Comment nous vérifions vos mots de passe sans jamais les voir

Confidentialité et sécurité · Publié le 04-10-2026 · par CAB

← Retour au blogue S'abonner via RSS
Read in English →

Le problème : vérifier sans exposer

Coffre-fort Premium inclut la détection des fuites. Nous vérifions vos mots de passe contre la base de données de Have I Been Pwned, qui contient plus de 14 milliards d’identifiants divulgués. Mais voici le défi : comment vérifier si un mot de passe a été divulgué sans envoyer le mot de passe lui-même?

Si nous envoyions votre mot de passe (ou même un hash complet de celui-ci) à un service externe, ça irait à l’encontre du but. Nous exposerions exactement ce que nous essayons de protéger.

La réponse est une technique appelée k-anonymat.

Qu’est-ce que le k-anonymat?

Le k-anonymat est une technique de protection de la vie privée où votre requête est cachée parmi de nombreuses requêtes similaires, rendant impossible de déterminer laquelle est réellement la vôtre.

Voici comment ça fonctionne pour la vérification des mots de passe :

  1. Votre appareil hache votre mot de passe en utilisant SHA-1 (ceci se passe entièrement sur votre appareil)
  2. Nous envoyons seulement les 5 premiers caractères de ce hash à Have I Been Pwned
  3. Have I Been Pwned retourne tous les hash divulgués qui commencent par ces 5 caractères (typiquement 500 à 800 résultats)
  4. Votre appareil vérifie localement si le hash complet de votre mot de passe apparaît dans ces résultats

L’idée clé : Have I Been Pwned ne voit jamais votre hash complet. Ils voient un préfixe de 5 caractères qui correspond à des centaines d’autres hash. Ils n’ont aucun moyen de savoir lequel (le cas échéant) est le vôtre.

Un exemple concret

Disons que votre mot de passe produit le hash 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8.

  • Nous envoyons seulement 5BAA6 à Have I Been Pwned
  • Have I Been Pwned retourne environ 600 hash qui commencent par 5BAA6
  • Votre appareil vérifie si le hash complet apparaît dans cette liste
  • Si oui, vous recevez un avertissement « compromis »
  • Sinon, votre mot de passe n’a pas été trouvé dans les fuites connues

À aucun moment votre mot de passe réel, ou même son hash complet, ne quitte votre appareil.

Pourquoi SHA-1?

Vous pourriez vous demander pourquoi nous utilisons SHA-1, qui est considéré comme cryptographiquement cassé pour certains usages. Pour la vérification par k-anonymat, c’est le bon choix parce que :

  • Have I Been Pwned utilise SHA-1 comme standard. Utiliser autre chose nécessiterait d’envoyer le mot de passe complet pour un hachage côté serveur, ce qui irait à l’encontre du but.
  • Nous ne l’utilisons pas pour la sécurité. SHA-1 ici est simplement un identifiant pour correspondre à une base de données. Vos mots de passe dans le coffre-fort sont protégés par le chiffrement AES-256-GCM avec votre clé maîtresse.
  • Le préfixe de 5 caractères fait en sorte qu’une collision SHA-1 n’aurait pas d’importance. Nous ne comparons que des préfixes, pas la résistance aux collisions.

Ce que WIGGWIGG ne fait jamais

  • Nous n’envoyons jamais votre mot de passe (en clair ou chiffré) à un service externe
  • Nous n’envoyons jamais le hash complet de votre mot de passe nulle part
  • Nous ne stockons jamais les résultats de vérification de fuites sur nos serveurs
  • Nous n’enregistrons jamais quels mots de passe vous vérifiez

La vérification de fuites se fait entièrement entre votre appareil et l’API de Have I Been Pwned. Nos serveurs ne sont pas impliqués.

Au-delà du k-anonymat : correspondance de fuites par domaine

Coffre-fort Premium vérifie aussi si les sites web que vous utilisez ont subi des fuites, en utilisant la base de données publique de fuites de Have I Been Pwned. C’est différent de la vérification des mots de passe. Nous récupérons la liste publique des fuites connues et les faisons correspondre aux domaines dans vos entrées du coffre-fort. Ceci vous informe de choses comme « le site exemple.com a subi une fuite en 2024, et vous avez un compte là-bas. »

Cette vérification utilise des métadonnées de fuites accessibles publiquement. Aucun mot de passe n’est impliqué.

En résumé

La vie privée et la sécurité n’ont pas besoin d’être en opposition. Le k-anonymat nous permet de vous donner des renseignements exploitables sur les fuites sans compromettre votre vie privée. Vos mots de passe restent sur votre appareil, chiffrés avec votre clé, exactement là où ils doivent être.

Coffre-fort Premium est disponible pour 1 $ CAD/mois avec un essai gratuit de 30 jours. En savoir plus sur les fonctionnalités du coffre-fort.

Read in English →

Restez à jour

Soyez informé des nouvelles fonctionnalités, de l'expansion internationale et des mises à jour importantes.

Mises à jour générales

Nouvelles fonctionnalités, informations sur les tarifs et mises à jour de produit

Liste d'attente internationale

À l'extérieur du Canada? Soyez informé lorsque nous nous développons dans votre pays

Nous respectons votre vie privée. Aucun pourriel, désabonnez-vous à tout moment. Courriels envoyés via Resend .

Vous préférez les médias sociaux?

Suivez-nous pour les mises à jour:

LinkedIn X Mastodon Bluesky Facebook Instagram