Entrez une adresse email dans IntelBase.is et regardez votre vie numérique défiler : comptes oubliés, fuites de données, pseudos, services utilisés, localisations précises. Pas besoin de compétences techniques, pas de logiciel à installer. Juste un navigateur, une adresse, et un inventaire qui donne le vertige.
Le journaliste des Numériques Aymeric Geoffre-Rouland a testé la chose avec sa propre adresse en juillet 2026. Le constat est sans appel : malgré des années de prudence (localisation désactivée, Proton pour ses usages sensibles, historique vidé, paramètres de confidentialité durcis au maximum), son email racontait encore bien trop de choses.
IntelBase se présente comme une plateforme d’OSINT, renseignement en sources ouvertes. La mécanique est rodée : aspirer des milliards d’enregistrements issus de fuites de données et de journaux d’infostealers (ces logiciels malveillants qui siphonnent mots de passe, cookies de session et données de navigation depuis des machines compromises). Le service revendique plus de 40 milliards d’enregistrements dans ses bases.
Ce qui distingue IntelBase, c’est l’agrégation et la simplicité d’accès. Une première recherche est gratuite. On saisit une adresse, on lance, et en quelques secondes s’affichent des comptes liés, des dates d’activité, des services utilisés (Spotify, YouTube, Google, Steam, Amazon), des pseudonymes, et parfois des numéros de téléphone ou des mots de passe compromis, partiellement masqués dans le cas du test, mais visibles dans d’autres.
Un mail, un fil rouge
La section Infostealer Logs détaille les identifiants compromis par plateforme. Le tableau de bord reconstitue une timeline sur plusieurs années, des dernières connexions Google aux fuites chez AnimalJam en 2020. L’outil peut même géolocaliser l’utilisateur à partir d’avis en ligne et de métadonnées de photos : deux coordonnées suffisent à circonscrire une zone de vie sur un rayon de 281 kilomètres.
Cette densité change la nature du problème. Une coordonnée qu’on utilise comme simple identifiant de connexion devient soudainement un fil conducteur entre des pans très différents de la vie numérique : ce qu’on écoute, les comptes abandonnés, les lieux associés aux données, les identifiants exposés. L’ensemble dessine des habitudes, des préférences, des routines.
La barrière d’entrée est inexistante. Aucune compétence technique, aucune installation. La curiosité d’un collègue, d’un recruteur, d’un voisin ou d’un ancien conjoint peut se transformer en collecte d’informations en quelques minutes. Pour du harcèlement, une usurpation d’identité ou une attaque ciblée, ces fragments valent de l’or.
Le RGPD peut-il répondre ?
Une adresse email reliée à des comptes, des fuites et des localisations identifie une personne physique. En Europe, cela relève du RGPD, indépendamment du pays d’hébergement. La plateforme opère depuis un domaine islandais (.is), ce qui ne la dispense pas du règlement européen dès lors qu’elle traite les données de résidents de l’UE.
Le journaliste a exercé son droit à l’effacement. Réponse de confirmation immédiate, mais au moment de la publication, ses données restaient affichées sur le site. La CNIL rappelle qu’un organisme dispose en principe d’un mois pour répondre à une demande d’effacement, délai pouvant être prolongé jusqu’à trois mois en cas de complexité. En 2024, selon Les Numériques, 37 % des plaintes reçues par la CNIL portaient sur ce droit, ce qui en fait le motif de saisine le plus fréquent.
Se protéger, sans paniquer
Avant de céder à la panique, un premier diagnostic est gratuit et sûr : Have I Been Pwned (haveibeenpwned.com), le service de Troy Hunt, référence depuis 2013. Il indique si une adresse figure dans des fuites connues, sans le niveau de détail ni les risques d’un outil comme IntelBase. Le journaliste y a passé la même adresse que sur IntelBase : 15 compromissions associées.
Les réflexes de protection sont concrets, même sans être un professionnel de la cybersécurité :
Réserver son adresse principale aux usages sensibles (banque, administration, employeur) et utiliser des alias, Proton Mail, SimpleLogin, DuckDuckGo Email Protection, pour les inscriptions secondaires. Activer l’authentification à deux facteurs sur tous les comptes qui le permettent. Utiliser un gestionnaire de mots de passe avec des mots de passe uniques par service. Supprimer les comptes inutilisés et exercer ses droits dès qu’un service détient des informations nominatives.
Les alternatives à IntelBase ne manquent pas : DeHashed, SnusBase, Have I Been Pwned (toujours la référence). La différence tient au niveau de détail exposé et à l’accessibilité. Là où HIBP se contente de dire « votre email apparaît dans X fuites », les plateformes d’enquête OSINT affichent les comptes, les pseudos, les dates d’activité et les mots de passe partiellement masqués associés à chaque brèche. La granularité est d’un autre ordre.
Le fond du problème n’est pas IntelBase. La plateforme ne fait qu’agréger ce qui est déjà disponible. Elle rend visible l’ampleur de la surface d’exposition accumulée année après année, inscription après inscription, sans qu’on y prête vraiment attention. Le signal est clair : votre adresse email n’est plus un simple identifiant de connexion, c’est une clé.
