Ce dont on parle
À intervalle régulier, des compilations massives de credentials (paires email/mot de passe) circulent sur les forums spécialisés. Ces compilations agrègent souvent des fuites historiques connues (LinkedIn, Twitter/X, Facebook, e-commerce divers, LastPass 2022) et les enrichissent de nouvelles données issues de credential stuffing actif. Le caractère agrégé rend chaque profil beaucoup plus précisément ciblable que les fuites isolées.
Ce guide ne couvre pas un incident précis : il décrit les réflexes à appliquer à chaque fois qu'une annonce de ce type fait l'actualité (vérifiez la source officielle de l'incident concerné via Have I Been Pwned, ANSSI, CNIL ou la communication de l'éditeur).
Comment savoir si vous êtes concerné
- Have I Been Pwned (haveibeenpwned.com) ou notre page de vérification qui vous y redirige : saisissez votre email principal. Si présent dans plusieurs fuites, vous êtes très probablement dans la compilation.
- Votre gestionnaire de mots de passe (Bitwarden, 1Password, Proton Pass…) signale automatiquement les credentials stockés qui apparaissent dans des fuites. Si vous n'en avez pas, c'est le moment d'en adopter un — antiscam ne stocke jamais vos mots de passe et ne vous demande jamais d'en saisir sur le site.
- Surveillez votre boîte mail : une augmentation de phishing personnalisé dans les semaines à venir est probable.
Actions immédiates (par ordre de priorité)
1. Changez les mots de passe de vos 5 comptes critiques en priorité absolue
- Email principal (Gmail, Outlook, ProtonMail…)
- Banque(s)
- Apple ID / Google Account / Microsoft Account
- Comptes de paiement (PayPal, Revolut, N26…)
- Coffre password manager si vous en utilisez un
Utilisez un mot de passe généré aléatoirement de 16+ caractères pour chacun (différent pour chacun).
2. Activez la 2FA partout où ce n'est pas déjà fait
- App Authenticator (Authy, Aegis) > SMS qui est SIM-swappable
- Pour les comptes les plus critiques : clé physique YubiKey
3. Adoptez un password manager si ce n'est pas déjà fait
4. Surveillez votre dark web exposure
- Service inclus dans Norton 360 ou Dashlane Premium
- Service dédié : Aura (US) ou Norton si vous êtes en France
5. Réduisez votre surface chez les Incogni en supprime les traces via demandes RGPD/CCPA.">data brokers
- Incogni supprime vos données chez les principaux data brokers (couverture documentée publiquement par l'éditeur, plusieurs centaines de courtiers)
- Effet visible : 3-6 mois mais essentiel pour limiter les vagues futures de phishing
Vague de phishing à anticiper
Quand une compilation massive est publiée, on observe systématiquement 2-6 semaines plus tard une vague de phishing personnalisé qui exploite les données : emails reprenant votre vrai nom + un détail privé (dernier achat, fournisseur, mot de passe ancien) pour gagner votre confiance.
Méfiance accrue dans les 60 jours suivant une grosse fuite. Aucun clic sur lien dans email entrant non sollicité, surtout pour des demandes de "vérification de compte" ou "mise à jour de mot de passe".
Le long terme
Une fuite supprimée n'existe pas — toute donnée publiée reste publique pour toujours. La seule défense durable est :
- Mots de passe uniques et longs partout (password manager obligatoire)
- 2FA app authenticator partout
- Réduction de surface (Incogni, alias email, comptes inactifs supprimés)
- Réflexes anti-phishing aiguisés (quiz phishing)