Comment vérifier si tes données ont fuité — guide pas à pas
Les fuites de données sont devenues si fréquentes qu’elles font à peine la une des journaux. LinkedIn, Facebook, Bell, Desjardins — des millions de Canadiens ont eu leurs informations personnelles exposées sans le savoir. La vraie question n’est plus “est-ce que ça va m’arriver” mais “est-ce que ça m’est déjà arrivé”. Ce guide te montre comment vérifier si tes données ont fuité, et surtout quoi faire ensuite.
Ce qu’une fuite de données peut exposer
Avant de vérifier, il faut comprendre ce qui peut être compromis. Selon le type de service piraté, une fuite peut inclure :
- Adresse email et mot de passe (le duo le plus courant)
- Numéro de téléphone
- Adresse postale
- Date de naissance
- Numéro de carte de crédit (rare, mais ça arrive)
- Numéro d’assurance sociale (NAS) — dans les cas les plus graves
- Données médicales ou financières
Ces informations se retrouvent sur des forums de hackers, vendues sur le dark web, ou parfois publiées gratuitement pour nuire à une entreprise. Le problème : une adresse email et un mot de passe exposés permettent souvent d’accéder à plusieurs comptes si tu réutilises le même mot de passe partout.
Outil #1 : Have I Been Pwned
Have I Been Pwned est le standard. Fondé par Troy Hunt, expert en sécurité australien, le site agrège les bases de données de fuites connues — plus de 14 milliards de comptes compromis répertoriés à ce jour.
Comment l’utiliser :
- Va sur haveibeenpwned.com
- Entre ton adresse email
- Clique sur “pwned?”
Si ton email apparaît dans une fuite, tu verras :
- Le nom du service qui a été piraté
- La date approximative de la fuite
- Les types de données exposées
Fais ce test pour toutes tes adresses email — personnelle, professionnelle, vieilles adresses Hotmail que tu n’utilises plus.
Important : ce site ne montre que les fuites publiques. Des fuites peuvent circuler en privé sans avoir encore été cataloguées.
Outil #2 : Vérifie tes mots de passe directement
Have I Been Pwned offre aussi un outil pour vérifier si un mot de passe spécifique a été exposé : haveibeenpwned.com/Passwords
Note technique importante : tu n’entres pas ton mot de passe en clair. L’outil utilise une méthode appelée k-Anonymity — il envoie seulement les 5 premiers caractères du hash SHA-1 de ton mot de passe, pas le mot de passe lui-même. Tes données ne quittent jamais ton appareil en format lisible.
Si ton mot de passe est marqué comme “pwned”, change-le immédiatement sur tous les sites où tu l’utilises.
Outil #3 : Firefox Monitor
Firefox Monitor (gratuit, de Mozilla) utilise les mêmes données que Have I Been Pwned mais avec une interface plus conviviale. En plus, il te permet d’activer des alertes automatiques : si ton email apparaît dans une nouvelle fuite, tu reçois une notification.
C’est utile parce que les fuites sont découvertes des mois, parfois des années, après qu’elles ont eu lieu.
Outil #4 : Ton gestionnaire de mots de passe
Si tu utilises 1Password, Bitwarden ou Apple Keychain, ces outils ont des fonctions intégrées de détection de fuites :
- 1Password Watchtower : scanne en temps réel tes mots de passe contre les bases de fuites connues
- Bitwarden Reports : onglet dédié dans l’interface web
- Apple (iOS/macOS) : Paramètres → Mots de passe → Recommandations de sécurité
Si tu n’utilises pas encore de gestionnaire de mots de passe, c’est le moment d’y penser — c’est l’outil numéro un pour éviter les dommages d’une fuite.
Cas spécifique : la fuite Desjardins
La fuite Desjardins de 2019 reste la plus grande fuite de données bancaires de l’histoire canadienne. 4,2 millions de membres ont eu leurs informations personnelles exposées, incluant NAS, revenus, habitudes de transaction.
Si tu étais client Desjardins avant 2019 et que tu ne l’as jamais vérifié, fais le test sur Equifax — Desjardins a mis en place un service de protection du crédit gratuit pour les membres affectés.
Consulte aussi le Centre antifraude du Canada pour des ressources en cas de vol d’identité lié à cette fuite.
Après avoir découvert une fuite : quoi faire
Étape 1 : Change le mot de passe du service piraté
En premier. Même si le mot de passe exposé date de 3 ans et que tu penses ne plus l’utiliser — change-le.
Étape 2 : Vérifie la réutilisation
Est-ce que tu utilisais ce même mot de passe ailleurs ? Sur ton email ? Ton compte bancaire ? Ta boîte de courrier électronique est souvent la clé principale — si quelqu’un y accède, il peut réinitialiser tous tes autres comptes.
Cherche dans ton historique les sites où tu as ce même mot de passe et change-les tous.
Étape 3 : Active le 2FA sur les comptes importants
L’authentification à deux facteurs (2FA) rend un mot de passe volé pratiquement inutile. Même si quelqu’un a ton mot de passe, il ne peut pas se connecter sans le deuxième facteur (code par SMS ou app d’authentification).
Active-le sur : email, comptes bancaires, réseaux sociaux, tout service qui stocke des informations sensibles.
Étape 4 : Surveille tes relevés bancaires et de crédit
Si la fuite incluait des informations financières, surveille tes transactions pendant les semaines qui suivent. Une fuite d’email et de mot de passe peut servir à acheter des choses avec tes informations de paiement sauvegardées.
Au Canada, tu peux obtenir ton dossier de crédit gratuitement auprès d’Equifax et de TransUnion. Vérifie qu’aucune ouverture de compte ou demande de crédit non autorisée n’y figure.
Étape 5 : Mets en place une surveillance continue
Ne fais pas ce test une seule fois. Les fuites arrivent en permanence. Configure des alertes sur Firefox Monitor ou Have I Been Pwned (version premium) pour être notifié automatiquement.
Les fuites que tu ne peux pas voir
Have I Been Pwned ne répertorie que les fuites publiques. Une quantité significative de données circule en privé sur des marchés du dark web sans jamais être publiée. Pour une surveillance plus complète, des services comme BreachWatch (1Password) ou Identity Guard font une surveillance active du dark web.
Ce n’est pas paranoïa — c’est une réalité documentée. Le Centre canadien pour la cybersécurité publie régulièrement des rapports sur les types de données canadiennes qui se retrouvent sur ces marchés.
Résumé : ta checklist
- Tester toutes tes adresses email sur haveibeenpwned.com
- Tester tes mots de passe les plus importants sur haveibeenpwned.com/Passwords
- Activer les alertes Firefox Monitor
- Changer tout mot de passe marqué comme exposé
- Activer le 2FA sur email et comptes bancaires
- Consulter son dossier de crédit si des données financières ont été exposées
Tu as trouvé une fuite sérieuse et tu ne sais pas quoi faire ? Écris-moi à khalid@sequr.ca — j’aide les particuliers et les entreprises à évaluer l’impact d’une fuite et à reprendre le contrôle.
Voir aussi : Comment savoir si ton téléphone est espionné — Vol d’identité au Canada : quoi faire dans les 48 premières heures
