Voici comment vérifier si votre IBAN et votre numéro de téléphone ont été vendus à des pirates

Voici comment vérifier si votre IBAN et votre numéro de téléphone ont été vendus à des pirates
La Rédac

Des milliards de données personnelles circulent sur le Dark Web, cet Internet clandestin qui sert de marché noir aux pirates et aux escrocs. Un outil gratuit permet de savoir en quelques secondes si les vôtres en font partie.

La France est aujourd'hui l'un des pays d'Europe les plus touchés par les fuites et les vols de données personnelles. Selon une étude de l'entreprise de cybersécurité Anozrway, 88 millions de numéros de téléphone, 80 millions d'adresses postales et 25 millions d'IBAN de Français ont été partagés ou revendus ces dernières années sur le Dark Web, cet Internet caché qui sert de marché noir aux hackers et aux escrocs. Rien qu'au troisième trimestre 2025, plus de 15 millions de comptes ont été compromis suite à des cyberattaques d'entreprises et d'organisations telles que Free, Orange, Auchan, France Travail – qui ont exposé les données de leurs clients sans toujours les prévenir rapidement.

Dans le seul cas de Free, piraté en octobre 2024, les données de près de 19 millions d'abonnés ont été dérobées – numéros de téléphone, adresses postales, dates de naissance, adresses e-mail et, pour une partie d'entre eux, leur IBAN. Ces données ont d'abord été mises en vente, avant d'être diffusées massivement sur des marchés criminels du Dark Web. Le problème pour les victimes est simple : elles ne savent souvent pas qu'elles sont concernées, jusqu'au jour où elles reçoivent un appel frauduleux étrangement bien informé, ou constatent une tentative de virement non autorisé.

C'est là qu'intervient Have I Been Pwned (littéralement, "Est-ce que j'ai été piraté ?"). Créé en 2013 par Troy Hunt, un expert australien en sécurité informatique, ce service entièrement gratuit recense aujourd'hui plus de 17 milliards de comptes compromis issus de centaines de fuites de données à travers le monde.

Son utilisation est simple et rapide : il suffit de saisir son adresse e-mail ou son numéro de téléphone dans la barre de recherche et de cliquer sur "pwned?" pour lancer la vérification. Si l'écran passe au vert, bonne nouvelle : vos informations ne figurent dans aucune fuite connue. S'il affiche un fond rouge, vos données ont été compromises – le site vous indique alors les piratages concernés, leur date et le type de données exposées.

Il est important de comprendre ce que le site fait – et ce qu'il ne fait pas. Have I Been Pwned n'affiche pas les informations exactes issues des fuites, mais vous permet uniquement de savoir si votre adresse figure dans une base de données compromise. Il liste le type des informations présentes dans une fuite, pas les données elles-mêmes. Le service ne stocke pas les adresses que vous vérifiez et ne nécessite aucune création de compte. Toutes les requêtes sont traitées de manière sécurisée. C'est aussi sa limite : il fonctionne grâce aux contributions de la communauté, et si une base de données piratée ne lui est pas soumise, les données compromises ne remonteront pas. Il reste néanmoins la référence gratuite la plus fiable du domaine.

Au-delà de la vérification ponctuelle, Have I Been Pwned propose un service d'alertes gratuit : en inscrivant son adresse e-mail, on est prévenu automatiquement dès qu'elle apparaît dans une nouvelle fuite. Près de trois millions de personnes se sont déjà inscrites à ce système de surveillance. Pour ceux qui souhaitent une couverture plus large incluant la surveillance continue du Dark Web, Mozilla Monitor – le service gratuit de la fondation Firefox – et Google One proposent des outils similaires, directement intégrés à leurs interfaces.

Si la vérification révèle que vos données ont fuité, le réflexe immédiat est de changer les mots de passe des comptes concernés, en choisissant une combinaison différente pour chaque service. En 2025, une compilation de 16 milliards de combinaisons identifiant + mot de passe a été découverte, dont 85 % collectées par des logiciels malveillants appelés infostealers – de quoi rappeler que la réutilisation du même mot de passe sur plusieurs sites reste la faille la plus exploitée par les cybercriminels. Activer la double authentification partout où c'est possible est le meilleur rempart contre l'exploitation de données déjà volées – même si le mot de passe a fuité, l'accès au compte reste bloqué sans le second facteur.