Jamais une fuite de données n’avait atteint une telle ampleur. En quelques heures, l’équivalent de plus du double de la population mondiale d’identifiants circule sur les forums pirates. Découvrir comment vérifier si un mot de passe a été piraté et réagir vite n’est plus une option, c’est une nécessité.

Avant de songer à changer l’ensemble de vos codes, la première question est simple : comment vérifier si un mot de passe a été piraté et savoir si vous figurez dans ce gigantesque bottin noir ? © Shutterstock
Avant de songer à changer l’ensemble de vos codes, la première question est simple : comment vérifier si un mot de passe a été piraté et savoir si vous figurez dans ce gigantesque bottin noir ? © Shutterstock

Selon les analystes qui ont sonné l’alarme le 20 juin 2025, plus de 16 milliards de combinaisons e-mail/mot de passe se trouvent en accès libre après le regroupement de dizaines de bases issues d’anciens vols et, surtout, de journaux créés par des malwares « infostealers » capables d’aspirer tout ce que vous tapez ou stockez dans votre navigateur. Apple, Google, Facebook, PayPal, Netflix … aucun grand service n’est épargné, non parce qu’ils auraient été piratés directement, mais parce que leurs utilisateurs ont saisi leurs identifiants sur des appareils déjà contaminés.

Pourquoi cette fuite est différente

La première particularité de cet incident réside dans la taille brute : 16 milliards de paires identifiants/mots de passe, issues de 30 ensembles distincts dont certains dépassent 3,5 milliards d’entrées chacun. L’analyse laisse apparaître un schéma récurrent : URL d’origine, nom d’utilisateur puis mot de passe. Ce format est typique des infostealers modernes, capables d’aspirer les informations stockées dans les navigateurs en clair, les cookies d’authentification et parfois même les tokens de session.

La fraîcheur des données préoccupe particulièrement les spécialistes. Contrairement à de vieilles fuites régulièrement recyclées, plusieurs jeux présentent des identifiants collectés entre mars et juin 2025, confirmant que nombre de mots de passe n’ont pas encore été changés par leurs propriétaires.

Autre constat clef : l’ampleur de la diffusion. Les bases ont été repérées sur des instances Elasticsearch ou des stockages objet mal configurés, accessibles assez longtemps pour être copiées par des acteurs malveillants, mais pas assez pour identifier le ou les responsables. En d’autres termes, ces 16 milliards de lignes se retrouvent déjà dupliquées sur plusieurs forums souterrains.

Enfin, l’impact est transversal : réseaux sociaux, boîtes mail, dépôts GitHub, messageries instantanées, services d’hébergement, sans oublier des portails administratifs ou universitaires. Un identifiant compromis sur un site secondaire peut ainsi servir de sésame pour des services sensibles lorsque l’utilisateur réemploie le même mot de passe.ses, mais aussi des identifiants récents, parfois capturés quelques jours plus tôt, d’où l’urgence d’une vérification personnelle.

Comment vérifier si votre mot de passe a été piraté

1. Plateformes publiques de recherche de fuites

La première étape consiste à croiser votre adresse e-mail avec des services de veille de brèches publics. Sur « Have I Been Pwned », « Mozilla Monitor » ou le vérificateur de Cybernews, saisissez uniquement votre courriel ; vous verrez alors si celui-ci apparaît dans cette nouvelle compilation ou dans des fuites plus anciennes. Si la réponse est positive, concentrez-vous sur les comptes indiqués. Si elle est négative, gardez à l’esprit qu’un délai existe souvent entre la découverte de la base et son ajout aux moteurs de recherche.

Le site Have I Been Pwned (HIBP) reste la référence mondiale. Entrez votre adresse e-mail ; l’API compare votre adresse hachée aux bases connues, dont celles de juin 2025 déjà intégrées. En cas de correspondance, HIBP liste la ou les fuites et la date de première indexation.

De même, Mozilla Monitor se fonde sur HIBP, tandis que Google Password Checkup (intégré à Chrome et Android) scanne vos identifiants synchronisés par le navigateur. Ouvrez Paramètres > Gestionnaire de mots de passe > Vérifier les mots de passe : l’outil vous alerte en cas de doublon dans les nouvelles bases.

Il suffira d'entrer vos adresses mail concernées sur un service comme « have i been pwned? » - © Clubic

2. Fonction de veille de votre gestionnaire de mots de passe

Votre gestionnaire de mots de passe peut également signaler automatiquement les doublons ou les codes déjà compromis. Activez l’option « surveillance des failles » (présente dans 1Password, Bitwarden, Dashlane ou l'application « Mots de passe » d'iCloud) : elle remonte les correspondances dès qu’un hash connu figure dans une base de données publique.

Vos mots de passe enregistrés dans le trousseau iCloud sont monitorés en temps réel par Apple pour en détecter les fuites sur le dark web. © Clubic

3. Notification native des systèmes d’exploitation et service

Depuis iOS 17 et macOS Ventura, Apple prévient lorsqu’un mot de passe enregistré apparaît dans une base publique. Même logique côté Microsoft Edge et Windows 11 via le tableau Sécurité du compte. Assurez-vous que l’option de surveillance est activée : Paramètres > Mots de passe > Alerter en cas de fuite.

4. Vérification manuelle raisonnée

Enfin, ouvrez la console de sécurité de vos comptes principaux : Google, Microsoft et Facebook proposent un journal des connexions suspectes. Si vous observez des pays ou des horaires anormaux, considérez-les comme un signal d’alerte indépendamment des résultats des moteurs de fuite.

Quelles mesures prendre sans attendre

Commencez par changer immédiatement les mots de passe des services jugés critiques : messagerie principale, banque en ligne, réseaux sociaux et tout compte donnant accès à des paiements. Préférez des codes générés aléatoirement par votre gestionnaire et ne réutilisez jamais la même chaîne sur deux plateformes.

Activez la double authentification par application plutôt que par SMS. Même si certains jetons de session ont fuité, la validation hors ligne via un code TOTP reste nettement plus solide qu’un simple SMS interceptable. Là où c’est possible, migrez vers les passkeys : Apple, Google et Meta les proposent déjà et elles éliminent le concept même de mot de passe en s’appuyant sur la biométrie ou une clé matérielle locale.

Vérifiez ensuite l’intégrité de vos appareils. Lancez un scan antivirus à jour. Si vous êtes sous Windows, Activez « Analyse hors connexion ». Côté mobile, désinstallez les applications obtenues en dehors des boutiques officielles : les infostealers se propagent aussi via des clones d’apps légitimes.

Surveillez enfin vos relevés bancaires et l’activité de vos comptes pendant les semaines à venir : la fraîcheur de certaines données rend plausible une exploitation rapide. Tout achat non reconnu ou toute connexion étrange doit entraîner un changement de mot de passe et, si nécessaire, une plainte auprès du service concerné.