Maskmail
Se connecterEssai gratuit
Tous les articles

Blog

Vérifier si votre e-mail a fuité (et quoi faire ensuite)

Avec Have I Been Pwned et signaux voisins, repérez vite une exposition à des fuites, puis limitez les dégâts avec des masques avant la prochaine fuite.

Flat vector illustration of a sealed envelope under a magnifying glass with a small purple shield badge and muted warning dots on a pastel gradient

Les fuites de données font partie du paysage. Beaucoup découvrent qu’une adresse circule dans un fichier piraté seulement quand le spam augmente d’un coup, ou quand des demandes de réinitialisation arrivent pour des services qu’ils n’utilisent pas. Bonne nouvelle : vérifier une adresse dans les bases publiques de fuites est gratuit et prend à peine une minute.

Ce guide montre comment le faire avec Have I Been Pwned, pourquoi il vaut mieux croiser avec un deuxième outil, comment interpréter les résultats sans paniquer, et comment le masquage d’e-mail évite que la prochaine fuite touche toute votre vie numérique.

Étape 1 : commencer par Have I Been Pwned

Have I Been Pwned (HIBP), maintenu par Troy Hunt, est la référence la plus connue. Vous saisissez une adresse e-mail, et le site indique si elle apparaît dans une fuite indexée.

La base est massive et évolue sans cesse. Pour les chiffres à jour et la manière dont les données sont traitées, consultez les pages About et FAQs du projet plutôt qu’un article figé à une date donnée.

Déroulé pratique :

  1. Ouvrez haveibeenpwned.com.
  2. Collez l’adresse qui vous intéresse.
  3. Lancez la recherche depuis la page d’accueil.

S’il y a un résultat, HIBP affiche les incidents concernés : le service touché, la période approximative, et les types de données exposées (adresse e-mail seule, mots de passe, numéros de téléphone, etc.). S’il n’y a rien, le message est clair et rassurant.

Activez les notifications

L’option Notify me d’HIBP vous prévient par e-mail si votre adresse apparaît dans une fuite future. C’est plus fiable que de se créer un rappel pour refaire la recherche à la main.

Vérifiez les mots de passe que vous utilisez encore

Pwned Passwords, un service séparé de HIBP, permet de savoir si un mot de passe figure déjà dans une fuite. Le site explique son fonctionnement par hachage et k-anonymat : prenez une minute pour lire cette partie et comprendre pourquoi la vérification ne revient pas à envoyer votre mot de passe en clair.

Si un mot de passe que vous utilisez encore apparaît dans les résultats, changez-le partout où vous l’avez réutilisé.

Étape 2 : ajouter une seconde source

Aucun agrégateur de fuites ne voit tout. Chaque projet collecte des jeux de données différents.

Le contrôle de fuite d’e-mail gratuit de Maskmail utilise l’API publique de XposedOrNot. Passez votre adresse dans HIBP, puis dans cet outil. Si les deux résultats diffèrent, ce n’est pas forcément une contradiction : c’est souvent un signal à examiner de plus près.

Étape 3 : lire les résultats avec du recul

Chaque ligne répond à trois questions :

Qui a perdu les données ? Si le compte existe encore, commencez par changer son mot de passe. Choisissez un mot de passe fort, unique, et stocké dans un gestionnaire.

De quand date l’incident ? L’ancienneté compte. Si vous avez déjà changé le mot de passe après la divulgation publique, l’ancienne fuite est surtout un historique. Si vous ne l’avez jamais changé, considérez l’ancien mot de passe comme public.

Quelles données sont sorties ? Une adresse e-mail seule suffit déjà à attirer spam et hameçonnage. Des mots de passe, un numéro de téléphone ou une adresse postale élargissent le risque. Si un mot de passe a fuité et que vous l’avez réutilisé ailleurs, considérez chaque compte concerné comme exposé jusqu’à remplacement complet.

Étape 4 : limiter la zone d’impact

Lorsque votre adresse apparaît :

  1. Changez le mot de passe sur le service touché en premier, avec un secret fort et unique.
  2. Activez l’authentification à deux facteurs partout où elle est proposée, pour qu’un mot de passe volé ne suffise pas.
  3. Repérez les réutilisations. Un mot de passe partagé entre cinq services transforme une fuite en cinq portes ouvertes. C’est le risque le plus fréquent, et souvent le moins audité.

Le vrai problème : une seule adresse pour tout

Beaucoup de guides s’arrêtent à « changez votre mot de passe ». C’est nécessaire, mais insuffisant. Le problème de fond, c’est que vous donnez encore la même adresse personnelle à chaque boutique, newsletter, forum ou application de parking. La prochaine fuite touchera donc encore le même identifiant.

Cette adresse n’a pas été conçue pour devenir une clé publique universelle. Elle sert aux réinitialisations de mots de passe, aux alertes bancaires, aux échanges privés. Une fois copiée par des courtiers ou des agrégateurs, il n’existe pas de vrai bouton « supprimer d’internet ».

C’est là que le masquage d’e-mail devient utile : pas pour effacer la fuite d’hier, mais pour protéger les inscriptions de demain.

Comment le masquage limite les dégâts

Avec le masquage, chaque service reçoit une adresse relais dédiée qui transfère les messages vers votre boîte habituelle. Le service n’a pas besoin de connaître votre adresse principale. Le fonctionnement complet est détaillé ici : comment fonctionne le masquage d’e-mail.

Quand un fournisseur auquel vous aviez donné un masque fuit :

Le périmètre est limité. L’attaquant récupère une adresse relais, pas l’adresse utilisée pour votre banque, votre cloud ou vos comptes sensibles.

Vous pouvez couper le canal proprement. Désactivez le relais compromis, et ce chemin s’arrête. Les autres relais et votre boîte réelle continuent de fonctionner.

L’origine est claire. Un relais correspond à un service. Si un masque commence à recevoir du spam, vous savez d’où vient le problème.

Avec Maskmail, vous créez un nouveau relais dès qu’un formulaire demande une adresse e-mail. Les messages arrivent presque instantanément dans Gmail, Proton, iCloud ou votre messagerie actuelle. L’extension Chrome, Edge et Brave permet de générer un relais directement dans le formulaire.

Si vous utilisez un domaine personnalisé, vous pouvez le connecter à Maskmail et créer des adresses à la demande. Le routage catch-all accepte toute adresse de ce domaine sans créer chaque alias manuellement.

Une habitude simple qui change beaucoup

Aujourd’hui, passez votre adresse réelle dans HIBP et dans le contrôle Maskmail. Remplacez les mots de passe faibles, supprimez les réutilisations, activez la double authentification quand elle manque.

Ensuite, traitez votre adresse principale comme une information privée, pas comme un identifiant à distribuer partout. Chaque nouveau service reçoit un relais. S’il fuit l’année prochaine, vous coupez ce relais et vous continuez. Votre boîte centrale, vos réinitialisations et vos messages sensibles restent à l’écart.

L’ancienne fuite a déjà eu lieu. Ce que vous contrôlez encore, c’est ce que la prochaine exposera.

Arrêtez de donner votre vraie adresse partout.

Créez votre premier masque en quelques minutes : une boîte propre, privée et sous contrôle.

Créer mon premier masque
  • Essai gratuit de 14 jours
  • Résiliez à tout moment
  • Prêt en moins de 2 minutes