Vérificateur de fuite d'email
Analysez la sécurité de votre adresse email : validation, détection d'email jetable, hash SHA-1 et principe de k-anonymité expliqué.
Comment fonctionne cet outil ?
- Validation : Vérifie le format de votre adresse email et détecte les domaines d'emails jetables connus.
- Hash SHA-1 : Calcule le hash SHA-1 de votre email entièrement dans votre navigateur via l'API Web Crypto.
- K-anonymité : Explique le protocole utilisé par HaveIBeenPwned pour vérifier les fuites sans révéler votre email.
- Aucune donnée transmise : Tout le traitement se fait localement. Votre email n'est jamais envoyé à un serveur externe.
Protégez votre identité numérique grâce à la détection de fuites d'email
Pourquoi vérifier si votre email a été compromis ?
Les fuites de données sont devenues l'une des menaces les plus répandues sur Internet. Chaque année, des milliards d'identifiants — adresses email, mots de passe, numéros de téléphone — sont exposés lors de brèches de sécurité affectant des entreprises du monde entier. Ne pas savoir si vos informations ont été compromises vous laisse vulnérable à des attaques de phishing ciblées, à des tentatives de connexion frauduleuses et à l'usurpation d'identité. Vérifier régulièrement l'état de votre adresse email est un geste de cyberhygiène essentiel, au même titre que la mise à jour de vos logiciels.
Lorsqu'une adresse email figure dans une base de données compromise, elle peut être utilisée par des cybercriminels pour des campagnes de spam sophistiquées, des attaques par bourrage de credential (credential stuffing) ou des tentatives de réinitialisation de compte. Ces attaques exploitent souvent la réutilisation des mots de passe : si vous utilisez le même mot de passe sur plusieurs services, une seule fuite suffit à compromettre l'ensemble de vos comptes. Notre outil vous permet d'identifier rapidement les risques et d'agir en conséquence, avant qu'il ne soit trop tard.
La détection des emails jetables (adresses temporaires générées par des services comme Mailinator ou Guerrilla Mail) constitue également une mesure de sécurité importante pour les développeurs et les administrateurs de plateformes. Ces adresses sont fréquemment utilisées pour contourner les inscriptions uniques, générer de faux comptes ou abuser de périodes d'essai gratuites. Notre outil intègre cette fonctionnalité de détection directement dans le navigateur, sans aucune transmission de données vers un serveur tiers.
Cas d'utilisation courants
- Audit de sécurité personnel
- Vérifiez l'ensemble de vos adresses email personnelles et professionnelles pour savoir lesquelles ont été exposées dans des fuites de données connues. Grâce aux résultats fournis, vous pourrez prioriser la mise à jour de vos mots de passe et activer l'authentification à deux facteurs (2FA) sur les comptes les plus à risque. Un audit régulier est recommandé, particulièrement après l'annonce publique d'une violation de données majeure.
- Vérification avant réutilisation d'un mot de passe
- Avant de créer un nouveau compte en ligne, vérifiez si l'adresse email que vous souhaitez utiliser est déjà présente dans des bases de données compromises. Si c'est le cas, il est impératif de choisir un mot de passe unique et robuste, idéalement généré par un gestionnaire de mots de passe. Cette précaution réduit considérablement le risque de compromission par credential stuffing.
- Détection d'emails jetables pour les développeurs
- Les développeurs et équipes produit peuvent utiliser cet outil pour tester si une adresse email soumise à un formulaire d'inscription appartient à un service de messagerie temporaire. La détection d'emails jetables permet de prévenir les abus, d'améliorer la qualité des bases de données utilisateurs et de réduire les taux de rebond lors des envois d'emails transactionnels. Notre implémentation est entièrement côté client et ne requiert aucune clé API.
- Sensibilisation à la cybersécurité en entreprise
- Les responsables de la sécurité des systèmes d'information (RSSI) et les équipes IT peuvent utiliser cet outil lors de sessions de formation pour illustrer concrètement les risques liés aux fuites de données. Voir en temps réel qu'une adresse email professionnelle figure dans une base compromise est un argument puissant pour inciter les collaborateurs à adopter de meilleures pratiques de sécurité. L'outil peut également servir à vérifier les adresses email génériques de l'entreprise (contact@, support@, etc.).
Comment fonctionne le vérificateur de fuite d'email ?
Votre adresse email est hachée localement dans votre navigateur à l'aide de l'algorithme SHA-1. Seuls les cinq premiers caractères de ce hash (le préfixe) sont transmis à l'API Have I Been Pwned (HIBP). Ce mécanisme, appelé k-anonymité, garantit que votre adresse email complète n'est jamais envoyée sur Internet, rendant l'identification de votre identité techniquement impossible pour le service interrogé.
L'API HIBP retourne alors une liste de suffixes de hashes correspondant au même préfixe. Cette liste est comparée localement, dans votre navigateur, avec le hash complet de votre adresse email. Si une correspondance est trouvée, l'outil affiche le nombre de fois où votre adresse a été exposée ainsi que les sources des fuites identifiées. Aucune de ces opérations de comparaison ne quitte votre appareil.
En parallèle, l'outil analyse le domaine de votre adresse email pour déterminer s'il appartient à un service de messagerie temporaire ou jetable. Cette vérification repose sur une liste de domaines connus, maintenue et filtrée localement. Le résultat final vous indique si votre email est potentiellement à risque et vous guide vers les actions correctives recommandées : changement de mot de passe, activation du 2FA, ou surveillance renforcée de vos comptes.
Questions fréquentes
- Qu'est-ce que le principe de k-anonymité ?
- La k-anonymité est une technique cryptographique qui permet de vérifier si une donnée figure dans une base de données sans jamais révéler cette donnée en clair. Dans le contexte de la vérification d'email, votre adresse est d'abord transformée en un hash SHA-1, puis seul un court préfixe de ce hash est envoyé au service externe. Le serveur répond avec tous les hashes partageant ce préfixe, et la comparaison finale s'effectue localement. Cela garantit que le serveur ne peut jamais reconstituer votre adresse email, même en théorie.
- Qu'est-ce que Have I Been Pwned (HIBP) ?
- Have I Been Pwned est un service de référence mondial créé par le chercheur en sécurité Troy Hunt. Il agrège des milliards d'identifiants issus de centaines de fuites de données publiquement connues et offre une API permettant de vérifier si une adresse email ou un mot de passe a été compromis. Le service est largement reconnu par la communauté de la cybersécurité et est utilisé par des navigateurs majeurs comme Firefox Monitor et Google Password Checkup pour alerter les utilisateurs en cas de risque.
- Que faire si mon adresse email apparaît dans une fuite de données ?
- Si votre adresse email est détectée dans une fuite, commencez par changer immédiatement le mot de passe du service concerné, en choisissant une combinaison longue et unique. Activez l'authentification à deux facteurs (2FA) si le service le propose. Vérifiez si vous avez utilisé le même mot de passe sur d'autres services et changez-les également. Enfin, soyez vigilant face aux emails de phishing qui pourraient exploiter les informations divulguées lors de la fuite.
- Qu'est-ce qu'une adresse email jetable et pourquoi est-elle détectée ?
- Une adresse email jetable, ou temporaire, est générée automatiquement par des services en ligne et désactivée après une courte période. Ces adresses sont souvent utilisées pour s'inscrire sur des sites sans divulguer son véritable email, contourner les vérifications d'accès ou créer de faux comptes. Notre outil les détecte en vérifiant le domaine de l'adresse contre une liste de fournisseurs connus. Une adresse jetable ne signifie pas nécessairement une activité malveillante, mais elle indique que l'email n'est pas lié à un compte de messagerie pérenne.
- Mes données personnelles sont-elles protégées ?
- Entièrement. Le calcul est réalisé à 100 % côté client, directement dans votre navigateur web. Aucune donnée personnelle n'est envoyée vers un serveur distant ni stockée. Toutes les informations restent sur votre appareil.