Vérificateur d'email sans breach

Évalue une adresse email dans ton navigateur, note le risque, vérifie les enregistrements du domaine, hashe en local et obtiens un plan d'action clair.

Ce vérificateur d'email sans breach évalue une adresse directement dans ton navigateur, donc elle n'est jamais confiée d'abord à une base de breach. La plupart des outils d'exposition te font soumettre l'adresse avant de répondre, ce qui est déjà un problème de vie privée. Celui-ci tourne en local. Il confirme que l'adresse est réelle, note à quel point le compte est une cible, et repère les role mailboxes et les plus-aliases que visent les attaquants. Si tu l'autorises, il lit les enregistrements mail publics du domaine (MX, SPF et DMARC) sans jamais envoyer l'adresse complète, et il construit une empreinte SHA-256 en local pour tes notes. Il n'appelle jamais d'API de breach, donc il ne qualifiera pas l'adresse de compromise ou de clean. À la place, il te donne un plan d'action simple, changer le mot de passe, activer le 2FA, revérifier la récupération, plus une chronologie d'incident, et rien ne touche un serveur.

100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.

Revue d'exposition email orientée vie privée, signaux du domaine et plan d'incident

La plupart des outils du genre "mon email a-t-il fuité ?" ont un petit défaut. Pour te répondre, ils te demandent d'abord de confier l'adresse à quelqu'un d'autre. Bizarre, non ? Moi je voulais une étape avant ça. Du coup celui-ci lit l'adresse directement ici, dans ton navigateur. Il évalue à quel point le compte est une cible, repère un role mailbox ou un plus-alias, et (si tu l'autorises) jette un coup d'oeil aux enregistrements mail du domaine. Besoin d'une empreinte pour tes notes ? Il hashe l'adresse en local. Ensuite il te donne un plan tout simple : changer le mot de passe, activer le 2FA, aller revérifier tes options de récupération avant de zapper.

Adresse email

Usage du compte

Sensibilité des données

Services connectés connus

Dernier changement de mot de passe

Vérifications du domaine

Aucun appel à une API de comptes compromis n'est fait ici. La seule chose qui peut sortir, c'est une requête DNS sur le domaine, jamais l'adresse email complète.

Un vérificateur de breach ne devrait pas te refiler un deuxième problème de vie privée

Le réflexe habituel, quand tu veux savoir si une adresse a fuité, c'est de la taper dans encore un autre site web. Parfois c'est vraiment sans souci. Fournisseur sérieux, tu sais pourquoi tu poses la question. Mais comme réflexe par défaut pour la première étape ? Ça me dérange. Avant d'envoyer une adresse où que ce soit, je veux savoir ce que j'ai entre les mains. Est-ce que c'est un role mailbox partagé ou un admin login ? Est-ce qu'elle a déjà été scrapée sur une page publique cent fois ? Est-ce que je l'ai réutilisée quelque part bêtement ? Est-ce que le mail security du domaine est grand ouvert ?

C'est exactement ce trou que ça comble. Ça confirme que l'adresse est réelle et évalue l'attention que le compte mérite. Ça explique pourquoi les role addresses et les admin logins attirent les attaques. Quand c'est possible, ça lit les enregistrements mail publics du domaine. Tu prends des notes ? Ça génère une empreinte SHA-256 en local. Et ça te donne un plan que tu peux vraiment suivre. Ce que ça ne fera pas, c'est qualifier l'adresse de "compromise" ou de "clean". Ça ne touche jamais une base de breach, donc dire l'un ou l'autre serait un mensonge.

Quoi faire si une adresse est peut-être exposée

Attaque-toi d'abord aux comptes qui font vraiment mal à perdre. Boîte mail, gestionnaire de mots de passe, hébergement, bureau d'enregistrement du domaine, panneaux admin, consoles cloud, tout ce qui prend un paiement, plus les comptes de récupération planqués derrière tout ça. Remplace les mots de passe réutilisés. Coupe les sessions actives, active le 2FA, et tant que tu y es, lis tes règles de transfert et revérifie l'email et le téléphone de récupération enregistrés. Ensuite garde un oeil sur les alertes de connexion pendant quelques jours. Si c'est une adresse d'équipe, note ce qui a changé et à qui revient le suivi. Le fameux "quelqu'un" ne le fait jamais.

Ta boîte mail passe en premier. C'est la clé maîtresse. Presque tout le reste se réinitialise à travers elle.
Les role mailboxes du genre admin, support, billing ? Devinables, en gros. Les attaquants n'ont pas besoin d'une fuite pour les trouver.
Le 2FA, c'est ta ceinture de sécurité pour le jour où un mot de passe est réutilisé ou phishé, et ce jour arrive.
DMARC, SPF et DKIM sont du ressort du propriétaire du domaine. Ils rendent le spoofing de ton domaine bien plus dur.
Des mots de passe uniques valent mieux que changer un seul mot de passe à cinquante endroits. La réutilisation, c'est ce qui transforme une fuite unique en dix.

Quelques situations réelles, et ce que je ferais vraiment

Une adresse de newsletter qui ramasse du phishing ? Agaçant. N'en perds pas le sommeil. Filtre-la, jette-y un oeil de temps en temps, et garde ta vraie énergie pour les comptes qui peuvent réellement te nuire. Une adresse admin qui apparaît en public ? Là, je réfléchirais sérieusement à un alias et à une connexion plus stricte. Un domaine custom sans politique DMARC ? C'est une porte ouverte pour quiconque veut te spoofer. Ferme-la. Et si tu as taggé tes inscriptions avec des plus-aliases du genre me+shop@, eh bien, quand le spam débarquera tu sauras exactement quel site t'a vendu.

Questions fréquentes

Est-ce que ça me dit si un email est dans une breach ?

Non. C'est tout l'intérêt, il ne fait jamais ce lookup. Quand tu as vraiment besoin d'une recherche en base de breach, va directement sur un service en qui tu as confiance et fais-le là-bas. Vois ça comme l'étape que tu fais en premier.

Pourquoi vérifier le DNS du domaine ?

Parce que les enregistrements MX, SPF et DMARC montrent si le domaine a sa mail-authentication de base en ordre. Une question totalement différente de savoir si une boîte mail a été compromise. Le DNS ne peut pas répondre à celle-là. Moi non plus, depuis ma place ici.

Je peux coller un vrai email pro ?

Tu peux. L'analyse tourne dans ton navigateur, et les checks DNS ne touchent jamais que le domaine, jamais l'adresse complète. Cela dit, si ta politique de sécurité devient nerveuse, fais-en un faux. Même domaine, local part similaire, et tu obtiendras la même lecture.

Comment un breach check fonctionne-t-il sans exposer mon email ?

Ceux qui respectent la vie privée hashent ton adresse et n'envoient qu'un court hash prefix. Comme ça l'adresse complète ne circule jamais en clair. Le serveur fait le matching sur le prefix, puis tu compares le reste toi-même, en local. Les services sérieux ne conservent pas non plus ce que tu tapes. Vérifie quand même ça dans la politique de confidentialité avant de faire confiance à l'un d'eux.

Mon email est apparu dans une breach. Je fais quoi ?

Change d'abord le mot de passe sur ce service. Puis partout où tu l'as réutilisé, et sois honnête sur le nombre d'endroits que ça fait vraiment. Plus que tu n'aimerais, probablement. Active le two-factor. Passe à des mots de passe uniques dans un gestionnaire pour que ça arrête d'être une corvée récurrente. Le mot de passe qui a fuité, c'est ça le danger ici, pas l'email qui traîne dans une liste.