BreachRadar Signaler une fuite
Documentation

Comment fonctionne BreachRadar

Tout ce que vous devez savoir sur notre méthode de vérification, notre politique de confidentialité et les réponses aux questions les plus fréquentes.

K-anonymité Collecte des fuites Garanties de confidentialité FAQ Signaler une fuite

La technique k-anonymité expliquée

BreachRadar n'a jamais accès à votre mot de passe en clair. La vérification repose sur un protocole cryptographique appelé k-anonymité, conçu par Troy Hunt (HaveIBeenPwned) et adopté par des milliers de services dans le monde.

1

Hachage local dans votre navigateur

Lorsque vous saisissez votre mot de passe, JavaScript calcule son empreinte SHA-1 directement dans votre navigateur via l'API crypto.subtle.digest. Le mot de passe en clair ne quitte jamais votre appareil — il est immédiatement effacé de la mémoire après le calcul.

2

Envoi des 5 premiers caractères du hash

Un hash SHA-1 fait 40 caractères hexadécimaux. Seuls les 5 premiers sont transmis à notre serveur sous forme de préfixe. Avec 165 = 1 048 576 préfixes possibles, il est mathématiquement impossible de retrouver votre mot de passe original à partir de ces 5 caractères.

3

Le serveur retourne tous les suffixes correspondants

Notre serveur recherche ce préfixe dans la base et retourne l'ensemble des suffixes (les 35 caractères restants) de tous les hash qui commencent par ces 5 caractères, accompagnés de leur nombre d'occurrences dans les fuites. Typiquement, entre 200 et 1 000 suffixes sont retournés.

4

Comparaison locale dans votre navigateur

JavaScript compare localement votre hash complet (calculé à l'étape 1) avec chacun des suffixes reçus. Si une correspondance est trouvée, le mot de passe est compromis. Le serveur n'a su à aucun moment quel mot de passe vous avez tapé — il connaît seulement un préfixe anonyme parmi plus d'un million.

Garantie cryptographique : Même si notre infrastructure était entièrement compromise, un attaquant ne pourrait pas déterminer quel mot de passe vous avez vérifié. La confidentialité est assurée par le protocole lui-même, pas uniquement par notre politique de confidentialité.

Exemple concret

Prenons le mot de passe password123 (à ne surtout pas utiliser) :

SHA-1 Calculation
# Mot de passe original "password123" # Hash SHA-1 complet (calculé localement) SHA1("password123") = CBFDAC6008F9CAB4083784CBD1874F76618D2A97 # Seulement les 5 premiers caractères sont envoyés Préfixe envoyé au serveur : "CBFDA" # Le serveur retourne (extrait) : C6008F9CAB4083784CBD1874F76618D2A97 : 9659034 # ← correspondance trouvée localement C6FDE4F5A18D46A41F23899A4E6B9C2D81F : 12 C71A3B2E9F045D6C8A27E4190F836D5C422 : 3 # ... (environ 812 autres entrées)

Comment sont collectées les fuites de données

La base de données BreachRadar est constituée de plusieurs sources complémentaires, toutes soumises à un processus de vérification avant intégration.

Sources publiques et journalistes

Les grandes fuites sont généralement révélées par des journalistes spécialisés, des chercheurs en sécurité ou des organismes officiels (ANSSI, CNIL, ENISA). Nous suivons ces publications et intégrons les données vérifiées.

Forums et marchés underground

Notre équipe surveille en continu les forums spécialisés (BreachForums, RaidForums archivé, canaux Telegram) où des bases de données compromises sont partagées ou revendues.

Signalements communautaires

Des chercheurs en sécurité et des membres de la communauté nous signalent régulièrement des fuites inédites via notre formulaire de signalement. Chaque soumission est examinée par un analyste.

Partenariats institutionnels

Nous collaborons avec des CSIRT nationaux et des agences de cybersécurité européennes pour obtenir des données précoces sur les incidents affectant des organisations françaises et européennes.

Processus de vérification

Avant d'intégrer une fuite dans notre base, nous vérifions : l'authenticité des données (échantillon de comptes réels), la date probable de la fuite, le service affecté, et les types de données exposées. Une fuite marquée Vérifiée a passé ce processus complet. Les fuites Non vérifiées sont incluses avec un avertissement explicite.

Note importante : BreachRadar ne stocke jamais les mots de passe en clair. Seuls les hash SHA-1 sont conservés, avec le nombre d'occurrences et les métadonnées associées à la fuite (nom du service, date, types de données). Il est impossible de retrouver les mots de passe originaux depuis notre base.

Garanties de confidentialité

La protection de votre vie privée est au coeur de l'architecture de BreachRadar, pas une fonctionnalité ajoutée après coup. Voici nos engagements concrets :

Aucun log des mots de passe

Nos serveurs ne journalisent pas les préfixes de hash reçus. Les logs d'accès standard (IP, timestamp, endpoint) sont conservés 30 jours à des fins de sécurité uniquement.

Pas de compte obligatoire

Vous pouvez utiliser BreachRadar sans créer de compte. Aucune adresse email ni identifiant n'est requis pour effectuer une vérification.

HTTPS uniquement

Toutes les communications avec nos serveurs sont chiffrées via TLS 1.3. Notre certificat inclut HSTS avec une durée de 1 an et preload.

Hébergement en France

Nos serveurs sont hébergés chez OVHcloud à Gravelines (FR-GRA), dans des datacenters certifiés ISO 27001. Aucune donnée ne transite vers des pays hors UE.

Pour plus de détails sur le traitement de vos données personnelles, consultez notre politique de confidentialité complète, conforme au RGPD.

Questions fréquentes

Mes données sont-elles sécurisées quand j'utilise BreachRadar ?
Oui. Grâce à la technique k-anonymité, votre mot de passe en clair ne quitte jamais votre navigateur. Le serveur ne reçoit que 5 caractères d'un hash sur 40, ce qui est cryptographiquement insuffisant pour retrouver le mot de passe original. Cette propriété est mathématiquement prouvable — elle ne repose pas sur notre bonne volonté, mais sur les propriétés fondamentales des fonctions de hachage.
Quelle est la fréquence de mise à jour de la base de données ?
La base est mise à jour en continu. Les nouvelles fuites majeures sont généralement intégrées dans les 24 à 72 heures suivant leur découverte publique, après vérification par notre équipe. Pour les fuites de grande ampleur (plus de 10 millions de comptes), un processus d'intégration prioritaire est déclenché. La date de dernière mise à jour est visible sur la page d'accueil.
Mon mot de passe n'est pas trouvé. Suis-je en sécurité ?
Un résultat "non compromis" signifie que votre mot de passe n'apparaît pas dans les 847 fuites connues que nous avons indexées. Cela ne garantit pas qu'il n'existe pas d'autres bases non publiques. Nous recommandons d'utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) et d'activer l'authentification à deux facteurs sur vos comptes sensibles, indépendamment du résultat.
Quelle est la différence avec HaveIBeenPwned ?
HaveIBeenPwned (HIBP) est un service de référence créé par Troy Hunt, qui recherche les adresses email compromises. BreachRadar se concentre exclusivement sur la vérification des mots de passe par hash, avec une couverture renforcée sur les fuites françaises et européennes (partenariats ANSSI, CNIL, CERT-FR). Nos deux approches sont complémentaires et utilisent le même protocole k-anonymité. BreachRadar propose également une API plus complète et une documentation entièrement en français.
Puis-je vérifier l'adresse email d'un de mes comptes ?
La vérification par adresse email est disponible via l'API (endpoint /email/check) pour les plans Pro et Entreprise. Dans ce cas, un hash SHA-256 de l'email normalisé est utilisé pour la recherche — le même principe de k-anonymité s'applique. Cette fonctionnalité n'est volontairement pas exposée sur l'interface publique pour éviter les abus.
Que dois-je faire si mon mot de passe est compromis ?
1. Changez immédiatement ce mot de passe sur tous les services où vous l'utilisez. 2. Ne réutilisez jamais le même mot de passe sur plusieurs services. 3. Activez la 2FA (authentification à deux facteurs) sur vos comptes importants (email, banque, réseaux sociaux). 4. Vérifiez si des connexions suspectes ont eu lieu sur vos comptes. En cas de doute sur un compte bancaire, contactez votre établissement.
Utilisez-vous des cookies ou traceurs ?
BreachRadar utilise uniquement des cookies techniques strictement nécessaires (gestion de session pour l'API dashboard). Nous n'utilisons aucun cookie analytique, publicitaire ou de tracking tiers. Aucune intégration Google Analytics, Facebook Pixel ou similaire n'est présente sur notre site. Notre infrastructure de monitoring est auto-hébergée.
Le service est-il accessible aux entreprises et intégrateurs ?
Oui. Notre API REST permet d'intégrer BreachRadar dans des formulaires d'inscription, des politiques de mots de passe, des outils de conformité RGPD ou des solutions de gestion d'identité (IAM). Des plans Pro (29 €/mois) et Entreprise (sur devis, avec SLA et DPA) sont disponibles. Contactez-nous à api@breachradar.fr.
Comment signaler une fuite de données que j'ai découverte ?
Utilisez notre formulaire de signalement. Fournissez autant de détails que possible : service affecté, estimation du nombre de comptes, types de données exposées, et si possible un échantillon anonymisé. Nous accusons réception sous 24h et vous tenons informé du traitement. Consultez nos lignes directrices de divulgation responsable si vous êtes chercheur en sécurité.
BreachRadar peut-il être utilisé hors ligne ?
Les plans Entreprise incluent la possibilité de déployer un miroir local de la base de données sous forme de fichier hash compressé (mise à jour hebdomadaire). Cela permet une vérification entièrement hors ligne, adaptée aux environnements à haute sécurité ou à air gap. Contactez notre équipe commerciale pour plus d'informations.

Comment signaler une fuite

Vous êtes chercheur en sécurité, journaliste ou particulier et vous avez connaissance d'une fuite non encore référencée ? Voici comment nous aider à protéger la communauté.

1

Remplissez le formulaire de signalement

Accédez au formulaire dédié et décrivez la fuite avec autant de précision que possible. Nom du service, URL, date estimée, types de données, nombre de comptes concernés.

2

Joignez un échantillon si possible

Un échantillon de données anonymisé (ex: 10 lignes avec les champs identifiés mais les valeurs remplacées) nous aide à valider l'authenticité et les types de données. N'envoyez jamais de données personnelles non anonymisées.

3

Accusé de réception sous 24h

Notre équipe accuse réception de chaque signalement dans les 24 heures. L'analyse et la vérification prennent généralement 2 à 5 jours ouvrables selon la complexité.

4

Intégration et notification

Une fois vérifiée, la fuite est intégrée à la base et le service concerné est notifié si ses coordonnées sont disponibles. Votre contribution est créditée (avec votre accord) dans les métadonnées de la fuite.

Pour les signalements sensibles ou les communications chiffrées, vous pouvez contacter notre équipe de sécurité par email à security@breachradar.fr. Notre clé PGP est disponible sur le serveur keys.openpgp.org (empreinte : 8F3A 1B2C 4D5E 6F7A 8B9C 0D1E 2F3A 4B5C 6D7E 8F9A).