchBreaches.

En résumé

À retenir
Outil n°1 internationalHave I Been Pwned
Outil n°1 FranceFrenchBreaches
Alerte automatiqueMozilla Monitor
Audit complet du coffreBitwarden, Proton Pass, 1Password
Vérif rapide d'un mot de passeHIBP Pwned Passwords
Si compromisChanger + MFA + gestionnaire + surveiller

Vérifier ses identifiants n'est plus une option en 2026 — c'est un réflexe d'hygiène numérique aussi banal que se laver les mains. Faites-le maintenant, puis tous les trois mois.

Pour aller plus loin

Sources : Have I Been Pwned · FrenchBreaches · Mozilla Monitor · CNIL · Cybermalveillance.gouv.fr · IT-Connect — Failles gestionnaires 2026

Article publié le 1er juin 2026 par decodeurcyber.fr. Mis à jour tous les trimestres pour intégrer les nouveaux outils et fuites majeures.

TAGS :grand publicparticuliers
RÉAGIR :
← TOUS LES ARTICLES
PARTAGER :X ↗LINKEDIN ↗
À LIRE AUSSI
VOIR TOUT →
GUIDE

Deepfake : definition, dangers et comment les reconnaître (2026)

Deepfake : qu'est-ce que c'est, comment ça marche, comment reconnaître une vidéo truquée et se protéger des arnaques en 2026. Guide complet.

9 MINLIRE →
GUIDE

Authentification à deux facteurs (2FA) : comment ça marche et pourquoi l'activer

Authentification à deux facteurs : le guide complet 2026. Fonctionnement, méthodes (SMS, app, passkey), efficacité réelle et guide d'activation pas à pas.

16 MINLIRE →
GUIDE

Qu'est-ce qu'un ransomware ? Comment s'en protéger en 2026

Ransomware en 2026 : définition simple, fonctionnement, nouvelles menaces (double extorsion, RaaS, IA) et 8 réflexes concrets pour s'en protéger au quotidien.

8 MINLIRE →