← Tous les articles

Qui a vendu mon adresse e-mail ? La méthode pour trouver le coupable

L’équipe Tomatoes.run

Le spam n'arrive jamais par hasard : si votre boîte se remplit de messages que vous n'avez pas demandés, c'est que votre adresse a fuité — vendue, partagée ou volée. Le problème, c'est qu'avec une seule adresse utilisée partout, impossible de savoir qui l'a laissée s'échapper. Voici comment vérifier si votre adresse circule déjà, et surtout la méthode qui permet d'identifier le coupable à coup sûr.

D'où viennent les fuites d'adresses

Quatre origines expliquent l'essentiel du spam que vous recevez :

  • Les fuites de données. Un site sur lequel vous avez un compte se fait pirater, et sa base d'utilisateurs — adresses comprises — se retrouve en vente sur des forums spécialisés. C'est la source la plus massive : des milliards d'adresses circulent ainsi.
  • La revente commerciale. Certains sites monnaient leur fichier client auprès de « partenaires ». C'est parfois même écrit noir sur blanc dans les conditions d'utilisation que personne ne lit.
  • Les jeux concours et contenus « gratuits ». L'adresse est la monnaie d'échange : vous payez le PDF ou la participation avec vos données, qui alimentent ensuite des campagnes marketing en cascade.
  • Le scraping. Une adresse publiée en clair sur un site, un forum ou un réseau social finit aspirée par des robots.

Dans tous les cas, une fois l'adresse dans la nature, elle y reste : les fichiers se revendent entre spammeurs pendant des années.

Vérifier si votre adresse circule déjà

Deux réflexes rapides :

  1. Have I Been Pwned (haveibeenpwned.com) : entrez votre adresse, le site liste les fuites de données connues où elle apparaît. Si elle ressort dans trois fuites, inutile de chercher plus loin l'origine du spam.
  2. Recherche exacte : tapez votre adresse entre guillemets dans un moteur de recherche. Si elle apparaît sur des pages publiques, elle est scrapable — et probablement déjà scrapée.

Ces outils ont une limite : ils vous disent que votre adresse a fuité, rarement qui l'a vendue. Une adresse présente dans dix fichiers ne permet plus de remonter à la source. Pour ça, il faut prendre le problème à l'envers.

La méthode qui désigne le coupable : une adresse par service

Le principe est simple : donnez une adresse différente à chaque site. Le jour où l'une d'elles reçoit du spam, vous savez exactement qui l'a laissée fuir, puisqu'un seul service la connaissait.

Trois façons de le faire, de la plus bricolée à la plus robuste :

Le « plus addressing » (vous+amazon@gmail.com). Gratuit et immédiat, mais fragile : le suffixe +amazon se supprime trivialement — les spammeurs le font automatiquement — et votre vraie adresse reste visible dans l'alias. Utile pour trier, insuffisant pour se protéger.

Les services d'alias (SimpleLogin, Firefox Relay, Hide My Email d'Apple). Chaque alias est une adresse opaque qui redirige vers votre boîte. Efficace, mais il faut créer chaque alias avant de s'inscrire, souvent via une extension ou une application.

Le sous-domaine catch-all. Vous disposez d'un sous-domaine entier — par exemple marie.tomatoes.run — et toute adresse se terminant par ce sous-domaine fonctionne instantanément : amazon@marie.tomatoes.run, banque@marie.tomatoes.run, newsletter-cuisine@marie.tomatoes.run… Rien à créer à l'avance : au moment de l'inscription, vous inventez l'alias sur place, en tapant simplement le nom du site dans l'adresse. C'est ce que propose tomatoes.run, un sous-domaine e-mail personnel : les messages sont transférés vers votre boîte habituelle sans jamais y être stockés, et chaque alias se désactive en un clic le jour où il se met à recevoir du spam.

Quelle que soit l'option choisie, la logique est la même : l'adresse devient un traceur. Si promo@marie.tomatoes.run reçoit soudain des offres de cryptomonnaies douteuses, c'est le site à qui vous aviez donné cet alias qui a vendu — ou perdu — votre adresse.

Coupable identifié : que faire

  1. Coupez l'alias. C'est l'avantage décisif de la méthode : le spam s'arrête net, sans changer d'adresse principale ni prévenir tous vos contacts.
  2. Désinscrivez-vous seulement si l'expéditeur est identifiable et légitime. Le lien de désinscription d'une vraie marque fonctionne. Celui d'un spammeur sert surtout à confirmer que votre adresse est active : ne cliquez jamais dans un spam anonyme.
  3. Exercez vos droits. En Europe, le RGPD vous permet de demander au site fautif l'effacement de vos données et la liste des tiers à qui elles ont été transmises. Sans réponse sous un mois, une plainte auprès de la CNIL (cnil.fr) est gratuite et se fait en ligne.
  4. Notez le nom du fautif. La liste des sites qui ont vendu votre adresse est étonnamment instructive au moment de décider à qui confier vos données la prochaine fois.

Le bon réflexe, à partir d'aujourd'hui

Votre adresse historique est probablement déjà dans la nature — ça ne se rattrape pas. En revanche, chaque nouvelle inscription peut devenir traçable dès maintenant : un alias unique par service, et plus jamais de spam anonyme. Commencez par les inscriptions les plus risquées — jeux concours, boutiques inconnues, newsletters — et gardez votre vraie adresse pour les humains.

Une adresse e-mail pour chaque service, sans rien créer à l’avance.

Choisissez un pseudo, recevez votre sous-domaine — chaque alias fonctionne instantanément. Découvrir Tomatoes.run