Have I Been Pwned API

Vérifier par API si des e-mails, domaines ou mots de passe ont fuité dans des violations de données.

Have I Been Pwned (HIBP) est un service qui recense les violations de données connues et permet de vérifier si une adresse e-mail, un domaine ou un mot de passe y figure. Son API REST (v3) interroge la base des comptes compromis, les fuites par domaine, les stealer logs et le service Pwned Passwords pour contrôler la robustesse des mots de passe. Elle s'adresse aux développeurs qui veulent alerter leurs utilisateurs en cas de fuite, bloquer les mots de passe compromis lors de l'inscription, ou surveiller l'exposition d'un domaine d'entreprise. La recherche d'e-mails et de domaines nécessite un abonnement, tandis que l'API Pwned Passwords est entièrement gratuite et sans clé.

Que propose l'API Have I Been Pwned ?

Breached Account API

Liste les violations de données dans lesquelles une adresse e-mail donnée apparaît.

Breached Domain API

Énumère les adresses compromises d'un domaine dont vous avez prouvé le contrôle, pour la surveillance d'entreprise.

Stealer Logs API

Indique les domaines et sites où une adresse ou un domaine apparaît dans des logs de malwares voleurs d'identifiants (offres Pro).

Breaches & Data Classes API

Métadonnées sur l'ensemble des violations recensées (date, volume, types de données exposées) et la dernière fuite ajoutée.

Pwned Passwords API

Vérifie si un mot de passe a fuité via le k-anonymat (5 premiers caractères du hash SHA-1/NTLM), sans clé ni limite de débit.

Tarifs de l'API Have I Been Pwned

Abonnement mensuel (ou annuel et pluriannuel avec remises) pour l'API de recherche d'e-mails et de domaines. Plusieurs gammes — Core, Pro et High RPM — se distinguent par leur débit autorisé (requêtes par minute). L'API Pwned Passwords reste gratuite et sans clé. La facturation annuelle applique le principe « payez 10, obtenez 12 ».

Core 1 — 10 requêtes/min (entrée de gamme)

$4.39/mois

Core 3 — 100 requêtes/min

$36.99/mois

Core 5 — 1 000 requêtes/min

$319/mois

Pro 1 — 1 000 requêtes/min (avec stealer logs et k-anonymat)

$379/mois

Pro 5 — 16 000 requêtes/min

$4 599/mois

Offre gratuite — L'API Pwned Passwords est entièrement gratuite, sans clé ni limite de débit, et permet de vérifier des mots de passe via le k-anonymat. Les API de recherche d'e-mails et de domaines, en revanche, nécessitent un abonnement payant débutant à 4,39 $/mois (Core 1).

Authentification & intégration

Clé API transmise dans l'en-tête hibp-api-key (chaîne hexadécimale de 32 caractères), obtenue avec un abonnement, pour les API de recherche. Un en-tête user-agent décrivant l'application est obligatoire. L'API Pwned Passwords ne requiert aucune clé.

API REST renvoyant du JSON, synchrone. Les limites de débit s'expriment en requêtes par minute selon le plan ; un dépassement renvoie un code HTTP 429 avec un en-tête retry-after. Les recherches par domaine ont des limites distinctes, plus basses. Pwned Passwords accepte aussi un padding pour masquer les motifs de requête.

Cas d'usage de l'API Have I Been Pwned

Alerter un utilisateur si son adresse e-mail apparaît dans une nouvelle violation de données.
Empêcher l'utilisation d'un mot de passe compromis lors de l'inscription ou du changement de mot de passe.
Surveiller l'exposition des comptes d'un domaine d'entreprise dans les fuites recensées.
Détecter la présence d'adresses ou de domaines dans des stealer logs de malwares (offres Pro).
Enrichir un outil de sécurité ou un audit avec l'historique des violations connues.
Afficher des statistiques sur les violations de données (volume, types de données exposées).

✓ Points forts

API Pwned Passwords totalement gratuite, sans clé et avec respect de la vie privée grâce au k-anonymat.
Base de référence très large et reconnue sur les violations de données.
Tarifs d'entrée abordables (4,39 $/mois) pour la recherche d'e-mails.
Surveillance de domaine et accès aux stealer logs pour les besoins d'entreprise (offres Pro).
Authentification simple par clé et réponses JSON faciles à intégrer.

⚠ Limites

La recherche d'e-mails et de domaines est payante : seul Pwned Passwords est gratuit.
Les limites de débit par minute peuvent contraindre les usages à fort volume sans monter en gamme.
Les fonctions avancées (stealer logs, k-anonymat e-mail) sont réservées aux offres Pro, plus chères.
La recherche par domaine impose de prouver au préalable le contrôle du domaine.

Questions fréquentes sur l'API Have I Been Pwned

L'API Have I Been Pwned est-elle gratuite ?

Seule l'API Pwned Passwords est gratuite et sans clé. La recherche d'e-mails compromis et la surveillance de domaines nécessitent un abonnement payant, débutant à 4,39 $/mois pour l'offre Core 1.

Comment s'authentifier à l'API ?

Pour les API de recherche, on transmet une clé API (chaîne hexadécimale de 32 caractères) dans l'en-tête hibp-api-key, plus un en-tête user-agent décrivant l'application. L'API Pwned Passwords ne demande aucune clé.

Comment vérifier un mot de passe sans l'exposer ?

Via l'API Pwned Passwords et le k-anonymat : on envoie seulement les 5 premiers caractères du hash SHA-1 (ou NTLM) du mot de passe, et l'API renvoie les suffixes de hash correspondants avec leur fréquence, sans jamais recevoir le mot de passe complet.

Combien coûte l'accès à la recherche d'e-mails ?

L'offre d'entrée Core 1 coûte 4,39 $/mois pour 10 requêtes par minute. Les gammes Core, Pro et High RPM montent ensuite en débit et en prix, jusqu'à plusieurs milliers de dollars par mois pour les très gros volumes.

Comment surveiller les fuites d'un domaine ?

Via la Breached Domain API : après avoir prouvé le contrôle du domaine (vérification DNS ou e-mail), on peut énumérer les adresses de ce domaine apparaissant dans les violations recensées.

Que sont les stealer logs ?

Ce sont des journaux produits par des malwares voleurs d'identifiants. Les API Stealer Logs (réservées aux offres Pro) indiquent les sites et domaines où une adresse ou un domaine apparaît dans ces logs.

Découvrir Have I Been Pwned →

Visiter Have I Been Pwned →